Entenda a cobertura de segurança pela estrutura MITRE ATT&CK®

Importante

No momento, a página do MITRE no Microsoft Sentinel encontra-se em VERSÃO PRÉVIA. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

MITRE ATT&CK é uma base de dados de conhecimento publicamente acessível de táticas e técnicas comumente usadas por invasores, criada e mantida por meio de observações do mundo real. Muitas organizações usam a base de dados de conhecimento MITRE ATT&CK para desenvolver modelos e metodologias específicos de ameaças que são usados para verificar o status da segurança em seus ambientes.

O Microsoft Sentinel analisa dados ingeridos, não apenas para detectar ameaças e ajudar você investigar, mas também para visualizar a natureza e a cobertura do status de segurança da sua organização.

Este artigo descreve como usar a página MITRE no Microsoft Sentinel para exibir as detecções já ativas em seu espaço de trabalho e aquelas disponíveis para você configurar, para entender a cobertura de segurança da sua organização, com base nas táticas e técnicas da estrutura MITRE ATT&CK®.

Screenshot of the MITRE coverage page with both active and simulated indicators selected.

O Microsoft Sentinel está atualmente alinhado à estrutura MITRE ATT&CK, versão 13.

Exibir a cobertura atual do MITRE

No Microsoft Sentinel, no menu Gerenciamento de ameaças à esquerda, selecione MITRE. Por padrão, tanto a consulta agendada ativa quanto as regras NRT (quase em tempo real) são indicadas na matriz de cobertura.

  • Use a legenda no canto superior direito para entender quantas detecções estão ativas atualmente em seu workspace para uma técnica específica.

  • Use a barra de pesquisa no canto superior esquerdo para pesquisar uma técnica específica na matriz, usando o nome ou a ID da técnica, para exibir o status de segurança da sua organização para a técnica selecionada.

  • Selecione uma técnica específica na matriz para exibir mais detalhes à direita. Lá, use os links para acessar qualquer um dos seguintes locais:

    • Selecione Exibir detalhes da técnica para obter mais informações sobre a técnica selecionada na base de dados de conhecimento da estrutura MITRE ATT&CK.

    • Selecione links para qualquer um dos itens ativos para acessar a área relevante no Microsoft Sentinel.

Simular a cobertura possível com as detecções disponíveis

Na matriz de cobertura do MITRE, a cobertura simulada refere-se a detecções disponíveis, mas não configuradas no momento, em seu workspace do Microsoft Sentinel. Veja a cobertura simulada para entender o possível status de segurança da sua organização, caso você configure todas as detecções disponíveis para você.

No Microsoft Sentinel, no menu Geral à esquerda, selecione MITRE.

Selecione itens no menu Simular para simular o status de segurança possível da sua organização.

  • Use a legenda no canto superior direito para entender quantas detecções, incluindo modelos de regra de análise ou consultas de busca, estão disponíveis para você configurar.

  • Use a barra de pesquisa no canto superior esquerdo para pesquisar uma técnica específica na matriz, usando o nome ou a ID da técnica, para exibir o status de segurança simulado da sua organização para a técnica selecionada.

  • Selecione uma técnica específica na matriz para exibir mais detalhes à direita. Lá, use os links para acessar qualquer um dos seguintes locais:

    • Selecione Exibir detalhes da técnica para obter mais informações sobre a técnica selecionada na base de dados de conhecimento da estrutura MITRE ATT&CK.

    • Selecione links para qualquer um dos itens da simulação para acessar a área relevante no Microsoft Sentinel.

    Por exemplo, selecione Consultas de busca para ir para a página Busca. Lá, você verá uma lista filtrada das consultas de busca associadas à técnica selecionada e disponíveis para configuração em seu workspace.

Usar a estrutura MITRE ATT&CK em regras de análise e incidentes

Ter uma regra agendada com técnicas MITRE aplicadas em execução regularmente em seu workspace do Microsoft Sentinel aprimora o status de segurança mostrado para sua organização na matriz de cobertura MITRE.

  • Regras de análise:

    • Ao configurar regras de análise, selecione técnicas específicas do MITRE a serem aplicadas à regra.
    • Ao pesquisar regras de análise, filtre as regras exibidas por técnica para encontrar suas regras mais rapidamente.

    Para obter mais informações, confira Detectar ameaças rapidamente e Criar regras de análise personalizadas para detectar ameaças.

  • Incidentes:

    Quando incidentes são criados para alertas que são gerados por regras com técnicas MITRE configuradas, as técnicas também são adicionadas aos incidentes.

    Para obter mais informações, confira Investigar incidentes com o Microsoft Sentinel.

  • Busca de ameaças:

    • Ao criar uma consulta de busca, selecione as táticas e técnicas específicas a serem aplicadas à sua consulta.
    • Ao pesquisar consultas de busca ativas, filtre as consultas exibidas por táticas selecionando um item na lista acima da grade. Selecione uma consulta para ver detalhes de tática e técnica à direita.
    • Ao criar indicadores, use o mapeamento de técnica herdado da consulta de busca ou crie seu mapeamento.

    Para obter mais informações, confira Buscar ameaças com o Microsoft Sentinel e Manter o controle dos dados durante a busca com o Microsoft Sentinel.

Próximas etapas

Para obter mais informações, consulte: