A MITRE ATT&CK felfedezése

  • 3 perc

A MITRE ATT&CK a támadók által gyakran használt taktikák és technikák nyilvánosan elérhető tudásbázis, amelyet valós megfigyelések megfigyelésével hoznak létre és tartanak fenn. Számos szervezet használja a MITRE ATT&CK tudásbázis a környezeteik biztonsági állapotának ellenőrzésére használt konkrét fenyegetésmodellek és módszertanok fejlesztésére.

A Microsoft Sentinel nemcsak a fenyegetések észleléséhez és a kivizsgálásban segít, hanem a szervezet biztonsági állapotának jellegének és lefedettségének megjelenítéséhez is elemzi a betöltött adatokat.

A fenyegetéskeresési hipotézisek kidolgozásakor kritikus fontosságú megérteni a keresett taktikákat és technikákat. A MITRE ATT&CK keretrendszert a Microsoft Sentinel egész területén használják.

A Microsoft Sentinel Fenyegetéskezelés területén a MITRE ATT&CK kiválasztásával megtekintheti a munkaterületen már aktív és konfigurálható észleléseket a szervezet biztonsági lefedettségének megértéséhez a MITRE ATT&CK-keretrendszer® taktikái és technikái alapján.

Aktuális MITRE-lefedettség megtekintése

A Microsoft Sentinel bal oldali Fenyegetéskezelési menüjében válassza a MITRE lehetőséget. Alapértelmezés szerint az aktuálisan aktív ütemezett lekérdezés és a közel valós idejű (NRT) szabályok is szerepelnek a lefedettségi mátrixban.

  • A jobb felső sarokban található jelmagyarázat segítségével megtudhatja, hogy hány észlelés van jelenleg aktív a munkaterületen adott technikához.

  • A bal felső keresősáv használatával megkeresheti a mátrix egy adott technikáját a technika nevével vagy azonosítójával, hogy megtekintse a szervezet biztonsági állapotát a kiválasztott technikához.

  • Válasszon ki egy adott technikát a mátrixban a jobb oldalon található további részletek megtekintéséhez. Itt a hivatkozások segítségével ugorjon az alábbi helyek bármelyikére:

    • A MITRE ATT&CK keretrendszerben tudásbázis a kiválasztott technikával kapcsolatos további információkért válassza a Technika megtekintése lehetőséget.

    • A Microsoft Sentinel megfelelő területére ugráshoz válassza az aktív elemekre mutató hivatkozásokat.

Lehetséges lefedettség szimulálása elérhető észlelésekkel

A MITRE lefedettségi mátrixában a szimulált lefedettség a Microsoft Sentinel-munkaterületen elérhető, de jelenleg nem konfigurált észlelésekre vonatkozik. Tekintse meg a szimulált lefedettséget a szervezet lehetséges biztonsági állapotának megértéséhez, ha az összes elérhető észlelést konfigurálja.

A Microsoft Sentinel bal oldali Általános menüjében válassza a MITRE lehetőséget.

Válassza ki a Szimulálás menü elemeit a szervezet lehetséges biztonsági állapotának szimulálásához.

  • A jobb felső sarokban található jelmagyarázat segítségével megtudhatja, hogy hány észlelés , például elemzési szabálysablonok vagy keresési lekérdezések állnak rendelkezésre a konfiguráláshoz.

  • A bal felső sarokban található keresősávon kereshet egy adott technikát a mátrixban a technika nevével vagy azonosítójával a szervezet szimulált biztonsági állapotának megtekintéséhez a kiválasztott technikához.

  • Válasszon ki egy adott technikát a mátrixban a jobb oldalon található további részletek megtekintéséhez. Itt a hivatkozások segítségével ugorjon az alábbi helyek bármelyikére:

    • A MITRE ATT&CK keretrendszerben tudásbázis a kiválasztott technikával kapcsolatos további információkért válassza a Technika megtekintése lehetőséget.

    • A Microsoft Sentinel megfelelő területére ugráshoz válassza a szimulációs elemekre mutató hivatkozásokat.

Válassza például a Hunting lekérdezések lehetőséget, hogy a Vadászat lapra ugorjon. Itt megjelenik a kiválasztott technikához társított és a munkaterületen konfigurálható keresési lekérdezések szűrt listája.

A MITRE ATT&CK keretrendszer használata elemzési szabályokban és incidensekben

A Microsoft Sentinel-munkaterületen rendszeresen futó MITRE-technikákkal rendelkező ütemezett szabály növeli a szervezet számára a MITRE lefedettségi mátrixban megjelenő biztonsági állapotot.

  • Elemzési szabályok:

    • Az elemzési szabályok konfigurálásakor válassza ki a szabályra alkalmazni kívánt MITRE-technikákat.
    • Elemzési szabályok keresésekor szűrje a technika szerint megjelenített szabályokat, hogy gyorsabban megtalálja a szabályokat.

  • Események:

Amikor incidensek jönnek létre olyan riasztásokhoz, amelyeket a mitRE-technikákkal konfigurált szabályok felszínre hoznak, a technikák az incidensekhez is hozzáadódnak.

  • Fenyegetéskeresés:

    • Új keresési lekérdezés létrehozásakor válassza ki a lekérdezésre alkalmazni kívánt taktikákat és technikákat.

    • Aktív keresési lekérdezések keresésekor a taktikával megjelenített lekérdezéseket úgy szűrheti, hogy kiválaszt egy elemet a rács fölötti listából. Válasszon ki egy lekérdezést a taktika és a technika részleteinek megtekintéséhez a jobb oldalon.

    • Könyvjelzők létrehozásakor használja a keresési lekérdezésből örökölt technikaleképezést, vagy hozzon létre saját leképezést.