Förstå säkerhetstäckning av MITRE ATT&CK-ramverket®
MITRE ATT&CK är en offentligt tillgänglig kunskapsbas av taktiker och tekniker som ofta används av angripare, och skapas och underhålls genom att observera verkliga observationer. Många organisationer använder MITRE ATT&CK-kunskapsbas för att utveckla specifika hotmodeller och metoder som används för att verifiera säkerhetsstatusen i deras miljöer.
Microsoft Sentinel analyserar inmatade data, inte bara för att identifiera hot och hjälpa dig att undersöka, utan även för att visualisera arten och täckningen av organisationens säkerhetsstatus.
Den här artikeln beskriver hur du använder MITRE-sidan i Microsoft Sentinel för att visa identifieringar som redan är aktiva på din arbetsyta, och de som är tillgängliga för dig att konfigurera, för att förstå organisationens säkerhetstäckning, baserat på taktik och tekniker från MITRE ATT&CK-ramverket®.
Viktigt!
MITRE-sidan i Microsoft Sentinel är för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
MITRE ATT&CK-ramverksversion
Microsoft Sentinel är just nu justerat efter MITRE ATT&CK-ramverket, version 13.
Visa aktuell MITRE-täckning
Under Hothantering i Microsoft Sentinel väljer du MITRE ATTA&CK (förhandsversion). Som standard anges både aktiva schemalagda frågor och regler i nära realtid (NRT) i täckningsmatrisen.
Använd förklaringen längst upp till höger för att förstå hur många identifieringar som för närvarande är aktiva på din arbetsyta för specifik teknik.
Använd sökfältet längst upp till vänster för att söka efter en specifik teknik i matrisen, med hjälp av tekniknamnet eller ID:t, för att visa organisationens säkerhetsstatus för den valda tekniken.
Välj en specifik teknik i matrisen för att visa mer information till höger. Där använder du länkarna för att hoppa till någon av följande platser:
I området Beskrivning väljer du Visa fullständig teknikinformation ... för mer information om den valda tekniken i MITRE ATT&CK-ramverket kunskapsbas.
Rulla nedåt i fönstret och välj länkar till något av de aktiva objekten för att gå till relevant område i Microsoft Sentinel.
Välj till exempel Jaktfrågor för att gå till sidan Jakt . Där visas en filtrerad lista över jaktfrågor som är associerade med den valda tekniken och som du kan konfigurera på din arbetsyta.
Simulera möjlig täckning med tillgängliga identifieringar
I MITRE-täckningsmatrisen refererar simulerad täckning till identifieringar som är tillgängliga, men som för närvarande inte har konfigurerats på din Microsoft Sentinel-arbetsyta. Visa din simulerade täckning för att förstå organisationens möjliga säkerhetsstatus om du konfigurerar alla identifieringar som är tillgängliga för dig.
Under Hothantering i Microsoft Sentinel väljer du MITRE ATTA&CK (förhandsversion) och väljer sedan objekt på menyn Simulerad för att simulera organisationens möjliga säkerhetsstatus.
Därifrån använder du sidans element som du annars skulle göra för att visa den simulerade täckningen för en specifik teknik.
Använda MITRE ATT&CK-ramverket i analysregler och incidenter
Att ha en schemalagd regel med MITRE-tekniker som tillämpas regelbundet på din Microsoft Sentinel-arbetsyta förbättrar säkerhetsstatusen som visas för din organisation i MITRE-täckningsmatrisen.
Analysregler:
- När du konfigurerar analysregler väljer du specifika MITRE-tekniker som ska tillämpas på din regel.
- När du söker efter analysregler filtrerar du de regler som visas med teknik för att hitta dina regler snabbare.
Mer information finns i Identifiera hot out-of-the-box och Skapa anpassade analysregler för att identifiera hot.
Incidenter:
När incidenter skapas för aviseringar som visas av regler med MITRE-tekniker konfigurerade läggs även teknikerna till i incidenterna.
Mer information finns i Undersöka incidenter med Microsoft Sentinel.
Hotjakt:
- När du skapar en ny jaktfråga väljer du de specifika taktiker och tekniker som ska tillämpas på din fråga.
- När du söker efter aktiva jaktfrågor filtrerar du de frågor som visas efter taktik genom att välja ett objekt i listan ovanför rutnätet. Välj en fråga för att se information om taktik och teknik till höger.
- När du skapar bokmärken använder du antingen den teknikmappning som ärvts från jaktfrågan eller skapar en egen mappning.
Mer information finns i Hunt for threats with Microsoft Sentinel and Keep track of data during hunting with Microsoft Sentinel (Jaga efter hot med Microsoft Sentinel ) och Håll reda på data under jakt med Microsoft Sentinel.
Relaterat innehåll
Mer information finns i: