Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
MITRE ATT&CK — это общедоступный база знаний тактик и методов, часто используемых злоумышленниками. Он создан и поддерживается на основе реальных наблюдений. Многие организации используют mitre ATT&CK база знаний для разработки конкретных моделей угроз и методологий для проверки состояния безопасности в своих средах.
Microsoft Sentinel анализирует полученные данные не только для обнаружения угроз и помощи в исследовании, но и для визуализации характера и охвата состояния безопасности вашей организации.
В этой статье описывается использование страницы MITRE в Microsoft Sentinel для просмотра правил аналитики (обнаружения), уже активных в рабочей области, и доступных для настройки обнаружений. Используйте эту страницу, чтобы узнать о покрытии безопасности вашей организации на основе тактики и методов из платформы MITRE ATT&CK.
Важно!
Страница MITRE в Microsoft Sentinel в настоящее время находится в предварительной версии. Дополнительные условия предварительной версии Azure включают юридические условия, которые применяются к Azure функциям, которые находятся в бета-версии, предварительной версии или еще не выпущены в общедоступную версию.
Предварительные условия
Перед просмотром покрытия MITRE для вашей организации в Microsoft Sentinel убедитесь, что у вас есть следующие предварительные требования:
- Активный экземпляр Microsoft Sentinel.
- Необходимые разрешения для просмотра содержимого в Microsoft Sentinel. Дополнительные сведения см. в разделе Роли и разрешения в Microsoft Sentinel.
- Соединители данных, настроенные для приема соответствующих данных безопасности в Microsoft Sentinel. Дополнительные сведения см. в разделе соединители данных Microsoft Sentinel.
- Активные правила запросов по расписанию и правила почти в реальном времени (NRT), настроенные в Microsoft Sentinel. Дополнительные сведения см. в разделе Обнаружение угроз в Microsoft Sentinel.
- Знакомство с платформой MITRE ATT&CK, а также ее тактикой и методами.
Версия платформы MITRE ATT&CK
Microsoft Sentinel в настоящее время соответствует платформе MITRE ATT&CK версии 18.
Просмотр текущего покрытия MITRE
По умолчанию в матрице покрытия указываются как активные запланированные запросы, так и правила почти в реальном времени (NRT).
Чтобы просмотреть текущий охват MITRE для вашей организации, выполните следующие действия:
В зависимости от используемого портала выполните одно из следующих действий.
На портале Defender выберите Microsoft Sentinel > Управление угрозами > MITRE ATT&CK.
Чтобы отфильтровать страницу по определенному сценарию угроз, включите параметр Просмотреть mitre по сценарию угроз , а затем выберите сценарий угрозы в раскрывающемся меню. Страница обновляется соответствующим образом. Например, вы можете:
Используйте любой из следующих методов:
Используйте условные обозначения , чтобы понять, сколько обнаружения в настоящее время активно в рабочей области для определенного метода.
Используйте строку поиска для поиска определенного метода в матрице, используя имя или идентификатор метода, чтобы просмотреть состояние безопасности вашей организации для выбранного метода.
Выберите определенный метод в матрице, чтобы просмотреть дополнительные сведения в области сведений. Здесь используйте ссылки, чтобы перейти в любое из следующих расположений:
В области Описание выберите Просмотреть полные сведения о технике... для получения дополнительных сведений о выбранном методе в база знаний платформы MITRE ATT&CK.
Прокрутите вниз в области и выберите ссылки на любой из активных элементов, чтобы перейти к соответствующей области в Microsoft Sentinel.
Например, выберите Запросы охоты , чтобы перейти на страницу Охота . Там вы увидите отфильтрованный список запросов охоты, которые связаны с выбранным методом и доступны для настройки в рабочей области.
На портале Defender в области сведений также отображаются рекомендуемые сведения о покрытии, включая соотношение активных обнаружений и служб безопасности (продуктов) из всех рекомендуемых обнаружений и служб для выбранного метода.
Имитация возможного покрытия с помощью доступных обнаружений
В матрице покрытия MITRE имитация покрытия относится к обнаружениям, которые доступны, но в настоящее время не настроены в рабочей области Microsoft Sentinel. Просмотрите имитированный охват, чтобы понять возможное состояние безопасности вашей организации, если вы настроили все доступные обнаружения.
В Microsoft Sentinel в разделе Управление угрозами выберите MITRE ATT&CK (предварительная версия), а затем выберите элементы в меню Имитация правил, чтобы имитировать возможное состояние безопасности вашей организации.
Используйте элементы матрицы покрытия, как и в противном случае, чтобы просмотреть имитированное покрытие для определенной техники.
Использование платформы MITRE ATT&CK в правилах и инцидентах аналитики
Запланированные правила с применением методов MITRE, которые регулярно выполняются в рабочей области Microsoft Sentinel, повышают состояние безопасности вашей организации в матрице покрытия MITRE.
Правила аналитики:
- При настройке правил аналитики выберите определенные методы MITRE, которые будут применяться к правилу.
- При поиске правил аналитики отфильтруйте правила, отображаемые по методике, чтобы быстрее найти свои правила.
Дополнительные сведения см. в разделах Обнаружение угроз в готовом режиме и Создание настраиваемых правил аналитики для обнаружения угроз.
Инциденты:
При создании инцидентов для оповещений, которые отображаются правилами с настроенными методами MITRE, эти методы также добавляются к инцидентам.
Дополнительные сведения см. в статье Исследование инцидентов с помощью Microsoft Sentinel. Если Microsoft Sentinel подключен к порталу Defender, изучите инциденты на портале Microsoft Defender.
Охота на угрозы:
- При создании запроса на поиск выберите конкретные тактики и методы, которые будут применяться к запросу.
- При поиске активных запросов на поиск отфильтруйте запросы, отображаемые по тактике, выбрав элемент из списка над сеткой. Выберите запрос, чтобы просмотреть сведения о тактике и технике в области сведений сбоку.
- При создании закладок используйте сопоставление методов, унаследованных от охотничьего запроса, или создайте собственное сопоставление.
Дополнительные сведения см. в разделах Охота на угрозы с помощью Microsoft Sentinel и Отслеживание данных во время охоты с помощью Microsoft Sentinel.
Связанные материалы
Дополнительные сведения см. в разделе: