Teilen über


Grundlegendes zur Sicherheitsabdeckung durch das MITRE ATT&CK®-Framework

MITRE ATT&CK ist eine öffentlich zugängliche Wissensdatenbank mit Taktiken und Techniken, die häufig von Angreifern verwendet werden, und wird durch Beobachtungen in der realen Welt erstellt und gepflegt. Viele Organisationen verwenden die MITRE ATT&CK-Wissensdatenbank, um spezifische Bedrohungsmodelle und Methoden zu entwickeln, mit denen sie den Sicherheitsstatus in ihren Umgebungen überprüfen können.

Microsoft Sentinel analysiert erfasste Daten nicht nur, um Bedrohungen zu erkennen und Sie bei der Untersuchung zu unterstützen, sondern auch um die Art und Abdeckung des Sicherheitsstatus Ihrer Organisation zu visualisieren.

In diesem Artikel wird beschrieben, wie Sie die Seite MITRE in Microsoft Sentinel verwenden, um die bereits in Ihrem Arbeitsbereich aktiven Erkennungen anzuzeigen, sowie diejenigen, die Ihnen zur Konfiguration zur Verfügung stehen, um die Sicherheitsabdeckung Ihrer Organisation, basierend auf den Taktiken und Methoden des MITRE ATTCK®-Frameworks, zu verstehen.

Wichtig

Die Seite „MITRE“ in Microsoft Sentinel befindet sich derzeit in der VORSCHAUPHASE. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

MITRE ATT&CK Framework-Version

Microsoft Sentinel richtet sich derzeit nach dem MITRE ATT&CK Framework, Version 13.

Anzeigen der aktuellen MITRE-Abdeckung

Wählen Sie in Microsoft Sentinel unter Bedrohungsmanagement MITRE ATTA&CK (Vorschau) aus. Standardmäßig werden in der Abdeckungsmatrix sowohl die derzeit aktiven Regeln für geplante Abfragen als auch die Quasi-Echtzeitregeln (Near Real-Time, NRT) angegeben.

Screenshot des MITRE Deckblatts mit ausgewählten aktiven und simulierten Indikatoren.

  • Verwenden Sie die Legende oben rechts, um zu verstehen, wie viele Erkennungen derzeit in Ihrem Arbeitsbereich für eine bestimmte Methode aktiv sind.

  • Verwenden Sie die Suchleiste oben links, um anhand des Methodennamens oder der ID nach einer bestimmten Methode in der Matrix zu suchen, um den Sicherheitsstatus Ihrer Organisation für die ausgewählte Methode anzuzeigen.

  • Wählen Sie eine bestimmte Methode in der Matrix aus, um weitere Details auf der rechten Seite anzuzeigen. Verwenden Sie dort die Links, um zu einem der folgenden Orte zu wechseln:

    • Wählen Sie im Bereich Beschreibung Vollständige Methodendetails anzeigen ... aus, um weitere Informationen zur ausgewählten Technik in der MITRE ATT&CK Framework Knowledge Base zu erhalten.

    • Scrollen Sie im Bereich nach unten und wählen Sie Links zu einem der aktiven Elemente aus, um zum relevanten Bereich in Microsoft Sentinel zu springen.

    Wählen Sie beispielsweise Hunting-Abfragen aus, um zur Seite Hunting zu wechseln. Dort sehen Sie eine gefilterte Liste der Hunting-Abfragen, die der ausgewählten Methode zugeordnet sind und Ihnen in Ihrem Arbeitsbereich zur Konfiguration zur Verfügung stehen.

Simulieren einer möglichen Abdeckung mit verfügbaren Erkennungen

In der MITRE-Abdeckungsmatrix bezieht sich die simulierte Abdeckung auf Erkennungen, die in Ihrem Microsoft Sentinel-Arbeitsbereich verfügbar, aber derzeit nicht konfiguriert sind. Zeigen Sie Ihre simulierte Abdeckung an, um den möglichen Sicherheitsstatus Ihrer Organisation zu verstehen, wenn Sie alle für Sie verfügbaren Erkennungen konfigurieren würden.

Wählen Sie in Microsoft Sentinel unter Bedrohungsmanagement MITRE ATTA&CK (Vorschau) aus, und wählen Sie dann Elemente im Menü Simuliert aus, um den möglichen Sicherheitsstatus Ihrer Organisation zu simulieren.

Verwenden Sie von dort aus die Elemente der Seite, wie Sie sie sonst in der simulierten Abdeckung für eine bestimmte Methode anzeigen würden.

Verwenden des MITRE ATT&CK-Frameworks in Analyseregeln und Vorfällen

Wenn Sie über eine geplante Regel mit angewandten MITRE-Methoden verfügen, die regelmäßig in Ihrem Microsoft Sentinel-Arbeitsbereich ausgeführt wird, verbessert dies den Sicherheitsstatus, der für Ihre Organisation in der MITRE-Abdeckungsmatrix angezeigt wird.

Weitere Informationen finden Sie unter: