培训
认证
Microsoft Certified: Security Operations Analyst Associate - Certifications
使用 Microsoft Sentinel、Microsoft Defender for Cloud 和 Microsoft 365 Defender 调查、搜索和缓解威胁。
你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
MITRE ATT&CK 是可供公开访问的、包含攻击者常用的策略和技术的知识库,是通过观察现实世界的观测结果来创建和维护的。 许多组织使用 MITRE ATT&CK 知识库来开发特定的威胁模型和方法,用于验证其环境中的安全状态。
Microsoft Sentinel 分析引入的数据,不仅是为了检测威胁并帮助调查,而且还可以可视化组织安全状态的性质和覆盖范围。
本文介绍如何使用 Microsoft Sentinel 中的“MITRE”页面,根据 MITRE ATTCK® 框架中的策略和技术,来查看工作区中已经处于活动状态的检测,以及可供配置的检测,从而了解组织的安全覆盖范围。
重要
Microsoft Sentinel 中的 MITRE 页面当前处于预览状态。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
Microsoft Sentinel 当前与 MITRE ATT&CK 框架版本 13 保持一致。
在 Microsoft Sentinel 中的“威胁管理”下,选择“MITRE ATTA&CK(预览版)”。 默认情况下,当前活动的计划查询和准实时 (NRT) 规则都显示在覆盖范围矩阵中。
使用右上角的图例,了解工作区中当前针对特定技术的活动检测数量。
在左上角的搜索栏中,使用技术名称或 ID 在矩阵中搜索特定技术,以查看组织在所选技术方面的安全状态。
在矩阵中选择特定技术,可在右侧查看更多详细信息。 可在此处使用链接跳转到以下任何位置:
在“描述”区域,选择“查看完整技术详细信息”,了解有关 MITRE ATT&CK 框架知识库中所选技术的详细信息。
在窗格中向下滚动并选择任意活动项目的链接以跳转到 Microsoft Sentinel 中的相关区域。
例如,选择“搜寻查询”以跳转到“搜寻”页。 在此处,将看到与所选技术相关联的搜寻查询的筛选列表,可以在工作区中进行配置。
在 MITRE 覆盖范围矩阵中,“模拟”覆盖范围是指 Microsoft Sentinel 工作区中可用但当前未配置的检测。 查看模拟覆盖范围以了解组织可能的安全状态,是否配置了所有可用的检测。
在 Microsoft Sentinel 中的“威胁管理”下,选择“MITRE ATTA&CK(预览版)”,然后选择“模拟”菜单中的项目以模拟组织可能的安全状态。
在此处,使用页面的元素,就像查看特定技术的模拟覆盖范围一样。
在 Microsoft Sentinel 工作区中定期运行应用了 MITRE 技术的计划规则,这样可增强在 MITRE 覆盖范围矩阵中为组织显示的安全状态。
分析规则:
有关详细信息,请参阅直接检测威胁和创建自定义分析规则以检测威胁。
事件:
当针对规则(已配置 MITRE 技术)显示的警报创建事件时,这些技术也会添加到事件中。
有关详细信息,请参阅通过 Microsoft Sentinel 调查事件。
威胁搜寻:
有关详细信息,请参阅使用 Microsoft Sentinel 搜寻威胁和使用 Microsoft Sentinel 搜寻期间保持数据跟踪。
有关详细信息,请参阅:
培训
认证
Microsoft Certified: Security Operations Analyst Associate - Certifications
使用 Microsoft Sentinel、Microsoft Defender for Cloud 和 Microsoft 365 Defender 调查、搜索和缓解威胁。