Eksplorowanie USŁUGI MITRE ATT&CK

  • 3 min

MITRE ATT&CK jest publicznie dostępnym baza wiedzy taktyki i technik, które są powszechnie używane przez osoby atakujące i są tworzone i utrzymywane przez obserwowanie rzeczywistych obserwacji. Wiele organizacji używa baza wiedzy MITRE ATT&CK do opracowywania określonych modeli zagrożeń i metodologii używanych do weryfikowania stanu zabezpieczeń w swoich środowiskach.

Usługa Microsoft Sentinel analizuje pozyskane dane, nie tylko wykrywa zagrożenia i pomaga badać, ale także wizualizować charakter i pokrycie stanu zabezpieczeń organizacji.

Podczas opracowywania hipotezy wyszukiwania zagrożeń ważne jest zrozumienie taktyki i technik, których szukasz. Struktura MITRE ATT&CK jest używana w całej usłudze Microsoft Sentinel.

Użyj wyboru MITRE ATT&CK w obszarze Zarządzanie zagrożeniami w usłudze Microsoft Sentinel, aby wyświetlić wykrycia już aktywne w obszarze roboczym oraz te, które są dostępne do skonfigurowania, aby zrozumieć pokrycie zabezpieczeń organizacji na podstawie taktyki i technik z platformy MITRE ATT&CK®.

Wyświetlanie bieżącego pokrycia MITRE

W usłudze Microsoft Sentinel w menu Zarządzanie zagrożeniami po lewej stronie wybierz pozycję MITRE. Domyślnie zarówno obecnie aktywne zaplanowane zapytanie, jak i reguły niemal w czasie rzeczywistym (NRT) są wskazywane w macierzy pokrycia.

  • Użyj legendy w prawym górnym rogu , aby dowiedzieć się, ile wykryć jest obecnie aktywnych w obszarze roboczym dla określonej techniki.

  • Użyj paska wyszukiwania w lewym górnym rogu, aby wyszukać określoną technikę w macierzy przy użyciu nazwy techniki lub identyfikatora, aby wyświetlić stan zabezpieczeń organizacji dla wybranej techniki.

  • Wybierz określoną technikę w macierzy, aby wyświetlić więcej szczegółów po prawej stronie. W tym miejscu użyj linków, aby przejść do dowolnej z następujących lokalizacji:

    • Wybierz pozycję Wyświetl szczegóły techniki, aby uzyskać więcej informacji na temat wybranej techniki w strukturze MITRE ATT&CK baza wiedzy.

    • Wybierz linki do dowolnego aktywnego elementu, aby przejść do odpowiedniego obszaru w usłudze Microsoft Sentinel.

Symulowanie możliwego pokrycia za pomocą dostępnych wykryć

W macierzy pokrycia MITRE symulowane pokrycie odnosi się do wykrywania, które są dostępne, ale nie są obecnie skonfigurowane, w obszarze roboczym usługi Microsoft Sentinel. Wyświetl symulowane pokrycie, aby zrozumieć możliwy stan zabezpieczeń organizacji, czy skonfigurowano wszystkie dostępne dla Ciebie wykrycia.

W usłudze Microsoft Sentinel w menu Ogólne po lewej stronie wybierz pozycję MITRE.

Wybierz elementy w menu Symulowanie, aby symulować możliwy stan zabezpieczeń organizacji.

  • Użyj legendy w prawym górnym rogu , aby dowiedzieć się, ile wykryć, w tym szablonów reguł analizy lub zapytań wyszukiwania zagrożeń, jest dostępnych do skonfigurowania.

  • Użyj paska wyszukiwania w lewym górnym rogu, aby wyszukać określoną technikę w macierzy przy użyciu nazwy techniki lub identyfikatora, aby wyświetlić symulowany stan zabezpieczeń organizacji dla wybranej techniki.

  • Wybierz określoną technikę w macierzy, aby wyświetlić więcej szczegółów po prawej stronie. W tym miejscu użyj linków, aby przejść do dowolnej z następujących lokalizacji:

    • Wybierz pozycję Wyświetl szczegóły techniki, aby uzyskać więcej informacji na temat wybranej techniki w strukturze MITRE ATT&CK baza wiedzy.

    • Wybierz linki do dowolnego elementu symulacji, aby przejść do odpowiedniego obszaru w usłudze Microsoft Sentinel.

Na przykład wybierz pozycję Zapytania wyszukiwania zagrożeń, aby przejść do strony Wyszukiwanie zagrożeń. W tym miejscu zostanie wyświetlona filtrowana lista zapytań wyszukiwania zagrożeń skojarzonych z wybraną techniką i dostępna do skonfigurowania w obszarze roboczym.

Używanie struktury MITRE ATT&CK w regułach analizy i zdarzeniach

Zaplanowana reguła z technikami MITRE stosowanymi regularnie w obszarze roboczym usługi Microsoft Sentinel zwiększa stan zabezpieczeń wyświetlany dla organizacji w macierzy pokrycia MITRE.

  • Reguły analizy:

    • Podczas konfigurowania reguł analizy wybierz określone techniki MITRE, które mają być stosowane do reguły.
    • Podczas wyszukiwania reguł analizy przefiltruj reguły wyświetlane przy użyciu techniki, aby szybciej znaleźć reguły.

  • Incydentów:

Gdy zdarzenia są tworzone dla alertów, które są udostępniane przez reguły za pomocą skonfigurowanych technik MITRE, techniki są również dodawane do zdarzeń.

  • Wyszukiwanie zagrożeń:

    • Podczas tworzenia nowego zapytania wyszukiwania zagrożeń wybierz określoną taktykę i techniki, które mają być stosowane do zapytania.

    • Podczas wyszukiwania aktywnych zapytań wyszukiwania przefiltruj zapytania wyświetlane według taktyki, wybierając element z listy powyżej siatki. Wybierz zapytanie, aby wyświetlić szczegóły taktyki i techniki po prawej stronie.

    • Podczas tworzenia zakładek użyj mapowania techniki dziedziczonej z zapytania wyszukiwania zagrożeń lub utwórz własne mapowanie.