Grundlegendes zur Sicherheitsabdeckung durch das MITRE ATT&CK®-Framework
MITRE ATT&CK ist eine öffentlich zugängliche Wissensdatenbank mit Taktiken und Techniken, die häufig von Angreifern verwendet werden, und wird durch Beobachtungen in der realen Welt erstellt und gepflegt. Viele Organisationen verwenden die MITRE ATT&CK-Wissensdatenbank, um spezifische Bedrohungsmodelle und Methoden zu entwickeln, mit denen sie den Sicherheitsstatus in ihren Umgebungen überprüfen können.
Microsoft Sentinel analysiert erfasste Daten nicht nur, um Bedrohungen zu erkennen und Sie bei der Untersuchung zu unterstützen, sondern auch um die Art und Abdeckung des Sicherheitsstatus Ihrer Organisation zu visualisieren.
In diesem Artikel wird beschrieben, wie Sie die Seite MITRE in Microsoft Sentinel verwenden, um die bereits in Ihrem Arbeitsbereich aktiven Erkennungen anzuzeigen, sowie diejenigen, die Ihnen zur Konfiguration zur Verfügung stehen, um die Sicherheitsabdeckung Ihrer Organisation, basierend auf den Taktiken und Methoden des MITRE ATTCK®-Frameworks, zu verstehen.
Wichtig
Die Seite „MITRE“ in Microsoft Sentinel befindet sich derzeit in der VORSCHAUPHASE. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
MITRE ATT&CK Framework-Version
Microsoft Sentinel richtet sich derzeit nach dem MITRE ATT&CK Framework, Version 13.
Anzeigen der aktuellen MITRE-Abdeckung
Wählen Sie in Microsoft Sentinel unter Bedrohungsmanagement MITRE ATTA&CK (Vorschau) aus. Standardmäßig werden in der Abdeckungsmatrix sowohl die derzeit aktiven Regeln für geplante Abfragen als auch die Quasi-Echtzeitregeln (Near Real-Time, NRT) angegeben.
Verwenden Sie die Legende oben rechts, um zu verstehen, wie viele Erkennungen derzeit in Ihrem Arbeitsbereich für eine bestimmte Methode aktiv sind.
Verwenden Sie die Suchleiste oben links, um anhand des Methodennamens oder der ID nach einer bestimmten Methode in der Matrix zu suchen, um den Sicherheitsstatus Ihrer Organisation für die ausgewählte Methode anzuzeigen.
Wählen Sie eine bestimmte Methode in der Matrix aus, um weitere Details auf der rechten Seite anzuzeigen. Verwenden Sie dort die Links, um zu einem der folgenden Orte zu wechseln:
Wählen Sie im Bereich Beschreibung Vollständige Methodendetails anzeigen ... aus, um weitere Informationen zur ausgewählten Technik in der MITRE ATT&CK Framework Knowledge Base zu erhalten.
Scrollen Sie im Bereich nach unten und wählen Sie Links zu einem der aktiven Elemente aus, um zum relevanten Bereich in Microsoft Sentinel zu springen.
Wählen Sie beispielsweise Hunting-Abfragen aus, um zur Seite Hunting zu wechseln. Dort sehen Sie eine gefilterte Liste der Hunting-Abfragen, die der ausgewählten Methode zugeordnet sind und Ihnen in Ihrem Arbeitsbereich zur Konfiguration zur Verfügung stehen.
Simulieren einer möglichen Abdeckung mit verfügbaren Erkennungen
In der MITRE-Abdeckungsmatrix bezieht sich die simulierte Abdeckung auf Erkennungen, die in Ihrem Microsoft Sentinel-Arbeitsbereich verfügbar, aber derzeit nicht konfiguriert sind. Zeigen Sie Ihre simulierte Abdeckung an, um den möglichen Sicherheitsstatus Ihrer Organisation zu verstehen, wenn Sie alle für Sie verfügbaren Erkennungen konfigurieren würden.
Wählen Sie in Microsoft Sentinel unter Bedrohungsmanagement MITRE ATTA&CK (Vorschau) aus, und wählen Sie dann Elemente im Menü Simuliert aus, um den möglichen Sicherheitsstatus Ihrer Organisation zu simulieren.
Verwenden Sie von dort aus die Elemente der Seite, wie Sie sie sonst in der simulierten Abdeckung für eine bestimmte Methode anzeigen würden.
Verwenden des MITRE ATT&CK-Frameworks in Analyseregeln und Vorfällen
Wenn Sie über eine geplante Regel mit angewandten MITRE-Methoden verfügen, die regelmäßig in Ihrem Microsoft Sentinel-Arbeitsbereich ausgeführt wird, verbessert dies den Sicherheitsstatus, der für Ihre Organisation in der MITRE-Abdeckungsmatrix angezeigt wird.
Analyseregeln:
- Wählen Sie beim Konfigurieren von Analyseregeln bestimmte MITRE-Methoden aus, die auf Ihre Regel angewendet werden sollen.
- Wenn Sie nach Analyseregeln suchen, filtern Sie die angezeigten Regeln nach Methode, um Ihre Regeln schneller zu finden.
Weitere Informationen finden Sie unter Standardmäßig verfügbare Erkennung von Bedrohungen und Erstellen benutzerdefinierter Analyseregeln zum Erkennen von Bedrohungen.
Vorfälle:
Wenn Incidents für Warnungen erstellt werden, die durch Regeln mit konfigurierten MITRE-Methoden verfügbar gemacht werden, werden die Methoden ebenfalls den Incidents hinzugefügt.
Weitere Informationen finden Sie unter Untersuchen von Vorfällen mit Microsoft Sentinel.
Bedrohungssuche:
- Wählen Sie beim Erstellen einer neuen Hunting-Abfrage die spezifischen Taktiken und Methoden aus, die auf Ihre Abfrage angewendet werden sollen.
- Wenn Sie nach aktiven Hunting-Abfragen suchen, filtern Sie die angezeigten Abfragen nach den Methoden, indem Sie ein Element aus der Liste oberhalb des Rasters auswählen. Wählen Sie eine Abfrage aus, um die Taktik- und Methodendetails auf der rechten Seite anzuzeigen.
- Verwenden Sie beim Erstellen von Lesezeichen entweder die von der Hunting-Abfrage geerbte Methodenzuordnung, oder erstellen Sie eine eigene Zuordnung.
Weitere Informationen finden Sie unter Suchen nach Bedrohungen mit Microsoft Sentinel und Nachverfolgen von Daten während der Suche (Hunting) mit Microsoft Sentinel.
Zugehöriger Inhalt
Weitere Informationen finden Sie unter: