MITRE ATT&CK® 프레임워크의 보안 적용 범위 이해

  • 아티클

Important

Microsoft Sentinel의 MITRE 페이지는 현재 미리 보기로 제공됩니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.

MITRE ATT&CK는 공격자가 일반적으로 사용하는 전술 및 기술에 대한 공개적으로 액세스할 수 있는 기술 자료이며 실제 관찰을 통해 만들어지고 유지 관리됩니다. 많은 조직에서 MITRE ATT&CK 기술 자료를 사용하여 환경의 보안 상태를 확인하는 데 사용되는 특정 위협 모델 및 방법론을 개발합니다.

Microsoft Sentinel은 수집된 데이터를 분석하여 위협을 감지하고 조사하는 데 도움을 줄 뿐만 아니라 조직 보안 상태의 특성과 범위를 시각화합니다.

이 문서에서는 Microsoft Sentinel의 MITRE 페이지를 사용하여 작업 영역에서 이미 활성화된 탐지 항목과 구성할 수 있는 탐지 항목을 살펴보고 MITRE ATT&CK® 프레임워크의 전술과 기술을 기반으로 조직의 보안 적용 범위를 이해하는 방법을 설명합니다.

Screenshot of the MITRE coverage page with both active and simulated indicators selected.

Microsoft Sentinel은 현재 MITRE ATT&CK 프레임워크 버전 13에 맞춰져 있습니다.

현재 MITRE 적용 범위 보기

Microsoft Sentinel의 왼쪽에 있는 위협 관리 메뉴에서 MITRE를 선택합니다. 기본적으로 현재 활성 예약된 쿼리와 NRT(근 실시간) 규칙이 모두 적용 범위 매트릭스에 표시됩니다.

  • 오른쪽 위에 있는 범례를 사용하여 특정 기술에 대해 작업 영역에서 현재 활성화된 탐지 수를 파악합니다.

  • 왼쪽 위에 있는 검색 창을 사용하여 기술 이름 또는 ID를 사용하여 매트릭스에서 특정 기술을 검색하여 선택한 기술에 대한 조직의 보안 상태를 확인합니다.

  • 매트릭스에서 특정 기술을 선택하여 오른쪽에서 자세한 내용을 확인합니다. 이 위치에서 링크를 사용하여 다음 위치 중 하나로 이동합니다.

    • MITRE ATT&CK 프레임워크 기술 자료에서 선택한 기술에 대한 자세한 내용을 보려면 기술 세부 정보 보기를 선택하세요.

    • 활성 항목에 대한 링크를 선택하여 Microsoft Sentinel의 관련 영역으로 이동합니다.

사용 가능한 탐지로 가능한 적용 범위 시뮬레이트

MITRE 적용 범위 매트릭스에서 시뮬레이션된 적용 범위는 Microsoft Sentinel 작업 영역에서 사용 가능하지만 현재 구성되지 않은 탐지를 나타냅니다. 사용 가능한 모든 탐지를 구성한 경우 시뮬레이션된 적용 범위를 확인하여 조직의 가능한 보안 상태를 파악합니다.

Microsoft Sentinel의 왼쪽에 있는 일반 메뉴에서 MITRE를 선택합니다.

시뮬레이트 메뉴에서 항목을 선택하여 조직의 가능한 보안 상태를 시뮬레이션합니다.

  • 오른쪽 위에 있는 범례를 사용하여 분석 규칙 템플릿 또는 헌팅 쿼리를 포함하여 구성할 수 있는 탐지 수를 파악합니다.

  • 왼쪽 위에 있는 검색 창을 사용하여 기술 이름 또는 ID를 사용하여 매트릭스에서 특정 기술을 검색하여 선택한 기술에 대한 조직의 시뮬레이션된 보안 상태를 확인합니다.

  • 매트릭스에서 특정 기술을 선택하여 오른쪽에서 자세한 내용을 확인합니다. 이 위치에서 링크를 사용하여 다음 위치 중 하나로 이동합니다.

    • MITRE ATT&CK 프레임워크 기술 자료에서 선택한 기술에 대한 자세한 내용을 보려면 기술 세부 정보 보기를 선택하세요.

    • 시뮬레이션 항목에 대한 링크를 선택하여 Microsoft Sentinel의 관련 영역으로 이동합니다.

    예를 들어 헌팅 쿼리를 선택하여 헌팅 페이지로 이동합니다. 여기에는 선택한 기술과 연결되고 작업 영역에서 구성할 수 있는 헌팅 쿼리의 필터링된 목록이 표시됩니다.

분석 규칙 및 인시던트에서 MITRE ATT&CK 프레임워크 사용

Microsoft Sentinel 작업 영역에서 정기적으로 실행되는 MITRE 기술이 적용된 예약된 규칙을 사용하면 MITRE 적용 범위 매트릭스에서 조직에 대해 표시되는 보안 상태가 향상됩니다.

  • 분석 규칙:

    • 분석 규칙을 구성할 때 규칙에 적용할 특정 MITRE 기술을 선택합니다.
    • 분석 규칙을 검색할 때 표시되는 규칙을 기술별로 필터링하여 규칙을 더 빠르게 찾습니다.

    자세한 내용은 곧바로 위협 탐지위협 탐지를 위한 사용자 지정 분석 규칙 만들기를 참조하세요.

  • 인시던트:

    MITRE 기술이 구성된 규칙에 의해 표시되는 경고에 대한 인시던트가 만들어지면 이 기술도 인시던트에 추가됩니다.

    자세한 내용은 Microsoft Sentinel로 인시던트 조사를 참조하세요.

  • 위협 헌팅:

    • 새 헌팅 쿼리를 만들 때 쿼리에 적용할 특정 전술 및 기술을 선택합니다.
    • 활성 헌팅 쿼리를 검색할 때 표 위의 목록에서 항목을 선택하여 전술별로 표시되는 쿼리를 필터링합니다. 쿼리를 선택하면 오른쪽에 전술 및 기술 세부 정보가 보입니다.
    • 책갈피를 만들 때 헌팅 쿼리에서 상속된 기술 매핑을 사용하거나 고유한 매핑을 만듭니다.

    자세한 내용은 Microsoft Sentinel로 위협 추적Microsoft Sentinel을 사용하여 헌팅하는 동안 데이터 추적을 참조하세요.

다음 단계

자세한 내용은 다음을 참조하세요.