Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
MITRE ATT&CK, saldırganlar tarafından yaygın olarak kullanılan taktik ve tekniklerin herkese açık bir bilgi bankası. Gerçek dünya gözlemlerine göre oluşturulur ve korunur. Birçok kuruluş, ortamlarındaki güvenlik durumunu doğrulamak üzere belirli tehdit modelleri ve yöntemleri geliştirmek için MITRE ATT&CK bilgi bankası kullanır.
Microsoft Sentinel, yalnızca tehditleri algılamak ve araştırmanıza yardımcı olmak için değil, aynı zamanda kuruluşunuzun güvenlik durumunun doğasını ve kapsamını görselleştirmek için alınan verileri analiz eder.
Bu makalede, çalışma alanınızda zaten etkin olan analiz kurallarını (algılamaları) ve yapılandırabileceğiniz algılamaları görüntülemek için Microsoft Sentinel'daki MITRE sayfasının nasıl kullanılacağı açıklanmaktadır. MiTRE ATT&CK çerçevesinin taktiklerine ve tekniklerine dayalı olarak kuruluşunuzun güvenlik kapsamını anlamak için bu sayfayı kullanın.
Önemli
Microsoft Sentinel'daki MITRE sayfası şu anda ÖNİzLEME aşamasındadır. Azure Önizleme Ek Koşulları beta, önizleme veya henüz genel kullanıma sunulmamış Azure özellikler için geçerli olan yasal koşulları içerir.
Önkoşullar
Microsoft Sentinel'da kuruluşunuzun MITRE kapsamını görüntülemeden önce aşağıdaki önkoşullara sahip olduğunuzdan emin olun:
- Etkin bir Microsoft Sentinel örneği.
- İçeriği Microsoft Sentinel görüntülemek için gerekli izinler. Daha fazla bilgi için bkz. Microsoft Sentinel'de roller ve izinler.
- İlgili güvenlik verilerini Microsoft Sentinel almak için yapılandırılmış veri bağlayıcıları. Daha fazla bilgi için bkz. veri bağlayıcılarını Microsoft Sentinel.
- etkin zamanlanmış sorgu kuralları ve Microsoft Sentinel ayarlanmış neredeyse gerçek zamanlı (NRT) kurallar. Daha fazla bilgi için bkz. Microsoft Sentinel'de tehdit algılama.
- MITRE ATT&CK çerçevesi ve taktikleri ve teknikleri hakkında bilgi.
MITRE ATT&CK çerçeve sürümü
Microsoft Sentinel şu anda MITRE ATT&CK çerçevesi, sürüm 18 ile uyumludur.
Geçerli MITRE kapsamını görüntüleme
Varsayılan olarak, hem şu anda etkin olan zamanlanmış sorgu hem de neredeyse gerçek zamanlı (NRT) kurallar kapsam matrisinde belirtilir.
Kuruluşunuzun geçerli MITRE kapsamını görüntülemek için:
Kullandığınız portala bağlı olarak aşağıdakilerden birini yapın:
Defender portalında Microsoft Sentinel > Tehdit yönetimi > MITRE ATT&CK'yi seçin.
Sayfayı belirli bir tehdit senaryosuna göre filtrelemek için MITRE'yi tehdit senaryosuna göre görüntüle seçeneğini açın ve açılan menüden bir tehdit senaryosu seçin. Sayfa buna göre güncelleştirilir. Örneğin:
Aşağıdaki yöntemlerden birini kullanın:
Belirli bir teknik için çalışma alanınızda şu anda etkin olan algılama sayısını anlamak için göstergeyi kullanın.
Kuruluşunuzun seçilen tekniğin güvenlik durumunu görüntülemek üzere teknik adını veya kimliğini kullanarak matristeki belirli bir tekniği aramak için arama çubuğunu kullanın.
Ayrıntılar bölmesinde daha fazla ayrıntı görüntülemek için matriste belirli bir teknik seçin. Burada, aşağıdaki konumlardan herhangi birine atlamak için bağlantıları kullanın:
Açıklama alanında, MITRE ATT&CK çerçevesi bilgi bankası seçili teknik hakkında daha fazla bilgi için Tüm teknik ayrıntılarını görüntüle ... öğesini seçin.
Bölmede aşağı kaydırın ve etkin öğelerden herhangi birinin bağlantılarını seçerek Microsoft Sentinel ilgili alana atlayın.
Örneğin , Avlanma sorguları'nı seçerek Tehdit Avcılığı sayfasına atlayın. Burada, seçilen teknikle ilişkili ve çalışma alanınızda yapılandırabileceğiniz avlanma sorgularının filtrelenmiş bir listesini görürsünüz.
Defender portalında ayrıntılar bölmesinde, etkin algılamaların ve güvenlik hizmetlerinin (ürünler) seçilen teknik için önerilen tüm algılamalar ve hizmetlere oranı da dahil olmak üzere önerilen kapsam ayrıntıları da gösterilir.
Kullanılabilir algılamalarla olası kapsamın benzetimini gerçekleştirme
MITRE kapsam matrisinde, simülasyon kapsamı Microsoft Sentinel çalışma alanınızda kullanılabilir ancak şu anda yapılandırılmamış algılamaları ifade eder. Tüm kullanılabilir algılamaları yapılandırdıysanız kuruluşunuzun olası güvenlik durumunu anlamak için simülasyon kapsamınızı görüntüleyin.
Microsoft Sentinel'da, Tehdit yönetimi'nin altında MITRE ATT&CK (Önizleme) öğesini seçin ve ardından kuruluşunuzun olası güvenlik durumunun benzetimini yapmak için Sanal kurallar menüsünde öğeleri seçin.
Belirli bir tekniğin simülasyon kapsamını görüntülemek için kapsam matrisi öğelerini, aksi takdirde olduğu gibi kullanın.
Analiz kurallarında ve olaylarında MITRE ATT&CK çerçevesini kullanma
Microsoft Sentinel çalışma alanınızda düzenli olarak çalışan MITRE tekniklerine sahip zamanlanmış kurallar, MITRE kapsam matrisinde kuruluşunuzun güvenlik durumunu geliştirir.
Analiz kuralları:
- Analiz kurallarını yapılandırırken kuralınıza uygulanacak belirli MITRE tekniklerini seçin.
- Analiz kurallarını ararken, kurallarınızı daha hızlı bulmak için teknikle görüntülenen kuralları filtreleyin.
Daha fazla bilgi için bkz. Hazır gelen tehditleri algılama ve Tehditleri algılamak için özel analiz kuralları oluşturma.
Olaylar:
MiTRE teknikleri yapılandırılmış kurallar tarafından ortaya konan uyarılar için olaylar oluşturulduğunda, teknikler de olaylara eklenir.
Daha fazla bilgi için bkz. Microsoft Sentinel ile olayları araştırma. Microsoft Sentinel Defender portalına eklendiyse bunun yerine Microsoft Defender portalında olayları araştırın.
Tehdit avcılığı:
- Yeni bir avcılık sorgusu oluştururken, sorgunuza uygulanacak belirli taktikleri ve teknikleri seçin.
- Etkin avcılık sorgularını ararken kılavuzun üst kısmındaki listeden bir öğe seçerek taktiklerle görüntülenen sorguları filtreleyin. Yan taraftaki ayrıntılar bölmesinde taktik ve teknik ayrıntılarını görmek için bir sorgu seçin.
- Yer işaretleri oluştururken, avcılık sorgusundan devralınan teknik eşlemesini kullanın veya kendi eşlemenizi oluşturun.
Daha fazla bilgi için bkz. Microsoft Sentinel ile tehditleriavlama ve Microsoft Sentinel ile avlanma sırasında verileri izleme.
İlgili içerik
Daha fazla bilgi için bkz.: