Explorar o MITRE ATT&CK

Concluído

MITRE ATT&CK é uma base de dados de conhecimento acessível publicamente de táticas, técnicas e procedimentos (TTP) que são comumente usados por invasores e são criados e mantidos observando observações do mundo real. Muitas organizações usam a base de dados de conhecimento MITRE ATT&CK para desenvolver modelos e metodologias específicos de ameaças que são usados para verificar o status da segurança em seus ambientes.

O Microsoft Sentinel analisa dados ingeridos, não apenas para detectar ameaças e ajudar você investigar, mas também para visualizar a natureza e a cobertura do status de segurança da sua organização.

Ao desenvolver uma hipótese de busca de ameaças, é fundamental entender as táticas (por quê), técnicas (como) e procedimentos (implementações) que você está procurando. A estrutura MITRE ATT&CK é usada em todo o Microsoft Sentinel.

Use a seleção MITRE ATT&CK em Gerenciamento de Ameaças no Microsoft Sentinel para exibir as detecções já ativas em seu workspace e aquelas disponíveis para você configurar, para entender a cobertura de segurança da sua organização, com base nas táticas e técnicas da estrutura MITRE ATT&CK®.

Exibir a cobertura atual do MITRE

Portal do Defender

No Microsoft Sentinel, no portal do Defender, selecione a seção Gerenciamento de ameaças do menu de navegação, selecione MITRE ATT&CK. Por padrão, a consulta agendada ativa, as regras NRT (quase em tempo real) ativas e as regras de consulta de anomalias ativas são indicadas na matriz de cobertura.

• Use a legenda no canto superior direito para entender quantas detecções estão ativas atualmente em seu workspace para uma técnica específica.

• Use a barra de pesquisa na parte superior direita para pesquisar uma técnica específica na matriz, usando o nome da técnica ou a ID, para exibir o status de segurança da sua organização para a técnica selecionada.

• Selecione uma técnica específica na linha superior da matriz para exibir no painel de detalhes à direita. Lá, use os links para acessar qualquer um dos seguintes locais:

  • Selecione Exibir links completos de detalhes de tática ou técnica para obter mais informações na base de dados de conhecimento da estrutura MITRE ATT&CK.

  • Selecione links para qualquer uma das regras de cobertura ativa para ir para a área relevante no Microsoft Sentinel.

• Exiba o MITRE por cenários de ameaça para exibir a matriz de cobertura por cenários de ameaça:

  • Arraste o deslizante Ver MITRE por cenários de ameaça à direita para exibir a matriz de cobertura por cenários de ameaça. A matriz é filtrada para mostrar apenas as técnicas relevantes para o cenário selecionado.

    

Simular a cobertura de regras possíveis

Na matriz MITRE, a cobertura simulada refere-se a detecções disponíveis, mas não configuradas no momento, em seu workspace do Microsoft Sentinel. Veja a cobertura simulada para entender o possível status de segurança da sua organização, caso você configure todas as detecções disponíveis para você.

Importante

Se você tiver o controle deslizante Exibir MITRE por cenários de ameaça habilitado e tiver selecionado um cenário, as regras simuladas (simulação de produto) serão desabilitadas.

• No menu de navegação do Microsoft Defender, expanda a seção do Microsoft Sentinel e selecione Gerenciamento de ameaças e selecione MITRE ATT&CK.

• Selecione itens no menu suspenso Regras simuladas para simular o possível status de segurança da sua organização.

• Por exemplo, selecione Consultas de busca e escolha o link Consultas de buscaExibição para ir para a página Busca do Microsoft Sentinel. Lá, você vê uma lista filtrada das consultas de busca associadas à técnica selecionada e disponíveis para configuração em seu workspace.

Portal do Azure

No Microsoft Sentinel, no portal do Azure, selecione a seção Gerenciamento de ameaças do menu de navegação e selecione MITRE ATT&CK (versão prévia). Por padrão, a consulta agendada ativa, as regras NRT (quase em tempo real) ativas e as regras de consulta de anomalias ativas são indicadas na matriz de cobertura.

• Use a legenda no canto superior direito para entender quantas detecções estão ativas atualmente em seu workspace para uma técnica específica.

• Usar a barra de pesquisa No canto superior esquerdo, procure uma técnica específica na matriz, usando o nome da técnica ou a ID, para exibir o status de segurança da sua organização para a técnica selecionada.

• Selecione uma técnica específica na matriz para exibir mais detalhes à direita. Lá, use os links para acessar qualquer um dos seguintes locais:

  • Selecione Exibir links completos de detalhes de tática ou técnica para obter mais informações na base de dados de conhecimento da estrutura MITRE ATT&CK.

  • Selecione links para qualquer uma das regras de cobertura ativa para ir para a área relevante no Microsoft Sentinel.

Simular detecções de regra

Na matriz de cobertura MITRE, a cobertura simulada refere-se a detecções disponíveis, mas não configuradas no momento, em seu workspace do Microsoft Sentinel. Veja a cobertura simulada para entender o possível status de segurança da sua organização, caso você configure todas as detecções disponíveis para você.

• No Microsoft Sentinel, selecione a seção Gerenciamento de ameaças do menu de navegação, selecione MITRE ATT&CK.

• Selecione itens no menu suspenso Regras simuladas para simular o possível status de segurança da sua organização.

• Por exemplo, selecione Consultas de busca e escolha o link Consultas de buscaExibição para ir para a página Busca do Microsoft Sentinel. Lá, você vê uma lista filtrada das consultas de busca associadas à técnica selecionada e disponíveis para configuração em seu workspace.

  

Usar a estrutura MITRE ATT&CK em regras de análise e incidentes

Ter uma regra analítica agendada com técnicas MITRE aplicadas em execução regularmente em seu workspace do Microsoft Sentinel aprimora o status de segurança mostrado para sua organização na matriz de cobertura MITRE.

• Regras de análise:

  • Ao configurar regras de análise, selecione técnicas específicas do MITRE a serem aplicadas à regra.

  • Ao pesquisar regras de análise, filtre as regras exibidas por técnica para encontrar suas regras mais rapidamente.

    

• Incidentes:

Quando incidentes são criados para alertas que são gerados por regras com técnicas MITRE configuradas, as técnicas também são adicionadas aos incidentes.

• Busca de ameaças:

  • Ao criar uma consulta de busca, selecione as táticas e técnicas específicas a serem aplicadas à sua consulta.

  • Ao pesquisar consultas de busca ativas, filtre as consultas exibidas por táticas selecionando um item na lista acima da grade. Selecione uma consulta para ver detalhes de tática e técnica à direita.

  • Ao criar indicadores, use o mapeamento de técnica herdado da consulta de busca ou crie seu mapeamento.