Eksplorowanie USŁUGI MITRE ATT&CK
MITRE ATT&CK jest publicznie dostępnym baza wiedzy taktyki i technik, które są powszechnie używane przez osoby atakujące i są tworzone i utrzymywane przez obserwowanie rzeczywistych obserwacji. Wiele organizacji używa baza wiedzy MITRE ATT&CK do opracowywania określonych modeli zagrożeń i metodologii używanych do weryfikowania stanu zabezpieczeń w swoich środowiskach.
Usługa Microsoft Sentinel analizuje pozyskane dane, nie tylko wykrywa zagrożenia i pomaga badać, ale także wizualizować charakter i pokrycie stanu zabezpieczeń organizacji.
Podczas opracowywania hipotezy wyszukiwania zagrożeń ważne jest zrozumienie taktyki i technik, których szukasz. Struktura MITRE ATT&CK jest używana w całej usłudze Microsoft Sentinel.
Użyj wyboru MITRE ATT&CK w obszarze Zarządzanie zagrożeniami w usłudze Microsoft Sentinel, aby wyświetlić wykrycia już aktywne w obszarze roboczym oraz te, które są dostępne do skonfigurowania, aby zrozumieć pokrycie zabezpieczeń organizacji na podstawie taktyki i technik z platformy MITRE ATT&CK®.
Wyświetlanie bieżącego pokrycia MITRE
W usłudze Microsoft Sentinel w menu Zarządzanie zagrożeniami po lewej stronie wybierz pozycję MITRE. Domyślnie zarówno obecnie aktywne zaplanowane zapytanie, jak i reguły niemal w czasie rzeczywistym (NRT) są wskazywane w macierzy pokrycia.
Użyj legendy w prawym górnym rogu , aby dowiedzieć się, ile wykryć jest obecnie aktywnych w obszarze roboczym dla określonej techniki.
Użyj paska wyszukiwania w lewym górnym rogu, aby wyszukać określoną technikę w macierzy przy użyciu nazwy techniki lub identyfikatora, aby wyświetlić stan zabezpieczeń organizacji dla wybranej techniki.
Wybierz określoną technikę w macierzy, aby wyświetlić więcej szczegółów po prawej stronie. W tym miejscu użyj linków, aby przejść do dowolnej z następujących lokalizacji:
Wybierz pozycję Wyświetl szczegóły techniki, aby uzyskać więcej informacji na temat wybranej techniki w strukturze MITRE ATT&CK baza wiedzy.
Wybierz linki do dowolnego aktywnego elementu, aby przejść do odpowiedniego obszaru w usłudze Microsoft Sentinel.
Symulowanie możliwego pokrycia za pomocą dostępnych wykryć
W macierzy pokrycia MITRE symulowane pokrycie odnosi się do wykrywania, które są dostępne, ale nie są obecnie skonfigurowane, w obszarze roboczym usługi Microsoft Sentinel. Wyświetl symulowane pokrycie, aby zrozumieć możliwy stan zabezpieczeń organizacji, czy skonfigurowano wszystkie dostępne dla Ciebie wykrycia.
W usłudze Microsoft Sentinel w menu Ogólne po lewej stronie wybierz pozycję MITRE.
Wybierz elementy w menu Symulowanie, aby symulować możliwy stan zabezpieczeń organizacji.
Użyj legendy w prawym górnym rogu , aby dowiedzieć się, ile wykryć, w tym szablonów reguł analizy lub zapytań wyszukiwania zagrożeń, jest dostępnych do skonfigurowania.
Użyj paska wyszukiwania w lewym górnym rogu, aby wyszukać określoną technikę w macierzy przy użyciu nazwy techniki lub identyfikatora, aby wyświetlić symulowany stan zabezpieczeń organizacji dla wybranej techniki.
Wybierz określoną technikę w macierzy, aby wyświetlić więcej szczegółów po prawej stronie. W tym miejscu użyj linków, aby przejść do dowolnej z następujących lokalizacji:
Wybierz pozycję Wyświetl szczegóły techniki, aby uzyskać więcej informacji na temat wybranej techniki w strukturze MITRE ATT&CK baza wiedzy.
Wybierz linki do dowolnego elementu symulacji, aby przejść do odpowiedniego obszaru w usłudze Microsoft Sentinel.
Na przykład wybierz pozycję Zapytania wyszukiwania zagrożeń, aby przejść do strony Wyszukiwanie zagrożeń. W tym miejscu zostanie wyświetlona filtrowana lista zapytań wyszukiwania zagrożeń skojarzonych z wybraną techniką i dostępna do skonfigurowania w obszarze roboczym.
Używanie struktury MITRE ATT&CK w regułach analizy i zdarzeniach
Zaplanowana reguła z technikami MITRE stosowanymi regularnie w obszarze roboczym usługi Microsoft Sentinel zwiększa stan zabezpieczeń wyświetlany dla organizacji w macierzy pokrycia MITRE.
Reguły analizy:
- Podczas konfigurowania reguł analizy wybierz określone techniki MITRE, które mają być stosowane do reguły.
- Podczas wyszukiwania reguł analizy przefiltruj reguły wyświetlane przy użyciu techniki, aby szybciej znaleźć reguły.
Incydentów:
Gdy zdarzenia są tworzone dla alertów, które są udostępniane przez reguły za pomocą skonfigurowanych technik MITRE, techniki są również dodawane do zdarzeń.
Wyszukiwanie zagrożeń:
Podczas tworzenia nowego zapytania wyszukiwania zagrożeń wybierz określoną taktykę i techniki, które mają być stosowane do zapytania.
Podczas wyszukiwania aktywnych zapytań wyszukiwania przefiltruj zapytania wyświetlane według taktyki, wybierając element z listy powyżej siatki. Wybierz zapytanie, aby wyświetlić szczegóły taktyki i techniki po prawej stronie.
Podczas tworzenia zakładek użyj mapowania techniki dziedziczonej z zapytania wyszukiwania zagrożeń lub utwórz własne mapowanie.