Omówienie pokrycia zabezpieczeń przez platformę MITRE ATT&CK®
Ważne
Strona MITRE w usłudze Microsoft Sentinel jest obecnie dostępna w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
MITRE ATT&CK jest publicznie dostępnym baza wiedzy taktyki i technik, które są powszechnie używane przez osoby atakujące i są tworzone i utrzymywane przez obserwowanie rzeczywistych obserwacji. Wiele organizacji używa baza wiedzy MITRE ATT&CK do opracowywania określonych modeli zagrożeń i metodologii używanych do weryfikowania stanu zabezpieczeń w swoich środowiskach.
Usługa Microsoft Sentinel analizuje pozyskane dane, nie tylko wykrywa zagrożenia i pomaga badać, ale także wizualizować charakter i pokrycie stanu zabezpieczeń organizacji.
W tym artykule opisano sposób używania strony MITRE w usłudze Microsoft Sentinel do wyświetlania wykryć, które są już aktywne w obszarze roboczym, oraz tych, które są dostępne do skonfigurowania, w celu zrozumienia pokrycia zabezpieczeń organizacji na podstawie taktyki i technik z platformy MITRE ATT&CK®.
Usługa Microsoft Sentinel jest obecnie zgodna ze strukturą MITRE ATT&CK w wersji 13.
Wyświetlanie bieżącego pokrycia MITRE
W usłudze Microsoft Sentinel w menu Zarządzanie zagrożeniami po lewej stronie wybierz pozycję MITRE. Domyślnie zarówno obecnie aktywne zaplanowane zapytanie, jak i reguły niemal w czasie rzeczywistym (NRT) są wskazywane w macierzy pokrycia.
Użyj legendy w prawym górnym rogu , aby dowiedzieć się, ile wykryć jest obecnie aktywnych w obszarze roboczym dla określonej techniki.
Użyj paska wyszukiwania w lewym górnym rogu, aby wyszukać określoną technikę w macierzy przy użyciu nazwy techniki lub identyfikatora, aby wyświetlić stan zabezpieczeń organizacji dla wybranej techniki.
Wybierz określoną technikę w macierzy, aby wyświetlić więcej szczegółów po prawej stronie. W tym miejscu użyj linków, aby przejść do dowolnej z następujących lokalizacji:
Wybierz pozycję Wyświetl szczegóły techniki, aby uzyskać więcej informacji na temat wybranej techniki w strukturze MITRE ATT&CK baza wiedzy.
Wybierz linki do dowolnego aktywnego elementu, aby przejść do odpowiedniego obszaru w usłudze Microsoft Sentinel.
Symulowanie możliwego pokrycia za pomocą dostępnych wykryć
W macierzy pokrycia MITRE symulowane pokrycie odnosi się do wykrywania, które są dostępne, ale nie są obecnie skonfigurowane, w obszarze roboczym usługi Microsoft Sentinel. Wyświetl symulowane pokrycie, aby zrozumieć możliwy stan zabezpieczeń organizacji, czy skonfigurowano wszystkie dostępne dla Ciebie wykrycia.
W usłudze Microsoft Sentinel w menu Ogólne po lewej stronie wybierz pozycję MITRE.
Wybierz elementy w menu Symulowanie , aby symulować możliwy stan zabezpieczeń organizacji.
Użyj legendy w prawym górnym rogu , aby dowiedzieć się, ile wykryć, w tym szablonów reguł analizy lub zapytań wyszukiwania zagrożeń, jest dostępnych do skonfigurowania.
Użyj paska wyszukiwania w lewym górnym rogu, aby wyszukać określoną technikę w macierzy przy użyciu nazwy techniki lub identyfikatora, aby wyświetlić symulowany stan zabezpieczeń organizacji dla wybranej techniki.
Wybierz określoną technikę w macierzy, aby wyświetlić więcej szczegółów po prawej stronie. W tym miejscu użyj linków, aby przejść do dowolnej z następujących lokalizacji:
Wybierz pozycję Wyświetl szczegóły techniki, aby uzyskać więcej informacji na temat wybranej techniki w strukturze MITRE ATT&CK baza wiedzy.
Wybierz linki do dowolnego elementu symulacji, aby przejść do odpowiedniego obszaru w usłudze Microsoft Sentinel.
Na przykład wybierz pozycję Zapytania wyszukiwania zagrożeń , aby przejść do strony Wyszukiwanie zagrożeń . W tym miejscu zostanie wyświetlona filtrowana lista zapytań wyszukiwania zagrożeń skojarzonych z wybraną techniką i dostępna do skonfigurowania w obszarze roboczym.
Używanie struktury MITRE ATT&CK w regułach analizy i zdarzeniach
Zaplanowana reguła z technikami MITRE stosowanymi regularnie w obszarze roboczym usługi Microsoft Sentinel zwiększa stan zabezpieczeń wyświetlany dla organizacji w macierzy pokrycia MITRE.
Reguły analizy:
- Podczas konfigurowania reguł analizy wybierz określone techniki MITRE, które mają być stosowane do reguły.
- Podczas wyszukiwania reguł analizy przefiltruj reguły wyświetlane przy użyciu techniki, aby szybciej znaleźć reguły.
Aby uzyskać więcej informacji, zobacz Wykrywanie zagrożeń poza urządzeniem i Tworzenie niestandardowych reguł analizy w celu wykrywania zagrożeń.
Zdarzenia:
Gdy zdarzenia są tworzone dla alertów, które są udostępniane przez reguły za pomocą skonfigurowanych technik MITRE, techniki są również dodawane do zdarzeń.
Aby uzyskać więcej informacji, zobacz Badanie zdarzeń za pomocą usługi Microsoft Sentinel.
Wyszukiwanie zagrożeń:
- Podczas tworzenia nowego zapytania wyszukiwania zagrożeń wybierz określoną taktykę i techniki, które mają być stosowane do zapytania.
- Podczas wyszukiwania aktywnych zapytań wyszukiwania przefiltruj zapytania wyświetlane według taktyki, wybierając element z listy powyżej siatki. Wybierz zapytanie, aby wyświetlić szczegóły taktyki i techniki po prawej stronie.
- Podczas tworzenia zakładek użyj mapowania techniki dziedziczonej z zapytania wyszukiwania zagrożeń lub utwórz własne mapowanie.
Aby uzyskać więcej informacji, zobacz Wyszukiwanie zagrożeń za pomocą usługi Microsoft Sentinel i Śledzenie danych podczas wyszukiwania zagrożeń za pomocą usługi Microsoft Sentinel.
Następne kroki
Aby uzyskać więcej informacji, zobacz: