探索 MITRE ATT&CK

  • 3 分钟

MITRE ATT&CK 是可供公开访问的、包含攻击者常用的策略和技术的知识库,是通过观察现实世界的观测结果来创建和维护的。 许多组织使用 MITRE ATT&CK 知识库来开发特定的威胁模型和方法,用于验证其环境中的安全状态。

Microsoft Sentinel 分析引入的数据,不仅是为了检测威胁并帮助调查,而且还可以可视化组织安全状态的性质和覆盖范围。

开发威胁搜寻假设时,了解要搜索的策略和技术至关重要。 MITRE ATT&CK 框架用于整个 Microsoft Sentinel。

使用 Microsoft Sentinel 中的“威胁管理”下的 MITRE ATT&CK 选项,根据 MITRE ATT&CK® 框架中的策略和技术,来查看工作区中已经处于活动状态的检测,以及可供配置的检测,从而了解组织的安全覆盖范围。

查看当前 MITRE 覆盖范围

在 Microsoft Sentinel 的左侧“威胁管理”菜单中,选择“MITRE”。 默认情况下,当前活动的计划查询和准实时 (NRT) 规则都显示在覆盖范围矩阵中。

  • 使用右上角的图例,了解工作区中当前针对特定技术的活动检测数量。

  • 在左上角的搜索栏中,使用技术名称或 ID 在矩阵中搜索特定技术,以查看组织在所选技术方面的安全状态。

  • 在矩阵中选择特定技术,可在右侧查看更多详细信息。 可在此处使用链接跳转到以下任何位置:

    • 选择“查看技术详细信息”,详细了解 MITRE ATT&CK 框架知识库中的所选技术。

    • 选择任何活动项目的链接以跳转到 Microsoft Sentinel 中的相关区域。

使用可用检测模拟可能的覆盖范围

在 MITRE 覆盖范围矩阵中,“模拟”覆盖范围是指 Microsoft Sentinel 工作区中可用但当前未配置的检测。 查看模拟覆盖范围以了解组织可能的安全状态,是否配置了所有可用的检测。

在 Microsoft Sentinel 的左侧“常规”菜单中,选择“MITRE”。

在“模拟”菜单中选择项来模拟组织可能的安全状态。

  • 使用右上角的图例可供配置的检测数量(包括分析规则模板或搜寻查询)。

  • 在左上角的搜索栏中,使用技术名称或 ID 在矩阵中搜索特定技术,以查看组织针对所选技术的模拟安全状态。

  • 在矩阵中选择特定技术,可在右侧查看更多详细信息。 可在此处使用链接跳转到以下任何位置:

    • 选择“查看技术详细信息”,详细了解 MITRE ATT&CK 框架知识库中的所选技术。

    • 选择任何模拟项目的链接以跳转到 Microsoft Sentinel 中的相关区域。

例如,选择“搜寻查询”以跳转到“搜寻”页。 在此处,将看到与所选技术相关联的搜寻查询的筛选列表,可以在工作区中进行配置。

在分析规则和事件中使用 MITRE ATT&CK 框架

在 Microsoft Sentinel 工作区中定期运行应用了 MITRE 技术的计划规则,这样可增强在 MITRE 覆盖范围矩阵中为组织显示的安全状态。

  • 分析规则:

    • 配置分析规则时,选择特定的 MITRE 技术以应用于规则。
    • 搜索分析规则时,按技术对显示的规则进行筛选以更快地查找规则。

  • 事件:

当针对规则(已配置 MITRE 技术)显示的警报创建事件时,这些技术也会添加到事件中。

  • 威胁搜寻:

    • 创建新的搜寻查询时,选择要应用于查询的特定策略和技术。

    • 搜索活动搜寻查询时,通过从网格上方的列表中选择一项来按策略筛选所显示的查询。 选择一个查询,在右侧查看策略和技术详细信息。

    • 创建书签时,可以选择使用从搜寻查询继承的技术映射,或者创建自己的映射。