Memahami cakupan keamanan oleh kerangka kerja MITRE ATT&CK®

MITRE ATT&CK adalah basis pengetahuan taktik dan teknik yang dapat diakses publik yang umumnya digunakan oleh penyerang, dan dibuat dan dikelola dengan mengamati pengamatan dunia nyata. Banyak organisasi menggunakan basis pengetahuan MITRE ATT&CK untuk mengembangkan model ancaman dan metodologi tertentu yang digunakan untuk memverifikasi status keamanan di lingkungan mereka.

Microsoft Sentinel menganalisis data yang diproses, tidak hanya untuk mendeteksi ancaman dan membantu Anda menyelidiki, tetapi juga untuk memvisualisasikan sifat dan cakupan status keamanan organisasi Anda.

Artikel ini menjelaskan cara menggunakan halaman MITRE di Microsoft Azure Sentinel untuk melihat aturan analitik (deteksi) yang sudah aktif di ruang kerja Anda, dan deteksi yang tersedia bagi Anda untuk dikonfigurasi, untuk memahami cakupan keamanan organisasi Anda, berdasarkan taktik dan teknik dari kerangka kerja MITRE ATT&CK®.

Prasyarat

Sebelum Anda dapat melihat cakupan MITRE untuk organisasi Anda di Microsoft Sentinel, pastikan Anda memiliki prasyarat berikut:

• Instans Microsoft Sentinel aktif.
• Izin yang diperlukan untuk melihat konten di Microsoft Azure Sentinel. Untuk informasi selengkapnya, lihat Peran dan izin di Microsoft Azure Sentinel.
• Konektor data dikonfigurasi untuk menyerap data keamanan yang relevan ke Microsoft Azure Sentinel. Untuk informasi selengkapnya, lihat Konektor data Microsoft Azure Sentinel.
• Aturan kueri terjadwal aktif dan aturan mendekati real-time (NRT) disiapkan di Microsoft Sentinel. Untuk informasi selengkapnya, lihat Deteksi ancaman di Microsoft Azure Sentinel.
• Keakraban dengan kerangka kerja MITRE ATT&CK serta taktik dan tekniknya.

Versi kerangka kerja MITRE ATT&CK

Microsoft Sentinel saat ini selaras dengan kerangka kerja MITRE ATT&CK, versi 13.

Lihat cakupan MITRE saat ini

Secara default, aturan kueri terjadwal yang saat ini aktif dan aturan hampir waktu nyata (NRT) ditunjukkan dalam matriks cakupan.

1. Lakukan salah satu hal berikut, bergantung pada portal yang Anda gunakan:

   • Portal Azure
   • Portal pertahanan

   Di portal Azure, di bawah Manajemen ancaman, pilih MITRE ATT&CK (Pratinjau).

   

2. Gunakan salah satu metode berikut:

   • Gunakan legenda untuk memahami berapa banyak deteksi yang saat ini aktif di ruang kerja Anda untuk teknik tertentu.

   • Gunakan bilah pencarian untuk mencari teknik tertentu dalam matriks, menggunakan nama teknik atau ID, untuk melihat status keamanan organisasi Anda untuk teknik yang dipilih.

   • Pilih teknik tertentu dalam matriks untuk menampilkan detail selengkapnya di panel detail. Di sana, gunakan tautan untuk melompat ke salah satu lokasi berikut:

     • Di area Deskripsi, pilih Lihat detail teknik lengkap ... untuk informasi selengkapnya tentang teknik yang dipilih dalam kerangka kerja MITRE ATT&CK basis pengetahuan.

     • Gulir ke bawah di panel dan pilih tautan ke salah satu item aktif untuk melompat ke area yang relevan di Microsoft Azure Sentinel.

     Misalnya, pilih Kueri berburu untuk melompat ke halaman Berburu. Di sana, Anda akan melihat daftar kueri berburu yang difilter yang terkait dengan teknik yang dipilih, dan tersedia untuk Anda konfigurasikan di ruang kerja Anda.

   Di portal Defender, panel detail juga menampilkan detail cakupan yang direkomendasikan, termasuk rasio deteksi aktif dan layanan keamanan (produk) dari semua deteksi dan layanan yang direkomendasikan untuk teknik yang dipilih.

Menyimulasikan kemungkinan cakupan dengan deteksi yang tersedia

Dalam matriks cakupan MITRE, cakupan simulasi mengacu pada deteksi yang tersedia, tetapi saat ini tidak dikonfigurasi di ruang kerja Microsoft Azure Sentinel Anda. Lihat cakupan simulasi Anda untuk memahami kemungkinan status keamanan organisasi Anda, jika Anda mengonfigurasi semua deteksi yang tersedia untuk Anda.

1. Di Microsoft Azure Sentinel, di bawah Manajemen ancaman, pilih MITRE ATTA&CK (Pratinjau), lalu pilih item di menu Aturan simulasi untuk mensimulasikan kemungkinan status keamanan organisasi Anda.

2. Dari sana, gunakan elemen halaman seperti yang Anda lakukan untuk melihat cakupan simulasi untuk teknik tertentu.

Menggunakan kerangka kerja MITRE ATT&CK dalam aturan analitik dan insiden

Memiliki aturan terjadwal dengan teknik MITRE yang diterapkan berjalan secara teratur di ruang kerja Microsoft Sentinel Anda akan meningkatkan status keamanan yang ditampilkan untuk organisasi Anda dalam matriks cakupan MITRE.

• Aturan Analitik:

  • Saat mengonfigurasi aturan analitik, pilih teknik MITRE tertentu yang akan diterapkan ke aturan Anda.
  • Saat mencari aturan analitik, filter aturan yang ditampilkan berdasarkan teknik untuk menemukan aturan Anda lebih cepat.

  Untuk informasi selengkapnya, lihat Mendeteksi ancaman secara langsung dan Membuat aturan analitik kustom untuk mendeteksi ancaman.

• Insiden:

  Saat insiden dibuat untuk peringatan yang muncul oleh aturan dengan teknik MITRE yang dikonfigurasi, teknik juga ditambahkan ke insiden.

  Untuk informasi selengkapnya, lihat Menyelidiki insiden dengan Microsoft Azure Sentinel. Jika Microsoft Sentinel di-onboarding ke portal Defender, maka selidiki insiden di portal Pertahanan Microsoft sebagai gantinya.

• Perburuan ancaman:

  • Saat Anda membuat kueri berburu baru, pilih taktik dan teknik tertentu untuk diterapkan ke kueri Anda.
  • Saat mencari kueri berburu aktif, filter kueri yang ditampilkan oleh taktik dengan memilih item dari daftar di atas kisi. Pilih kueri untuk melihat detail taktik dan teknik di panel detail di samping
  • Saat Anda membuat marka buku, gunakan pemetaan teknik yang diwarisi dari kueri berburu, atau buat pemetaan Anda sendiri.

  Untuk informasi selengkapnya, lihat Berburu ancaman dengan Microsoft Sentinel dan Melacak data selama berburu dengan Microsoft Sentinel.

Konten terkait

Untuk informasi selengkapnya, lihat:

• MITRE | Kerangka kerja ATT&CK
• MITRE ATT&CK untuk Sistem Kontrol Industri