Comprender la cobertura de seguridad por el marco MITRE ATT&CK®
Importante
La página de MITRE en Microsoft Sentinel SAP está actualmente en VERSIÓN PRELIMINAR. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.
MITRE ATT&CK es una base de conocimiento accesible públicamente de tácticas y técnicas que suelen usar los atacantes, y se crea y mantiene observando observaciones reales. Muchas organizaciones usan la base de conocimiento MITRE ATT&CK para desarrollar metodologías y modelos de amenazas específicos que se usan para comprobar el estado de seguridad en sus entornos.
Microsoft Sentinel analiza los datos ingeridos, no solo para detectar amenazas y ayudarle a investigarlas, sino también para visualizar la naturaleza y la cobertura del estado de seguridad de su organización.
En este artículo se describe cómo usar la página MITRE de Microsoft Sentinel para ver las detecciones que ya están activas en el área de trabajo y las disponibles para configurar, para comprender la cobertura de seguridad de su organización, en función de las tácticas y técnicas del marco MITRE ATT&CK®.
Microsoft Sentinel está alineado actualmente con el marco MITRE ATT&CK, versión 13.
Visualización de la cobertura actual de MITRE
En Microsoft Sentinel, en el menú Threat management (Administración de amenazas) de la izquierda, seleccione MITRE. De forma predeterminada, tanto la consulta programada activa actualmente como las reglas casi en tiempo real (NRT) se indican en la matriz de cobertura.
Use la leyenda de la parte superior derecha para saber cuántas detecciones están activas actualmente en el área de trabajo de una técnica concreta.
Use la barra de búsqueda de la parte superior izquierda para buscar una técnica específica en la matriz, para lo que debe usar el nombre o el identificador de la técnica, con el fin de ver el estado de seguridad de la organización para la técnica seleccionada.
Seleccione una técnica específica en la matriz para ver más detalles a la derecha. Ahí, use los vínculos para saltar a cualquiera de las siguientes ubicaciones:
Seleccione Ver detalles de la técnica para obtener más información sobre la técnica seleccionada en la base de conocimiento del marco MITRE ATT&CK.
Seleccione los vínculos a cualquiera de los elementos activos para saltar al área correspondiente en Microsoft Sentinel.
Simulación de una posible cobertura con las detecciones disponibles
En la matriz de cobertura de MITRE, la cobertura simulada hace referencia a las detecciones que están disponibles, pero que no están configuradas actualmente, en el área de trabajo de Microsoft Sentinel. Vea la cobertura simulada para conocer el posible estado de seguridad de su organización, por si fuera a configurar todas las detecciones disponibles.
En Microsoft Sentinel, en el menú General de la izquierda, seleccione MITRE.
Seleccione elementos en el menú Simulate (Simular) para simular el posible estado de seguridad de su organización.
Use la leyenda de la parte superior derecha para saber cuántas detecciones, incluidas las plantillas de reglas de análisis o las consultas de búsqueda, están disponibles para configurarlas.
Use la barra de búsqueda de la parte superior izquierda para buscar una técnica específica en la matriz, para lo que debe usar el nombre o el identificador de la técnica, con el fin de ver el estado de seguridad simulado de la organización para la técnica seleccionada.
Seleccione una técnica específica en la matriz para ver más detalles a la derecha. Ahí, use los vínculos para saltar a cualquiera de las siguientes ubicaciones:
Seleccione Ver detalles de la técnica para obtener más información sobre la técnica seleccionada en la base de conocimiento del marco MITRE ATT&CK.
Seleccione los vínculos a cualquiera de los elementos de simulación para saltar al área correspondiente en Microsoft Sentinel.
Por ejemplo, seleccione Hunting queries (Consultas de búsqueda) para saltar a la página Hunting (Búsqueda). Allí verá una lista filtrada de las consultas de búsqueda asociadas a la técnica seleccionada y disponibles para configurarlas en el área de trabajo.
Usar el marco MITRE ATT&CK en reglas de análisis e incidentes
Tener una regla programada en la que se ciertas técnicas MITRE aplicadas se ejecuten con regularidad en el área de trabajo de Microsoft Sentinel mejora el estado de seguridad que se muestra para su organización en la matriz de cobertura de MITRE.
Reglas de análisis:
- Cuando configure reglas de análisis, seleccione las técnicas MITRE específicas que desea aplicar a la regla.
- Al buscar reglas de análisis, filtre las reglas que se muestran por técnica para encontrar las reglas más rápidamente.
Para más información, consulte Detección de amenazas integrada y Creación de reglas de análisis personalizadas para detectar amenazas.
Incidents (Incidentes):
Cuando se crean incidentes para alertas que muestran las reglas con técnicas MITRE configuradas, las técnicas también se agregan a los incidentes.
Para más información, consulte el documento Investigación de incidentes con Microsoft Sentinel.
Búsqueda de amenazas:
- Cuando cree una consulta de búsqueda, seleccione las tácticas y técnicas específicas que se van a aplicar a la consulta.
- Al buscar consultas de búsqueda activas, filtre las consultas que se muestran por tácticas, para lo que debe seleccionar un elemento de la lista que está encima de la cuadrícula. Seleccione una consulta para ver los detalles de táctica y técnica a la derecha.
- Al crear marcadores, use la asignación de técnicas heredada de la consulta de búsqueda o cree su propia asignación.
Para más información, consulte Búsqueda de amenazas con Microsoft Sentinel y Realización de un seguimiento de los datos durante la búsqueda con Microsoft Sentinel.
Pasos siguientes
Para más información, consulte: