MITRE ATT&CK'yı keşfedin

  • 3 dakika

MITRE ATT&CK, saldırganlar tarafından yaygın olarak kullanılan ve gerçek dünya gözlemleri gözlemlenerek oluşturulan ve sürdürülen taktik ve tekniklerin genel olarak erişilebilen bir bilgi bankası. Birçok kuruluş, ortamlarında güvenlik durumunu doğrulamak için kullanılan belirli tehdit modelleri ve yöntemleri geliştirmek için MITRE ATT&CK bilgi bankası kullanır.

Microsoft Sentinel yalnızca tehditleri algılamak ve araştırmanıza yardımcı olmak için değil, aynı zamanda kuruluşunuzun güvenlik durumunun doğasını ve kapsamını görselleştirmek için alınan verileri analiz eder.

Tehdit avcılığı hipotezi geliştirirken, aradığınız taktikleri ve teknikleri anlamak kritik önem taşır. MITRE ATT&CK çerçevesi Microsoft Sentinel genelinde kullanılır.

MiTRE ATT&CK çerçevesinin taktik ve tekniklerine dayalı olarak, çalışma alanınızda zaten etkin olan algılamaları ve yapılandırabileceğiniz algılamaları ve kuruluşunuzun güvenlik kapsamını anlamak için Microsoft Sentinel'de Tehdit Yönetimi'nin altındaki MITRE ATT&CK® seçimini kullanın.

Geçerli MITRE kapsamını görüntüleme

Microsoft Sentinel'de, soldaki Tehdit yönetimi menüsünde MITRE'yi seçin. Varsayılan olarak, hem şu anda etkin olan zamanlanmış sorgu hem de neredeyse gerçek zamanlı (NRT) kurallar kapsam matrisinde gösterilir.

  • Belirli bir teknik için çalışma alanınızda şu anda etkin olan algılama sayısını anlamak için sağ üstteki göstergeyi kullanın.

  • Kuruluşunuzun seçili tekniğin güvenlik durumunu görüntülemek üzere teknik adını veya kimliğini kullanarak matriste belirli bir tekniği aramak için sol üstteki arama çubuğunu kullanın.

  • Sağ tarafta daha fazla ayrıntı görüntülemek için matriste belirli bir teknik seçin. Burada, aşağıdaki konumlardan herhangi birine atlamak için bağlantıları kullanın:

    • MITRE ATT&CK çerçevesi bilgi bankası seçili teknik hakkında daha fazla bilgi için Teknik ayrıntılarını görüntüle'yi seçin.

    • Microsoft Sentinel'de ilgili alana atlamak için etkin öğelerden herhangi birinin bağlantılarını seçin.

Kullanılabilir algılamalarla olası kapsamın simülasyonunu gerçekleştirme

MITRE kapsam matrisinde simülasyon kapsamı, Microsoft Sentinel çalışma alanınızda kullanılabilir ancak şu anda yapılandırılmamış algılamaları ifade eder. Kuruluşunuzun olası güvenlik durumunu anlamak için sanal kapsamınızı görüntüleyin. Kullanabileceğiniz tüm algılamaları yapılandırdıysanız.

Microsoft Sentinel'de, soldaki Genel menüsünde MITRE'yi seçin.

Kuruluşunuzun olası güvenlik durumunun benzetimini yapmak için Simülasyon menüsünde öğeleri seçin.

  • Analiz kuralı şablonları veya tehdit avcılığı sorguları gibi kaç algılamanın yapılandırabileceğinizi anlamak için sağ üstteki göstergeyi kullanın.

  • Kuruluşunuzun seçili teknik için simülasyon güvenlik durumunu görüntülemek üzere teknik adını veya kimliğini kullanarak matriste belirli bir tekniği aramak için sol üstteki arama çubuğunu kullanın.

  • Sağ tarafta daha fazla ayrıntı görüntülemek için matriste belirli bir teknik seçin. Burada, aşağıdaki konumlardan herhangi birine atlamak için bağlantıları kullanın:

    • MITRE ATT&CK çerçevesi bilgi bankası seçili teknik hakkında daha fazla bilgi için Teknik ayrıntılarını görüntüle'yi seçin.

    • Microsoft Sentinel'de ilgili alana atlamak için simülasyon öğelerinden herhangi birinin bağlantılarını seçin.

Örneğin, Tehdit Avcılığı sayfasına atlamak için Avlanma sorguları'nı seçin. Burada, seçili teknikle ilişkili ve çalışma alanınızda yapılandırabileceğiniz avlanma sorgularının filtrelenmiş bir listesini görürsünüz.

Analiz kurallarında ve olaylarında MITRE ATT&CK çerçevesini kullanma

Microsoft Sentinel çalışma alanınızda düzenli olarak çalıştırılan MITRE tekniklerini içeren zamanlanmış bir kuralın olması, MITRE kapsam matrisinde kuruluşunuz için gösterilen güvenlik durumunu geliştirir.

  • Analiz kuralları:

    • Analiz kurallarını yapılandırırken kuralınıza uygulanacak belirli MITRE tekniklerini seçin.
    • Analiz kurallarını ararken, kurallarınızı daha hızlı bulmak için teknikle görüntülenen kuralları filtreleyin.

  • Olay:

MITRE teknikleri yapılandırılmış kurallar tarafından ortaya çıkarılan uyarılar için olaylar oluşturulduğunda, teknikler de olaylara eklenir.

  • Tehdit avcılığı:

    • Yeni bir tehdit avcılığı sorgusu oluştururken, sorgunuza uygulanacak belirli taktikleri ve teknikleri seçin.

    • Etkin avlanma sorgularını ararken, kılavuzun üstündeki listeden bir öğe seçerek taktiklerle görüntülenen sorguları filtreleyin. Sağ tarafta taktik ve teknik ayrıntılarını görmek için bir sorgu seçin.

    • Yer işaretleri oluştururken, tehdit avcılığı sorgusundan devralınan teknik eşlemesini kullanın veya kendi eşlemenizi oluşturun.