Förstå säkerhetstäckning av MITRE ATT&CK-ramverket®

Viktigt!

MITRE-sidan i Microsoft Sentinel är för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

MITRE ATT&CK är en offentligt tillgänglig kunskapsbas av taktiker och tekniker som ofta används av angripare, och skapas och underhålls genom att observera verkliga observationer. Många organisationer använder MITRE ATT&CK-kunskapsbas för att utveckla specifika hotmodeller och metoder som används för att verifiera säkerhetsstatusen i deras miljöer.

Microsoft Sentinel analyserar inmatade data, inte bara för att identifiera hot och hjälpa dig att undersöka, utan även för att visualisera arten och täckningen av organisationens säkerhetsstatus.

Den här artikeln beskriver hur du använder MITRE-sidan i Microsoft Sentinel för att visa identifieringar som redan är aktiva på din arbetsyta, och de som är tillgängliga för dig att konfigurera, för att förstå organisationens säkerhetstäckning, baserat på taktik och tekniker från MITRE ATT&CK-ramverket®.

Microsoft Sentinel är just nu justerat efter MITRE ATT&CK-ramverket, version 13.

Visa aktuell MITRE-täckning

I Microsoft Sentinel går du till menyn Hothantering till vänster och väljer MITRE. Som standard anges både aktiva schemalagda frågor och regler i nära realtid (NRT) i täckningsmatrisen.

• Använd förklaringen längst upp till höger för att förstå hur många identifieringar som för närvarande är aktiva på din arbetsyta för specifik teknik.

• Använd sökfältet längst upp till vänster för att söka efter en specifik teknik i matrisen, med hjälp av tekniknamnet eller ID:t, för att visa organisationens säkerhetsstatus för den valda tekniken.

• Välj en specifik teknik i matrisen för att visa mer information till höger. Där använder du länkarna för att hoppa till någon av följande platser:

  • Välj Visa teknikinformation för mer information om den valda tekniken i MITRE ATT&CK-ramverket kunskapsbas.

  • Välj länkar till något av de aktiva objekten för att gå till relevant område i Microsoft Sentinel.

Simulera möjlig täckning med tillgängliga identifieringar

I MITRE-täckningsmatrisen refererar simulerad täckning till identifieringar som är tillgängliga, men som för närvarande inte har konfigurerats, på din Microsoft Sentinel-arbetsyta. Visa din simulerade täckning för att förstå organisationens möjliga säkerhetsstatus om du konfigurerar alla identifieringar som är tillgängliga för dig.

I Microsoft Sentinel går du till menyn Allmänt till vänster och väljer MITRE.

Välj objekt på menyn Simulera för att simulera organisationens möjliga säkerhetsstatus.

• Använd förklaringen längst upp till höger för att förstå hur många identifieringar, inklusive analysregelmallar eller jaktfrågor, som du kan konfigurera.

• Använd sökfältet längst upp till vänster för att söka efter en specifik teknik i matrisen, med hjälp av tekniknamnet eller ID:t, för att visa organisationens simulerade säkerhetsstatus för den valda tekniken.

• Välj en specifik teknik i matrisen för att visa mer information till höger. Där använder du länkarna för att hoppa till någon av följande platser:

  • Välj Visa teknikinformation för mer information om den valda tekniken i MITRE ATT&CK-ramverket kunskapsbas.

  • Välj länkar till något av simuleringsobjekten för att gå till relevant område i Microsoft Sentinel.

  Välj till exempel Jaktfrågor för att gå till sidan Jakt . Där visas en filtrerad lista över jaktfrågor som är associerade med den valda tekniken och som du kan konfigurera på din arbetsyta.

Använda MITRE ATT&CK-ramverket i analysregler och incidenter

Att ha en schemalagd regel med MITRE-tekniker som tillämpas regelbundet på din Microsoft Sentinel-arbetsyta förbättrar säkerhetsstatusen som visas för din organisation i MITRE-täckningsmatrisen.

• Analysregler:

  • När du konfigurerar analysregler väljer du specifika MITRE-tekniker som ska tillämpas på din regel.
  • När du söker efter analysregler filtrerar du de regler som visas med teknik för att hitta dina regler snabbare.

  Mer information finns i Identifiera hot out-of-the-box och Skapa anpassade analysregler för att identifiera hot.

• Incidenter:

  När incidenter skapas för aviseringar som visas av regler med MITRE-tekniker konfigurerade läggs även teknikerna till i incidenterna.

  Mer information finns i Undersöka incidenter med Microsoft Sentinel.

• Hotjakt:

  • När du skapar en ny jaktfråga väljer du de specifika taktiker och tekniker som ska tillämpas på din fråga.
  • När du söker efter aktiva jaktfrågor filtrerar du de frågor som visas efter taktik genom att välja ett objekt i listan ovanför rutnätet. Välj en fråga för att se information om taktik och teknik till höger.
  • När du skapar bokmärken använder du antingen den teknikmappning som ärvts från jaktfrågan eller skapar en egen mappning.

  Mer information finns i Hunt for threats with Microsoft Sentinel and Keep track of data during hunting with Microsoft Sentinel (Jaga efter hot med Microsoft Sentinel ) och Håll reda på data under jakt med Microsoft Sentinel.

Nästa steg

Mer information finns i:

• MITRE | ATT&CK-ramverk
• MITRE ATT&CK för industriella kontrollsystem