Comprendere la copertura della sicurezza in base al framework MITRE ATT&CK®

Importante

La pagina MITRE in Microsoft Sentinel è attualmente disponibile in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.

MITRE ATT&CK è una knowledge base accessibile pubblicamente di tattiche e tecniche comunemente usate dagli utenti malintenzionati e viene creata e gestita osservando osservazioni reali. Molte organizzazioni usano la knowledge base MITRE ATT&CK per sviluppare metodi e modelli di minaccia specifici usati per verificare lo stato di sicurezza nei propri ambienti.

Microsoft Sentinel analizza i dati inseriti, non solo per rilevare le minacce e facilitare l'analisi, ma anche per visualizzare la natura e la copertura dello stato di sicurezza dell'organizzazione.

Questo articolo descrive come usare la pagina MITRE in Microsoft Sentinel per visualizzare i rilevamenti già attivi nell'area di lavoro e quelli disponibili per la configurazione, per comprendere la copertura della sicurezza dell'organizzazione, in base alle tattiche e alle tecniche del framework MITRE ATT&CK®.

Microsoft Sentinel è attualmente allineato al framework MITRE ATT&CK, versione 13.

Visualizzare la copertura corrente di MITRE

In Microsoft Sentinel, nel menu Gestione delle minacce a sinistra, selezionare MITRE. Per impostazione predefinita, nella matrice di copertura sono indicate sia le regole di query pianificate attualmente attive che quelle NRT (Near Real Time).

• Usare la legenda in alto a destra per visualizzare il numero di rilevamenti attualmente attivi nell'area di lavoro per una tecnica specifica.

• Usare la barra di ricerca in alto a sinistra per cercare una tecnica specifica nella matrice, specificando il relativo nome o l'ID, e visualizzare lo stato di sicurezza dell'organizzazione per la tecnica selezionata.

• Selezionare una tecnica specifica nella matrice per visualizzare altri dettagli a destra. Usare i collegamenti disponibili per passare a una delle posizioni seguenti:

  • Selezionare Visualizza dettagli tecnica per altre informazioni sulla tecnica selezionata nella knowledge base del framework MITRE ATT&CK.

  • Selezionare i collegamenti a uno degli elementi attivi per passare all'area pertinente in Microsoft Sentinel.

Simulare la copertura possibile con i rilevamenti disponibili

Nella matrice di copertura di MITRE la copertura simulata fa riferimento ai rilevamenti disponibili, ma non attualmente configurati, nell'area di lavoro di Microsoft Sentinel. Visualizzare la copertura simulata per comprendere lo stato di sicurezza possibile dell'organizzazione, qualora si intenda configurare tutti i rilevamenti disponibili.

In Microsoft Sentinel, nel menu Generale a sinistra, selezionare MITRE.

Selezionare gli elementi nel menu Simula per simulare lo stato di sicurezza possibile dell'organizzazione.

• Usare la legenda in alto a destra per visualizzare il numero di rilevamenti, inclusi i modelli di regole di analisi e le query di ricerca, disponibili per la configurazione.

• Usare la barra di ricerca in alto a sinistra per cercare una tecnica specifica nella matrice, specificando il relativo nome o l'ID, per visualizzare lo stato di sicurezza simulato dell'organizzazione per la tecnica selezionata.

• Selezionare una tecnica specifica nella matrice per visualizzare altri dettagli a destra. Usare i collegamenti disponibili per passare a una delle posizioni seguenti:

  • Selezionare Visualizza dettagli tecnica per altre informazioni sulla tecnica selezionata nella knowledge base del framework MITRE ATT&CK.

  • Selezionare i collegamenti a uno degli elementi simulati per passare all'area pertinente in Microsoft Sentinel.

  Ad esempio, selezionare Hunting queries per passare alla pagina Hunting. Verrà visualizzato un elenco filtrato delle query di ricerca associate alla tecnica selezionata e disponibili per la configurazione nell'area di lavoro.

Usare il framework MITRE ATT&CK nelle regole di analisi e negli eventi imprevisti

Avendo una regola pianificata con le tecniche MITRE applicate, regolarmente in esecuzione nell'area di lavoro di Microsoft Sentinel, è possibile ottimizzare lo stato di sicurezza mostrato per l'organizzazione nella matrice di copertura di MITRE.

• Regole di analisi:

  • Per la configurazione di regole di analisi, selezionare specifiche tecniche MITRE da applicare.
  • Per la ricerca di regole di analisi, filtrare le regole visualizzate dalla tecnica per trovare più rapidamente quelle necessarie.

  Per altre informazioni, vedere Rilevare le minacce predefinite e Creare regole di analisi personalizzate per rilevare le minacce.

• Eventi imprevisti:

  Quando vengono creati eventi imprevisti per gli avvisi generati dalle regole con le tecniche MITRE configurate, le tecniche vengono aggiunte anche agli eventi imprevisti.

  Per altre informazioni, vedere Analizzare gli eventi imprevisti con Microsoft Sentinel.

• Ricerca di minacce:

  • Per la creazione di una nuova query di ricerca, selezionare le tattiche e le tecniche specifiche da applicare.
  • Per la ricerca di query di ricerca attive, filtrare le query visualizzate in base alle tattiche selezionando un elemento nell'elenco sopra la griglia. Selezionare una query per visualizzare i dettagli della tattica e della tecnica a destra.
  • Quando si creano segnalibri, usare il mapping di tecniche ereditato dalla query di ricerca o crearne uno personalizzato.

  Per altre informazioni, vedere Cercare le minacce con Microsoft Sentinel e Tenere traccia dei dati durante la ricerca con Microsoft Sentinel.

Passaggi successivi

Per altre informazioni, vedi:

• MITRE | Framework ATT&CK
• MITRE ATT&CK per sistemi di controllo industriale