Comprendre la couverture de la sécurité par le framework MITRE ATT&CK®
Important
La page MITRE de Microsoft Sentinel est en préversion. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.
MITRE ATT&CK est une base de connaissances accessible publiquement de tactiques et de techniques couramment utilisées par les attaquants et est créée et gérée en fonction des observations du monde réel. De nombreuses organisations utilisent la base de connaissances MITRE ATT&CK pour développer des modèles et des méthodologies de menaces spécifiques qui sont utilisés pour vérifier l’état de la sécurité dans leurs environnements.
Microsoft Sentinel analyse les données ingérées, non seulement pour détecter les menaces et vous aider à les investiguer, mais également pour visualiser la nature et la couverture de l’état de sécurité de votre organisation.
Cet article explique comment utiliser la page MITRE dans Microsoft Sentinel pour afficher les détections déjà actives dans votre espace de travail, et celles que vous pouvez configurer, afin de comprendre la couverture de sécurité de votre organisation, en fonction des tactiques et des techniques issues du framework MITRE ATT&CK®.
Microsoft Sentinel est aligné sur le framework MITRE ATT&CK, version 9.
Afficher la couverture MITRE actuelle
Dans Microsoft Sentinel, dans le menu Gestion des menaces sur la gauche, sélectionnez MITRE. Par défaut, les règles de requête planifiée active et en temps quasi réel (NRT) sont indiquées dans la matrice de couverture.
Utilisez la légende en haut à droite pour comprendre le nombre de détections actives dans votre espace de travail pour une technique spécifique.
Utilisez la barre de recherche en haut à gauche pour rechercher une technique spécifique dans la matrice, en utilisant le nom ou l’ID de la technique, afin d’afficher l’état de sécurité de votre organisation pour la technique sélectionnée.
Sélectionnez une technique spécifique dans la matrice pour afficher plus de détails à droite. À partir de là, utilisez les liens pour accéder à l’un des emplacements suivants :
Sélectionnez Afficher les détails de la technique pour plus d’informations sur la technique sélectionnée dans la base de connaissances du framework MITRE ATT&CK.
Sélectionnez les liens vers les éléments actifs pour accéder à la zone appropriée dans Microsoft Sentinel.
Simuler la couverture possible avec les détections disponibles
Dans la matrice de couverture MITRE, la couverture simulée fait référence aux détections qui sont disponibles, mais qui ne sont pas configurées, dans votre espace de travail Microsoft Sentinel. Affichez votre couverture simulée pour comprendre l’état de sécurité possible de votre organisation, si vous deviez configurer toutes les détections disponibles.
Dans Microsoft Sentinel, dans le menu Général situé à gauche, sélectionnez MITRE.
Sélectionnez des éléments dans le menu Simuler pour simuler l’état de sécurité possible de votre organisation.
Utilisez la légende en haut à droite pour comprendre le nombre de détections, notamment les modèles de règle d’analyse ou les requêtes de chasse, que vous pouvez configurer.
Utilisez la barre de recherche en haut à gauche pour rechercher une technique spécifique dans la matrice, en utilisant le nom ou l’ID de la technique, afin d’afficher l’état de sécurité simulée de votre organisation pour la technique sélectionnée.
Sélectionnez une technique spécifique dans la matrice pour afficher plus de détails à droite. À partir de là, utilisez les liens pour accéder à l’un des emplacements suivants :
Sélectionnez Afficher les détails de la technique pour plus d’informations sur la technique sélectionnée dans la base de connaissances du framework MITRE ATT&CK.
Sélectionnez les liens vers les éléments de simulation pour accéder à la zone appropriée dans Microsoft Sentinel.
Par exemple, sélectionnez Requêtes de chasse pour accéder à la page Chasse. À partir de là, vous voyez une liste filtrée des requêtes de chasse associées à la technique sélectionnée et que vous pouvez configurer dans votre espace de travail.
Utiliser le framework MITRE ATT&CK dans les règles d’analyse et les incidents
L’exécution régulière dans votre espace de travail Microsoft Sentinel d’une règle planifiée à laquelle sont appliquées des techniques MITRE améliore l’état de sécurité affiché pour votre organisation dans la matrice de couverture MITRE.
Règles analytiques :
- Quand vous configurez des règles analytiques, sélectionnez les techniques MITRE spécifiques à appliquer à votre règle.
- Quand vous recherchez des règles analytiques, filtrez les règles affichées par technique pour trouver vos règles plus rapidement.
Pour plus d’informations, consultez Détection des menaces prête à l’emploi et Créer des règles d’analytique personnalisées pour détecter des menaces.
Incidents :
Quand des incidents sont créés pour des alertes signalées par des règles pour lesquelles des techniques MITRE sont configurées, les techniques sont également ajoutées aux incidents.
Pour plus d’informations, consultez Examiner les incidents avec Microsoft Sentinel.
Chasse aux menaces :
- Quand vous créez une requête de chasse, sélectionnez les tactiques et techniques spécifiques à appliquer à votre requête.
- Quand vous recherchez des requêtes de chasse actives, filtrez les requêtes affichées par tactiques en sélectionnant un élément dans la liste au-dessus de la grille. Sélectionnez une requête pour afficher les détails de la tactique et de la technique à droite.
- Quand vous créez des signets, utilisez le mappage technique hérité de la requête de chasse ou créez votre propre mappage.
Pour plus d’informations, consultez Recherche de menaces avec Microsoft Sentinel et Effectuer le suivi des données pendant la chasse avec Microsoft Sentinel.
Étapes suivantes
Pour plus d'informations, consultez les pages suivantes :