Inzicht in de beveiligingsdekking door het MITRE ATT&CK-framework®

  • Artikel

Belangrijk

De MITRE-pagina in Microsoft Sentinel is momenteel beschikbaar als PREVIEW-versie. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

MITRE ATT&CK is een openbaar toegankelijke knowledge base van tactieken en technieken die vaak worden gebruikt door aanvallers en wordt gemaakt en onderhouden door het observeren van echte waarnemingen. Veel organisaties gebruiken de MITRE ATT&CK-knowledge base om specifieke bedreigingsmodellen en methodologieën te ontwikkelen die worden gebruikt om de beveiligingsstatus in hun omgevingen te verifiëren.

Microsoft Sentinel analyseert opgenomen gegevens, niet alleen om bedreigingen te detecteren en u te helpen onderzoeken, maar ook om de aard en dekking van de beveiligingsstatus van uw organisatie te visualiseren.

In dit artikel wordt beschreven hoe u de MITRE-pagina in Microsoft Sentinel gebruikt om de detecties weer te geven die al actief zijn in uw werkruimte en de detecties die u kunt configureren, om inzicht te krijgen in de beveiligingsdekking van uw organisatie, op basis van de tactieken en technieken van het MITRE ATT&CK-framework®.

Screenshot of the MITRE coverage page with both active and simulated indicators selected.

Microsoft Sentinel is momenteel afgestemd op het MITRE ATT&CK-framework, versie 13.

Huidige MITRE-dekking weergeven

Selecteer MITRE in Microsoft Sentinel in het menu Bedreigingsbeheer aan de linkerkant. Standaard worden zowel actieve geplande queryregels als bijna realtimeregels (NRT) aangegeven in de dekkingsmatrix.

  • Gebruik de legenda in de rechterbovenhoek om te begrijpen hoeveel detecties momenteel actief zijn in uw werkruimte voor specifieke technieken.

  • Gebruik de zoekbalk linksboven om te zoeken naar een specifieke techniek in de matrix, met behulp van de naam of id van de techniek, om de beveiligingsstatus van uw organisatie voor de geselecteerde techniek weer te geven.

  • Selecteer een specifieke techniek in de matrix om meer details aan de rechterkant weer te geven. Gebruik daar de koppelingen om naar een van de volgende locaties te gaan:

    • Selecteer Techniekdetails weergeven voor meer informatie over de geselecteerde techniek in de KNOWLEDGE BASE van het MITRE ATT&CK-framework.

    • Selecteer koppelingen naar een van de actieve items om naar het relevante gebied in Microsoft Sentinel te gaan.

Mogelijke dekking simuleren met beschikbare detecties

In de MITRE-dekkingsmatrix verwijst gesimuleerde dekking naar detecties die beschikbaar zijn, maar momenteel niet geconfigureerd, in uw Microsoft Sentinel-werkruimte. Bekijk uw gesimuleerde dekking om inzicht te krijgen in de mogelijke beveiligingsstatus van uw organisatie, was het u om alle detecties te configureren die voor u beschikbaar zijn.

In Microsoft Sentinel selecteert u MITRE in het menu Algemeen aan de linkerkant.

Selecteer items in het menu Simuleren om de mogelijke beveiligingsstatus van uw organisatie te simuleren.

  • Gebruik de legenda in de rechterbovenhoek om te begrijpen hoeveel detecties, waaronder analyseregelsjablonen of opsporingsquery's, beschikbaar zijn om te configureren.

  • Gebruik de zoekbalk linksboven om te zoeken naar een specifieke techniek in de matrix, met behulp van de naam of id van de techniek, om de gesimuleerde beveiligingsstatus van uw organisatie voor de geselecteerde techniek weer te geven.

  • Selecteer een specifieke techniek in de matrix om meer details aan de rechterkant weer te geven. Gebruik daar de koppelingen om naar een van de volgende locaties te gaan:

    • Selecteer Techniekdetails weergeven voor meer informatie over de geselecteerde techniek in de KNOWLEDGE BASE van het MITRE ATT&CK-framework.

    • Selecteer koppelingen naar een van de simulatie-items om naar het relevante gebied in Microsoft Sentinel te gaan.

    Selecteer bijvoorbeeld Opsporingsquery's om naar de opsporingspagina te gaan. Daar ziet u een gefilterde lijst met de opsporingsquery's die zijn gekoppeld aan de geselecteerde techniek en die u kunt configureren in uw werkruimte.

Het MITRE ATT&CK-framework gebruiken in analyseregels en incidenten

Als u een geplande regel met MITRE-technieken hebt toegepast die regelmatig worden uitgevoerd in uw Microsoft Sentinel-werkruimte, verbetert u de beveiligingsstatus die voor uw organisatie wordt weergegeven in de MITRE-dekkingsmatrix.

  • Analyseregels:

    • Wanneer u analyseregels configureert, selecteert u specifieke MITRE-technieken die u op uw regel wilt toepassen.
    • Bij het zoeken naar analyseregels filtert u de regels die worden weergegeven op techniek om uw regels sneller te vinden.

    Zie Bedreigingen out-of-the-box detecteren en aangepaste analyseregels maken om bedreigingen te detecteren voor meer informatie.

  • Incidenten:

    Wanneer incidenten worden gemaakt voor waarschuwingen die worden weergegeven door regels waarop MITRE-technieken zijn geconfigureerd, worden de technieken ook toegevoegd aan de incidenten.

    Zie Incidenten onderzoeken met Microsoft Sentinel voor meer informatie.

  • Opsporing van bedreigingen:

    • Wanneer u een nieuwe opsporingsquery maakt, selecteert u de specifieke tactieken en technieken die u op uw query wilt toepassen.
    • Bij het zoeken naar actieve opsporingsquery's filtert u de query's die worden weergegeven op tactieken door een item in de lijst boven het raster te selecteren. Selecteer een query om tactiek- en techniekdetails aan de rechterkant weer te geven.
    • Wanneer u bladwijzers maakt, gebruikt u de techniektoewijzing die is overgenomen van de opsporingsquery of maakt u uw eigen toewijzing.

    Zie Hunt for threats with Microsoft Sentinel and Keep track of data during hunting with Microsoft Sentinel (Zoeken naar bedreigingen met Microsoft Sentinel) voor meer informatie.

Volgende stappen

Zie voor meer informatie: