Verstehen der Sicherheitsabdeckung durch das MITRE ATT&CK-Framework®
Wichtig
Die Seite „MITRE“ in Microsoft Sentinel befindet sich derzeit in der VORSCHAUPHASE. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
MITRE ATT&CK ist eine öffentlich zugängliche Wissensdatenbank von Taktiken und Techniken, die häufig von Angreifern verwendet werden, und wird erstellt und Standard durch Beobachtung realer Beobachtungen. Viele Organisationen verwenden die MITRE ATT&CK-Wissensdatenbank, um bestimmte Bedrohungsmodelle und Methoden zu entwickeln, die zum Überprüfen des Sicherheitsstatus in ihren Umgebungen verwendet werden.
Microsoft Sentinel analysiert erfasste Daten nicht nur, um Bedrohungen zu erkennen und Sie bei der Untersuchung zu unterstützen, sondern auch um die Art und Abdeckung des Sicherheitsstatus Ihrer Organisation zu visualisieren.
In diesem Artikel wird beschrieben, wie Sie die MITRE-Seite in Microsoft Sentinel verwenden, um die erkennungen anzuzeigen, die bereits in Ihrem Arbeitsbereich aktiv sind, und diejenigen, die Sie konfigurieren können, um die Sicherheitsabdeckung Ihrer Organisation basierend auf den Taktiken und Techniken aus dem MITRE ATT&CK-Framework® zu verstehen.
Microsoft Sentinel ist derzeit am MITRE ATT&CK-Framework, Version 13, ausgerichtet.
Anzeigen der aktuellen MITRE-Abdeckung
Wählen Sie in Microsoft Sentinel im Menü Bedrohungsverwaltung auf der linken Seite MITRE aus. Standardmäßig werden in der Abdeckungsmatrix sowohl die derzeit aktiven Regeln für geplante Abfragen als auch die Quasi-Echtzeitregeln (Near Real-Time, NRT) angegeben.
Verwenden Sie die Legende oben rechts, um zu verstehen, wie viele Erkennungen derzeit in Ihrem Arbeitsbereich für eine bestimmte Methode aktiv sind.
Verwenden Sie die Suchleiste oben links, um anhand des Methodennamens oder der ID nach einer bestimmten Methode in der Matrix zu suchen, um den Sicherheitsstatus Ihrer Organisation für die ausgewählte Methode anzuzeigen.
Wählen Sie eine bestimmte Methode in der Matrix aus, um weitere Details auf der rechten Seite anzuzeigen. Verwenden Sie dort die Links, um zu einem der folgenden Orte zu wechseln:
Wählen Sie Details zur Ansichtstechnik aus, um weitere Informationen zur ausgewählten Technik im MITRE ATT&CK-Framework Wissensdatenbank zu erhalten.
Wählen Sie Links zu einem der aktiven Elemente aus, um zum relevanten Bereich in Microsoft Sentinel zu springen.
Simulieren einer möglichen Abdeckung mit verfügbaren Erkennungen
In der MITRE-Abdeckungsmatrix bezieht sich die simulierte Abdeckung auf Erkennungen, die in Ihrem Microsoft Sentinel-Arbeitsbereich verfügbar, aber derzeit nicht konfiguriert sind. Zeigen Sie Ihre simulierte Abdeckung an, um den möglichen Sicherheitsstatus Ihrer Organisation zu verstehen, wenn Sie alle für Sie verfügbaren Erkennungen konfigurieren würden.
Wählen Sie in Microsoft Sentinel im Menü Allgemein auf der linken Seite MITRE aus.
Wählen Sie Elemente im Menü Simulieren aus, um den möglichen Sicherheitsstatus Ihrer Organisation zu simulieren.
Verwenden Sie die Legende oben rechts, um zu verstehen, wie viele Erkennungen, einschließlich Analyseregelvorlagen oder Hunting-Abfragen, Ihnen zur Konfiguration zur Verfügung stehen.
Verwenden Sie die Suchleiste oben links, um anhand des Methodennamens oder der ID nach einer bestimmten Methode in der Matrix zu suchen, um den simulierten Sicherheitsstatus Ihrer Organisation für die ausgewählte Methode anzuzeigen.
Wählen Sie eine bestimmte Methode in der Matrix aus, um weitere Details auf der rechten Seite anzuzeigen. Verwenden Sie dort die Links, um zu einem der folgenden Orte zu wechseln:
Wählen Sie Details zur Ansichtstechnik aus, um weitere Informationen zur ausgewählten Technik im MITRE ATT&CK-Framework Wissensdatenbank zu erhalten.
Wählen Sie Links zu einem der simulierten Elemente aus, um zum relevanten Bereich in Microsoft Sentinel zu springen.
Wählen Sie beispielsweise Hunting-Abfragen aus, um zur Seite Hunting zu wechseln. Dort sehen Sie eine gefilterte Liste der Hunting-Abfragen, die der ausgewählten Methode zugeordnet sind und Ihnen in Ihrem Arbeitsbereich zur Konfiguration zur Verfügung stehen.
Verwenden des MITRE ATT&CK-Frameworks in Analyseregeln und Vorfällen
Wenn Sie über eine geplante Regel mit angewandten MITRE-Methoden verfügen, die regelmäßig in Ihrem Microsoft Sentinel-Arbeitsbereich ausgeführt wird, verbessert dies den Sicherheitsstatus, der für Ihre Organisation in der MITRE-Abdeckungsmatrix angezeigt wird.
Analyseregeln:
- Wählen Sie beim Konfigurieren von Analyseregeln bestimmte MITRE-Methoden aus, die auf Ihre Regel angewendet werden sollen.
- Wenn Sie nach Analyseregeln suchen, filtern Sie die angezeigten Regeln nach Methode, um Ihre Regeln schneller zu finden.
Weitere Informationen finden Sie unter Standardmäßig verfügbare Erkennung von Bedrohungen und Erstellen benutzerdefinierter Analyseregeln zum Erkennen von Bedrohungen.
Vorfälle:
Wenn Incidents für Warnungen erstellt werden, die durch Regeln mit konfigurierten MITRE-Methoden verfügbar gemacht werden, werden die Methoden ebenfalls den Incidents hinzugefügt.
Weitere Informationen finden Sie unter Untersuchen von Vorfällen mit Microsoft Sentinel.
Bedrohungssuche:
- Wählen Sie beim Erstellen einer neuen Hunting-Abfrage die spezifischen Taktiken und Methoden aus, die auf Ihre Abfrage angewendet werden sollen.
- Wenn Sie nach aktiven Hunting-Abfragen suchen, filtern Sie die angezeigten Abfragen nach den Methoden, indem Sie ein Element aus der Liste oberhalb des Rasters auswählen. Wählen Sie eine Abfrage aus, um die Taktik- und Methodendetails auf der rechten Seite anzuzeigen.
- Verwenden Sie beim Erstellen von Lesezeichen entweder die von der Hunting-Abfrage geerbte Methodenzuordnung, oder erstellen Sie eine eigene Zuordnung.
Weitere Informationen finden Sie unter Suchen nach Bedrohungen mit Microsoft Sentinel und Nachverfolgen von Daten während der Suche (Hunting) mit Microsoft Sentinel.
Nächste Schritte
Weitere Informationen finden Sie unter