Descripción sobre la cobertura de seguridad mediante el marco MITRE ATT&CK

MITRE ATT&CK es una base de conocimiento accesible públicamente de tácticas y técnicas que suelen usar los atacantes, y se crea y mantiene por medio de observaciones del mundo real. Muchas organizaciones usan la base de conocimiento MITRE ATT&CK para desarrollar metodologías y modelos de amenazas específicos que se usan para comprobar el estado de seguridad en sus entornos.

Microsoft Sentinel analiza los datos ingeridos, no solo para detectar amenazas y ayudarle a investigarlas, sino también para visualizar la naturaleza y la cobertura del estado de seguridad de su organización.

En este artículo, se describe cómo usar la página MITRE de Microsoft Sentinel para ver las detecciones que ya están activas en el área de trabajo, así como las que disponibles para configurarlas, con el fin de que conozca la cobertura de seguridad de su organización, según las tácticas y técnicas del marco MITRE ATT&CK®.

Importante

La página de MITRE en Microsoft Sentinel SAP está actualmente en VERSIÓN PRELIMINAR. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

Versión del marco de MITRE ATT&CK

Microsoft Sentinel está alineado actualmente con el marco MITRE ATT&CK, versión 13.

Visualización de la cobertura actual de MITRE

En Microsoft Sentinel, en Administración de amenazas, seleccione MITRE ATTA&CK (versión preliminar). De forma predeterminada, tanto la consulta programada activa actualmente como las reglas casi en tiempo real (NRT) se indican en la matriz de cobertura.

• Use la leyenda de la parte superior derecha para saber cuántas detecciones están activas actualmente en el área de trabajo de una técnica concreta.

• Use la barra de búsqueda de la parte superior izquierda para buscar una técnica específica en la matriz, para lo que debe usar el nombre o el identificador de la técnica, con el fin de ver el estado de seguridad de la organización para la técnica seleccionada.

• Seleccione una técnica específica en la matriz para ver más detalles a la derecha. Ahí, use los vínculos para saltar a cualquiera de las siguientes ubicaciones:

  • En el área Descripción, seleccione Ver detalles técnicos completos... para obtener más información sobre la técnica seleccionada en la base de conocimiento del marco MITRE ATT&CK.

  • Desplácese hacia abajo en el panel y seleccione los vínculos a cualquiera de los elementos activos para saltar al área correspondiente en Microsoft Sentinel.

  Por ejemplo, seleccione Hunting queries (Consultas de búsqueda) para saltar a la página Hunting (Búsqueda). Allí verá una lista filtrada de las consultas de búsqueda asociadas a la técnica seleccionada y disponibles para configurarlas en el área de trabajo.

Simulación de una posible cobertura con las detecciones disponibles

En la matriz de cobertura de MITRE, la cobertura simulada hace referencia a las detecciones que están disponibles, pero que no están configuradas actualmente, en el área de trabajo de Microsoft Sentinel. Vea la cobertura simulada para conocer el posible estado de seguridad de su organización, por si fuera a configurar todas las detecciones disponibles.

En Microsoft Sentinel, en Administración de amenazas, seleccione MITRE ATTA&CK (versión preliminar) y, a continuación, seleccione elementos en el menú Simulado para simular el posible estado de seguridad de la organización.

A partir de ahí, utilice los elementos de la página como lo haría de otro modo para ver la cobertura simulada de una técnica específica.

Usar el marco MITRE ATT&CK en reglas de análisis e incidentes

Tener una regla programada en la que se ciertas técnicas MITRE aplicadas se ejecuten con regularidad en el área de trabajo de Microsoft Sentinel mejora el estado de seguridad que se muestra para su organización en la matriz de cobertura de MITRE.

• Reglas de análisis:

  • Cuando configure reglas de análisis, seleccione las técnicas MITRE específicas que desea aplicar a la regla.
  • Al buscar reglas de análisis, filtre las reglas que se muestran por técnica para encontrar las reglas más rápidamente.

  Para más información, consulte Detección de amenazas integrada y Creación de reglas de análisis personalizadas para detectar amenazas.

• Incidents (Incidentes):

  Cuando se crean incidentes para alertas que muestran las reglas con técnicas MITRE configuradas, las técnicas también se agregan a los incidentes.

  Para más información, consulte el documento Investigación de incidentes con Microsoft Sentinel.

• Búsqueda de amenazas:

  • Cuando cree una consulta de búsqueda, seleccione las tácticas y técnicas específicas que se van a aplicar a la consulta.
  • Al buscar consultas de búsqueda activas, filtre las consultas que se muestran por tácticas, para lo que debe seleccionar un elemento de la lista que está encima de la cuadrícula. Seleccione una consulta para ver los detalles de táctica y técnica a la derecha.
  • Al crear marcadores, use la asignación de técnicas heredada de la consulta de búsqueda o cree su propia asignación.

  Para más información, consulte Búsqueda de amenazas con Microsoft Sentinel y Realización de un seguimiento de los datos durante la búsqueda con Microsoft Sentinel.

Contenido relacionado

Para más información, vea:

• Marco MITRE | ATT&CK
• MITRE ATT&CK para sistemas de control industriales