مشاركة عبر

فهم التغطية الأمنية بواسطة إطار عمل MITRE ATT&CK®

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

MITRE ATT CK هو قاعدة المعارف (KB) يمكن الوصول إليه بشكل عام من التكتيكات والتقنيات التي يستخدمها المهاجمون بشكل شائع، ويتم إنشاؤها وصيانتها من خلال مراقبة الملاحظات في العالم الحقيقي. تستخدم العديد من المؤسسات قاعدة المعارف (KB) MITRE ATT&CK لتطوير نماذج ومنهجيات تهديد محددة تستخدم للتحقق من حالة الأمان في بيئاتها.

يحلل Microsoft Sentinel البيانات التي تم استيعابها، ليس فقط للكشف عن التهديدات ومساعدتك في التحقيق، ولكن أيضًا لتصور طبيعة حالة الأمان لمؤسستك وتغطيتها.

توضح هذه المقالة كيفية استخدام صفحة MITRE في Microsoft Sentinel لعرض قواعد التحليلات (الاكتشافات) النشطة بالفعل في مساحة العمل الخاصة بك، والكشفات المتاحة لك لتكوين، لفهم تغطية الأمان لمؤسستك، استنادا إلى التكتيكات والتقنيات من إطار عمل MITRE ATT&CK®.

هام

صفحة MITRE في Microsoft Sentinel قيد المعاينة حاليًا. تتضمن الشروط التكميلية لمعاينة Azure الشروط القانونية التي تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.

المتطلبات الأساسية

قبل أن تتمكن من عرض تغطية MITRE لمؤسستك في Microsoft Sentinel، تأكد من أن لديك المتطلبات الأساسية التالية:

  • مثيل Microsoft Sentinel نشط.
  • الأذونات اللازمة لعرض المحتوى في Microsoft Sentinel. لمزيد من المعلومات، راجع الأدوار والأذونات في Microsoft Sentinel.
  • موصلات البيانات المكونة لاستيعاب بيانات الأمان ذات الصلة في Microsoft Sentinel. لمزيد من المعلومات، راجع موصلات بيانات Microsoft Sentinel.
  • تم إعداد قواعد الاستعلام المجدولة النشطة وقواعد الوقت الفعلي تقريبا (NRT) في Microsoft Sentinel. لمزيد من المعلومات، راجع الكشف عن التهديدات في Microsoft Sentinel.
  • الإلمام بإطار عمل MITRE ATT&CK وتكتيكاته وتقنياته.

إصدار إطار عمل MITRE ATT CK

تتم محاذاة Microsoft Sentinel حاليا مع إطار عمل MITRE ATT&CK، الإصدار 13.

عرض تغطية MITRE الحالية

بشكل افتراضي، تتم الإشارة إلى كل من قواعد الاستعلام المجدول النشطة حالياً وقواعد الوقت الفعلي القريب (NRT) في مصفوفة التغطية.

  1. قم بأحد الإجراءات التالية، استنادا إلى المدخل الذي تستخدمه:

    في مدخل Microsoft Azure، ضمن Threat management، حدد MITRE ATT&CK (Preview).

    لقطة شاشة لصفحة تغطية MITRE.

  2. استخدم أي من الطرق التالية:

    • استخدم وسيلة الإيضاح لفهم عدد عمليات الكشف النشطة حاليا في مساحة العمل الخاصة بك لتقنية معينة.

    • استخدم شريط البحث للبحث عن تقنية معينة في المصفوفة، باستخدام اسم التقنية أو المعرف، لعرض حالة أمان مؤسستك للتقنية المحددة.

    • حدد تقنية معينة في المصفوفة لعرض مزيد من التفاصيل في جزء التفاصيل. هناك، استخدم الارتباطات للانتقال إلى أي من المواقع التالية:

      • في منطقة الوصف، حدد عرض تفاصيل التقنية الكاملة ... لمزيد من المعلومات حول التقنية المحددة في إطار عمل MITRE ATT&CK قاعدة المعارف (KB).

      • مرر لأسفل في الجزء وحدد ارتباطات إلى أي من العناصر النشطة للانتقال إلى المنطقة ذات الصلة في Microsoft Sentinel.

      على سبيل المثال، حدد استعلامات التتبع للانتقال إلى صفحة التتبع. هناك، سترى قائمة تمت تصفيتها لاستعلامات التتبع المقترنة بالتقنية المحددة، والمتاحة لك للتكوين في مساحة العمل الخاصة بك.

    في مدخل Defender، يعرض جزء التفاصيل أيضا تفاصيل التغطية الموصى بها، بما في ذلك نسبة الاكتشافات النشطة وخدمات (المنتجات) الأمنية من جميع عمليات الكشف والخدمات الموصى بها للتقنية المحددة.

محاكاة التغطية المحتملة مع الاكتشافات المتاحة

في مصفوفة تغطية MITRE، تشير التغطية المحاكية إلى الاكتشافات المتوفرة، ولكن لم يتم تكوينها حاليا في مساحة عمل Microsoft Sentinel. اعرض التغطية المحاكية لفهم حالة الأمان المحتملة لمؤسستك، هل كنت تريد تكوين جميع عمليات الكشف المتاحة لك.

  1. في Microsoft Sentinel، ضمن إدارة المخاطر، حدد MITRE ATTA&CK (معاينة)، ثم حدد العناصر في قائمة قواعد المحاكاة لمحاكاة حالة الأمان المحتملة لمؤسستك.

  2. من هناك، استخدم عناصر الصفحة كما تفعل بخلاف ذلك لعرض تغطية المحاكاة لتقنية معينة.

استخدام إطار عمل MITRE ATT&CK في قواعد التحليلات والحوادث

يؤدي وجود قاعدة مجدولة مع تقنيات MITRE التي يتم تطبيقها بشكل منتظم في مساحة عمل Microsoft Azure Sentinel إلى تحسين حالة الأمان المعروضة لمؤسستك في مصفوفة تغطية MITRE.

  • قواعد التحليلات:

    • عند تكوين قواعد التحليلات، حدد تقنيات MITRE معينة لتطبيقها على القاعدة الخاصة بك.
    • عند البحث عن قواعد التحليلات، قم بتصفية القواعد المعروضة بواسطة التقنية للعثور على القواعد الخاصة بك بسرعة أكبر.

    لمزيد من المعلومات، راجع الكشف عن التهديدات الجاهزةوإنشاء قواعد تحليلات مخصصة للكشف عن التهديدات.

  • الحوادث:

    عند إنشاء الحوادث للتنبيهات التي تظهر بواسطة القواعد مع تكوين تقنيات MITRE، تتم إضافة التقنيات أيضاً إلى الحوادث.

    لمزيد من المعلومات، راجع التحقيق في الحوادث باستخدام Microsoft Azure Sentinel. إذا تم إلحاق Microsoft Sentinel بمدخل Defender، فتحقق من الحوادث في مدخل Microsoft Defender بدلا من ذلك.

  • تتبع المخاطر:

    • عند إنشاء استعلام تتبع جديد، حدد التكتيكات والتقنيات المحددة لتطبيقها على استعلامك.
    • عند البحث عن استعلامات التتبع النشطة، قم بتصفية الاستعلامات المعروضة بواسطة التكتيكات عن طريق تحديد عنصر من القائمة أعلى الشبكة. حدد استعلاما للاطلاع على تفاصيل التكتيك والتقنية في جزء التفاصيل على الجانب
    • عند إنشاء إشارات مرجعية، إما استخدام تعيين التقنية الموروثة من استعلام التتبع، أو إنشاء التعيين الخاص بك.

    لمزيد من المعلومات، راجع البحث عن التهديدات باستخدام Microsoft Sentinel وتتبع البيانات أثناء التتبع باستخدام Microsoft Sentinel.

المحتوى ذو الصلة

لمزيد من المعلومات، راجع: