Megosztás a következőn keresztül:

A MITRE ATT&CK-keretrendszer® biztonsági lefedettségének ismertetése

  • Cikk
  • A következőre érvényes::
    Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

A MITRE ATT&CK a támadók által gyakran használt taktikák és technikák nyilvánosan elérhető tudásbázis, és valós megfigyelések megfigyelésével jön létre és tart fenn. Számos szervezet használja a MITRE ATT&CK tudásbázis a környezeteik biztonsági állapotának ellenőrzésére használt konkrét fenyegetésmodellek és módszertanok fejlesztésére.

A Microsoft Sentinel nemcsak a fenyegetések észleléséhez és a kivizsgálásban segít, hanem a szervezet biztonsági állapotának jellegének és lefedettségének megjelenítéséhez is elemzi a betöltött adatokat.

Ez a cikk bemutatja, hogyan használhatja a Microsoft Sentinel MITRE oldalát a munkaterületen már aktív elemzési szabályok (észlelések) és a konfigurálható észlelések megtekintésére a szervezet biztonsági lefedettségének megértéséhez a MITRE ATT&CK-keretrendszer® taktikái és technikái alapján.

Fontos

A Microsoft Sentinel MITRE lapja jelenleg előzetes verzióban érhető el. Az Azure Előzetes verzió kiegészítő feltételei olyan jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Előfeltételek

Mielőtt megtekintené a szervezet MITRE-lefedettségét a Microsoft Sentinelben, győződjön meg arról, hogy rendelkezik a következő előfeltételekkel:

MITRE ATT&CK-keretrendszer verziója

A Microsoft Sentinel jelenleg a MITRE ATT&CK keretrendszer 13-ás verziójához van igazítva.

Aktuális MITRE-lefedettség megtekintése

Alapértelmezés szerint az aktuálisan aktív ütemezett lekérdezés és a közel valós idejű (NRT) szabályok is szerepelnek a lefedettségi mátrixban.

  1. A használt portáltól függően tegye az alábbiak egyikét:

    Az Azure Portal Fenyegetéskezelés területén válassza a MITRE ATT&CK (előzetes verzió) lehetőséget.

    Képernyőkép a MITRE lefedettségi oldaláról.

  2. Az alábbi módszerek bármelyikét használhatja:

    • A jelmagyarázat segítségével megtudhatja, hogy hány észlelés van jelenleg aktív a munkaterületen egy adott technikához.

    • A keresősáv használatával megkeresheti a mátrix egy adott technikáját a technika nevével vagy azonosítójával, hogy megtekintse a szervezet biztonsági állapotát a kiválasztott technikához.

    • Válasszon ki egy adott technikát a mátrixban a részletek panel további részleteinek megtekintéséhez. Itt a hivatkozások segítségével ugorjon az alábbi helyek bármelyikére:

      • A Leírás területen válassza a Teljes technika részleteinek megtekintése ... lehetőséget a MITRE ATT&CK keretrendszerben tudásbázis kiválasztott technikával kapcsolatos további információkért.

      • Görgessen le a panelen, és válassza ki az aktív elemekre mutató hivatkozásokat a Microsoft Sentinel megfelelő területére való ugráshoz.

      Válassza például a Hunting lekérdezések lehetőséget, hogy a Vadászat lapra ugorjon. Itt megjelenik a kiválasztott technikához társított és a munkaterületen konfigurálható keresési lekérdezések szűrt listája.

    A Defender portálon a részletek panelen az ajánlott lefedettségi adatok is láthatók, beleértve az aktív észlelések és a biztonsági szolgáltatások (termékek) arányát a kiválasztott technikához javasolt észlelések és szolgáltatások közül.

Lehetséges lefedettség szimulálása elérhető észlelésekkel

A MITRE lefedettségi mátrixában a szimulált lefedettség olyan észlelésekre utal, amelyek elérhetők, de jelenleg nem konfigurálva vannak a Microsoft Sentinel-munkaterületen. Tekintse meg a szimulált lefedettséget a szervezet lehetséges biztonsági állapotának megértéséhez, ha az összes elérhető észlelést konfigurálja.

  1. A Microsoft Sentinel Fenyegetéskezelés területén válassza a MITRE ATTA&CK (előzetes verzió) lehetőséget, majd a Szimulált szabályok menü elemeit választva szimulálja a szervezet lehetséges biztonsági állapotát.

  2. Innen használja az oldal elemeit, ahogyan egyébként egy adott technika szimulált lefedettségét is megtekintheti.

A MITRE ATT&CK keretrendszer használata elemzési szabályokban és incidensekben

A Microsoft Sentinel-munkaterületen rendszeresen futó MITRE-technikákkal rendelkező ütemezett szabály növeli a szervezet számára a MITRE lefedettségi mátrixban megjelenő biztonsági állapotot.

  • Elemzési szabályok:

    • Az elemzési szabályok konfigurálásakor válassza ki a szabályra alkalmazni kívánt MITRE-technikákat.
    • Elemzési szabályok keresésekor szűrje a technika szerint megjelenített szabályokat, hogy gyorsabban megtalálja a szabályokat.

    További információ: Fenyegetések észlelése a beépítettségen kívül, és egyéni elemzési szabályok létrehozása a fenyegetések észleléséhez.

  • Incidensek:

    Amikor incidensek jönnek létre olyan riasztásokhoz, amelyeket a mitRE-technikákkal konfigurált szabályok felszínre hoznak, a technikák az incidensekhez is hozzáadódnak.

    További információ: Incidensek vizsgálata a Microsoft Sentinellel. Ha a Microsoft Sentinel be van kapcsolva a Defender portálra, vizsgálja meg az incidenseket a Microsoft Defender portálon .

  • Fenyegetéskeresés:

    • Új keresési lekérdezés létrehozásakor válassza ki a lekérdezésre alkalmazni kívánt taktikákat és technikákat.
    • Aktív keresési lekérdezések keresésekor a taktikával megjelenített lekérdezéseket úgy szűrheti, hogy kiválaszt egy elemet a rács fölötti listából. Válasszon ki egy lekérdezést a taktika és a technika részleteinek megtekintéséhez az oldal részletek ablaktábláján
    • Könyvjelzők létrehozásakor használja a keresési lekérdezésből örökölt technikaleképezést, vagy hozzon létre saját leképezést.

    További információ: Veszélyforrások keresése a Microsoft Sentinellel és az adatok nyomon követése a Microsoft Sentinelnel való vadászat során.

Kapcsolódó tartalom

További információk: