Projetar e avaliar a cobertura de detecção de ameaças usando as matrizes MITRE ATT&CK, incluindo Nuvem, Enterprise, Celular e ICS

  • 10 minutos

MITRE ATT&CK é uma base de dados de conhecimento publicamente acessível de táticas e técnicas comumente usadas por invasores, criada e mantida por meio de observações do mundo real. Muitas organizações usam a base de dados de conhecimento MITRE ATT&CK para desenvolver modelos e metodologias específicos de ameaças que são usados para verificar o status da segurança em seus ambientes.

Matrizes ATT&CK

MITRE ATT&CK inclui três matrizes em sua estrutura de ataque. Cada matriz é um modelo de ameaça com várias táticas ou objetivos, juntamente com técnicas para atingir esses objetivos em um tipo específico de ambiente:

  • Empresarial: um modelo de ameaça que descreve o que um invasor pode fazer em uma rede corporativa.
  • Móvel: um modelo de ameaça que descreve o que um invasor pode fazer para se infiltrar em dispositivos móveis.
  • ICS: um modelo de ameaça que descreve possíveis ataques a um Sistema de Controle Industrial (ICS).

MITRE ATT&CK e Microsoft Sentinel

O Microsoft Sentinel analisa dados ingeridos, não apenas para detectar ameaças e ajudar você investigar, mas também para visualizar a natureza e a cobertura do status de segurança da sua organização.

Este artigo descreve como usar a página MITRE no Microsoft Sentinel para exibir as detecções já ativas em seu espaço de trabalho e aquelas disponíveis para você configurar, para entender a cobertura de segurança da sua organização, com base nas táticas e técnicas da estrutura MITRE ATT&CK®.

Captura de tela da página de cobertura do MITRE com indicadores ativos e simulados selecionados.

O Microsoft Sentinel está atualmente alinhado ao framework MITRE ATT&CK, versão 13.

Exibir a cobertura atual do MITRE

No Microsoft Sentinel, no menu Gerenciamento de ameaças à esquerda, selecione MITRE. Por padrão, tanto a consulta agendada ativa quanto as regras NRT (quase em tempo real) são indicadas na matriz de cobertura.

  • Use a legenda no canto superior direito para entender quantas detecções estão ativas atualmente em seu workspace para uma técnica específica.

  • Use a barra de pesquisa no canto superior esquerdo para pesquisar uma técnica específica na matriz, usando o nome ou a ID da técnica, para exibir o status de segurança da sua organização para a técnica selecionada.

  • Selecione uma técnica específica na matriz para exibir mais detalhes à direita. Lá, use os links para acessar qualquer um dos seguintes locais:

    • Selecione Exibir detalhes da técnica para obter mais informações sobre a técnica selecionada na base de dados de conhecimento da estrutura MITRE ATT&CK.

    • Selecione links para qualquer um dos itens ativos para acessar a área relevante no Microsoft Sentinel.

Simular a cobertura possível com as detecções disponíveis

Na matriz de cobertura do MITRE, a cobertura simulada refere-se a detecções disponíveis, mas não configuradas no momento, em seu workspace do Microsoft Sentinel. Veja a cobertura simulada para entender o possível status de segurança da sua organização, caso você configure todas as detecções disponíveis para você.

No Microsoft Sentinel, no menu Geral à esquerda, selecione MITRE.

Selecione itens no menu Simular para simular o status de segurança possível da sua organização.

  • Use a legenda no canto superior direito para entender quantas detecções, incluindo modelos de regra de análise ou consultas de busca, estão disponíveis para você configurar.

  • Use a barra de pesquisa no canto superior esquerdo para pesquisar uma técnica específica na matriz, usando o nome ou a ID da técnica, para exibir o status de segurança simulado da sua organização para a técnica selecionada.

  • Selecione uma técnica específica na matriz para exibir mais detalhes à direita. Lá, use os links para acessar qualquer um dos seguintes locais:

    • Selecione Exibir detalhes da técnica para obter mais informações sobre a técnica selecionada na base de dados de conhecimento da estrutura MITRE ATT&CK.

    • Selecione links para qualquer um dos itens da simulação para acessar a área relevante no Microsoft Sentinel.

    Por exemplo, selecione Consultas de busca para ir para a página Busca. Lá, você verá uma lista filtrada das consultas de busca associadas à técnica selecionada e disponíveis para configuração em seu workspace.

Usar a estrutura MITRE ATT&CK em regras de análise e incidentes

Ter uma regra agendada com técnicas MITRE aplicadas em execução regularmente em seu workspace do Microsoft Sentinel aprimora o status de segurança mostrado para sua organização na matriz de cobertura MITRE.

  • Regras de análise:

    • Ao configurar regras de análise, selecione técnicas específicas do MITRE a serem aplicadas à regra.
    • Ao pesquisar regras de análise, filtre as regras exibidas por técnica para encontrar suas regras mais rapidamente.

  • Incidentes:

    Quando incidentes são criados para alertas que são gerados por regras com técnicas MITRE configuradas, as técnicas também são adicionadas aos incidentes.

  • Busca de ameaças:

    • Ao criar uma consulta de busca, selecione as táticas e técnicas específicas a serem aplicadas à sua consulta.
    • Ao pesquisar consultas de busca ativas, filtre as consultas exibidas por táticas selecionando um item na lista acima da grade. Selecione uma consulta para ver detalhes de tática e técnica à direita.
    • Ao criar indicadores, use o mapeamento de técnica herdado da consulta de busca ou crie seu mapeamento.