Memahami cakupan keamanan oleh kerangka kerja MITRE ATT&CK®

  • Artikel

Penting

Halaman MITRE di Microsoft Sentinel saat ini dalam PRATINJAU. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

MITRE ATT&CK adalah basis pengetahuan taktik dan teknik yang dapat diakses publik yang umumnya digunakan oleh penyerang, dan dibuat dan dikelola dengan mengamati pengamatan dunia nyata. Banyak organisasi menggunakan basis pengetahuan MITRE ATT&CK untuk mengembangkan model ancaman dan metodologi tertentu yang digunakan untuk memverifikasi status keamanan di lingkungan mereka.

Microsoft Sentinel menganalisis data yang diproses, tidak hanya untuk mendeteksi ancaman dan membantu Anda menyelidiki, tetapi juga untuk memvisualisasikan sifat dan cakupan status keamanan organisasi Anda.

Artikel ini menjelaskan cara menggunakan halaman MITRE di Microsoft Azure Sentinel untuk melihat deteksi yang sudah aktif di ruang kerja Anda, dan yang tersedia bagi Anda untuk dikonfigurasi, untuk memahami cakupan keamanan organisasi Anda, berdasarkan taktik dan teknik dari kerangka kerja MITRE ATT&CK®.

Screenshot of the MITRE coverage page with both active and simulated indicators selected.

Microsoft Sentinel saat ini selaras dengan kerangka kerja MITRE ATT&CK, versi 13.

Lihat cakupan MITRE saat ini

Di Microsoft Sentinel, di menu Pengelolaan ancaman di sebelah kiri, pilih MITRE. Secara default, aturan kueri terjadwal yang saat ini aktif dan aturan hampir waktu nyata (NRT) ditunjukkan dalam matriks cakupan.

  • Gunakan legenda di kanan atas untuk memahami berapa banyak deteksi yang saat ini aktif di ruang kerja Anda untuk teknik tertentu.

  • Gunakan bilah penelusuran di kiri atas untuk menelusuri teknik tertentu dalam matriks, menggunakan nama atau ID teknik, untuk melihat status keamanan organisasi Anda untuk teknik yang dipilih.

  • Pilih teknik tertentu dalam matriks untuk melihat detail selengkapnya di sebelah kanan. Di sana, gunakan tautan untuk melompat ke salah satu lokasi berikut:

    • Pilih Lihat detail teknik untuk informasi selengkapnya tentang teknik yang dipilih dalam kerangka kerja MITRE ATT&CK basis pengetahuan.

    • Pilih tautan ke salah satu item aktif untuk melompat ke area yang relevan di Microsoft Sentinel.

Menyimulasikan kemungkinan cakupan dengan deteksi yang tersedia

Dalam matriks cakupan MITRE, cakupan simulasi mengacu pada deteksi yang tersedia, namun saat ini tidak dikonfigurasi, di ruang kerja Microsoft Sentinel Anda. Lihat cakupan simulasi Anda untuk memahami kemungkinan status keamanan organisasi Anda, jika Anda mengonfigurasi semua deteksi yang tersedia untuk Anda.

Di Microsoft Sentinel, di menu Umum di sebelah kiri, pilih MITRE.

Pilih item dalam menu Simulasikan untuk menyimulasikan kemungkinan status keamanan organisasi Anda.

  • Gunakan legenda di kanan atas untuk memahami berapa banyak deteksi, termasuk template aturan analitik atau kueri berburu, yang tersedia untuk dikonfigurasikan.

  • Gunakan bilah penelusuran di kiri atas untuk menelusuri teknik tertentu dalam matriks, menggunakan nama atau ID teknik, untuk melihat simulasi status keamanan organisasi Anda untuk teknik yang dipilih.

  • Pilih teknik tertentu dalam matriks untuk melihat detail selengkapnya di sebelah kanan. Di sana, gunakan tautan untuk melompat ke salah satu lokasi berikut:

    • Pilih Lihat detail teknik untuk informasi selengkapnya tentang teknik yang dipilih dalam kerangka kerja MITRE ATT&CK basis pengetahuan.

    • Pilih tautan ke salah satu item simulasi untuk melompat ke area yang relevan di Microsoft Sentinel.

    Misalnya, pilih Kueri berburu untuk melompat ke halaman Berburu. Di sana, Anda akan melihat daftar kueri berburu yang difilter yang terkait dengan teknik yang dipilih, dan tersedia untuk dikonfigurasikan di ruang kerja Anda.

Menggunakan kerangka kerja MITRE ATT&CK dalam aturan analitik dan insiden

Memiliki aturan terjadwal dengan teknik MITRE yang diterapkan berjalan secara teratur di ruang kerja Microsoft Sentinel Anda akan meningkatkan status keamanan yang ditampilkan untuk organisasi Anda dalam matriks cakupan MITRE.

  • Aturan Analitik:

    • Saat mengonfigurasi aturan analitik, pilih teknik MITRE tertentu yang akan diterapkan ke aturan Anda.
    • Saat mencari aturan analitik, filter aturan yang ditampilkan berdasarkan teknik untuk menemukan aturan Anda lebih cepat.

    Untuk informasi selengkapnya, lihat Mendeteksi ancaman secara langsung dan Membuat aturan analitik kustom untuk mendeteksi ancaman.

  • Insiden:

    Saat insiden dibuat untuk peringatan yang muncul oleh aturan dengan teknik MITRE yang dikonfigurasi, teknik juga ditambahkan ke insiden.

    Untuk informasi selengkapnya, lihat Menyelidiki insiden dengan Microsoft Azure Sentinel.

  • Perburuan ancaman:

    • Saat membuat kueri berburu baru, pilih taktik dan teknik khusus yang akan diterapkan pada kueri Anda.
    • Saat mencari kueri berburu aktif, filter kueri yang ditampilkan oleh taktik dengan memilih item dari daftar di atas kisi. Pilih kueri untuk melihat detail taktik dan teknik di sebelah kanan.
    • Saat membuat bookmark, gunakan teknik pemetaan yang diwarisi dari kueri berburu, atau buat pemetaan Anda sendiri.

    Untuk informasi selengkapnya, lihat Berburu ancaman dengan Microsoft Sentinel dan Melacak data selama berburu dengan Microsoft Sentinel.

Langkah berikutnya

Untuk informasi selengkapnya, lihat: