你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

了解 MITRE ATT&CK® 框架的安全覆盖范围

重要

Microsoft Sentinel 中的 MITRE 页面当前处于预览状态。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

MITRE ATT&CK 是一个可公开访问的策略和技术知识库，经常被攻击者利用，它是通过观察现实世界的观察来创建和维护的。 许多组织使用 MITRE ATT&CK 知识库来开发特定的威胁模型和方法，用于验证其环境中的安全状态。

Microsoft Sentinel 分析引入的数据，不仅是为了检测威胁并帮助调查，而且还可以可视化组织安全状态的性质和覆盖范围。

本文介绍如何使用 Microsoft Sentinel 中的 MITRE 页查看工作区中已处于活动状态的检测，以及可供你配置的检测，以便根据 MITRE ATT&CK® 框架中的策略和技术来了解组织的安全覆盖范围。

Microsoft Sentinel 当前与 MITRE ATT&CK 框架版本 13 保持一致。

查看当前 MITRE 覆盖范围

在 Microsoft Sentinel 的左侧“威胁管理”菜单中，选择“MITRE”。 默认情况下，当前活动的计划查询和准实时 (NRT) 规则都显示在覆盖范围矩阵中。

• 使用右上角的图例，了解工作区中当前针对特定技术的活动检测数量。

• 在左上角的搜索栏中，使用技术名称或 ID 在矩阵中搜索特定技术，以查看组织在所选技术方面的安全状态。

• 在矩阵中选择特定技术，可在右侧查看更多详细信息。 可在此处使用链接跳转到以下任何位置：

  • 选择“查看技术详细信息”，了解有关 MITRE ATT&CK 框架知识库中所选技术的详细信息。

  • 选择任何活动项目的链接以跳转到 Microsoft Sentinel 中的相关区域。

使用可用检测模拟可能的覆盖范围

在 MITRE 覆盖范围矩阵中，“模拟”覆盖范围是指 Microsoft Sentinel 工作区中可用但当前未配置的检测。 查看模拟覆盖范围以了解组织可能的安全状态，是否配置了所有可用的检测。

在 Microsoft Sentinel 的左侧“常规”菜单中，选择“MITRE”。

在“模拟”菜单中选择项来模拟组织可能的安全状态。

• 使用右上角的图例可供配置的检测数量（包括分析规则模板或搜寻查询）。

• 在左上角的搜索栏中，使用技术名称或 ID 在矩阵中搜索特定技术，以查看组织针对所选技术的模拟安全状态。

• 在矩阵中选择特定技术，可在右侧查看更多详细信息。 可在此处使用链接跳转到以下任何位置：

  • 选择“查看技术详细信息”，了解有关 MITRE ATT&CK 框架知识库中所选技术的详细信息。

  • 选择任何模拟项目的链接以跳转到 Microsoft Sentinel 中的相关区域。

  例如，选择“搜寻查询”以跳转到“搜寻”页。 在此处，将看到与所选技术相关联的搜寻查询的筛选列表，可以在工作区中进行配置。

在分析规则和事件中使用 MITRE ATT&CK 框架

在 Microsoft Sentinel 工作区中定期运行应用了 MITRE 技术的计划规则，这样可增强在 MITRE 覆盖范围矩阵中为组织显示的安全状态。

• 分析规则：

  • 配置分析规则时，选择特定的 MITRE 技术以应用于规则。
  • 搜索分析规则时，按技术对显示的规则进行筛选以更快地查找规则。

  有关详细信息，请参阅直接检测威胁和创建自定义分析规则以检测威胁。

• 事件：

  当针对规则（已配置 MITRE 技术）显示的警报创建事件时，这些技术也会添加到事件中。

  有关详细信息，请参阅通过 Microsoft Sentinel 调查事件。

• 威胁搜寻：

  • 创建新的搜寻查询时，选择要应用于查询的特定策略和技术。
  • 搜索活动搜寻查询时，通过从网格上方的列表中选择一项来按策略筛选所显示的查询。 选择一个查询，在右侧查看策略和技术详细信息。
  • 创建书签时，可以选择使用从搜寻查询继承的技术映射，或者创建自己的映射。

  有关详细信息，请参阅使用 Microsoft Sentinel 搜寻威胁和使用 Microsoft Sentinel 搜寻期间保持数据跟踪。

后续步骤

有关详细信息，请参阅：

• MITRE | ATT&CK 框架
• 适用于工业控制系统的 MITRE ATT&CK