Compartir a través de

了解 MITRE ATT&CK® 框架的安全覆盖范围

重要

Microsoft Sentinel 中的 MITRE 页面当前处于预览状态。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

MITRE ATT&CK 是一个可公开访问的策略和技术知识库,经常被攻击者利用,它是通过观察现实世界的观察来创建和维护的。 许多组织使用 MITRE ATT&CK 知识库来开发特定的威胁模型和方法,用于验证其环境中的安全状态。

Microsoft Sentinel 分析引入的数据,不仅是为了检测威胁并帮助调查,而且还可以可视化组织安全状态的性质和覆盖范围。

本文介绍如何使用 Microsoft Sentinel 中的“MITRE”页面,根据 MITRE ATTCK® 框架中的策略和技术,来查看工作区中已经处于活动状态的检测,以及可供配置的检测,从而了解组织的安全覆盖范围。

Screenshot of the MITRE coverage page with both active and simulated indicators selected.

Microsoft Sentinel 当前与 MITRE ATT&CK 框架版本 13 保持一致。

查看当前 MITRE 覆盖范围

在 Microsoft Sentinel 的左侧“威胁管理”菜单中,选择“MITRE ATTCK (预览版)”。 默认情况下,当前活动的计划查询和准实时 (NRT) 规则都显示在覆盖范围矩阵中。

  • 使用右上角的图例,了解工作区中当前针对特定技术的活动检测数量。

  • 在左上角的搜索栏中,使用技术名称或 ID 在矩阵中搜索特定技术,以查看组织在所选技术方面的安全状态。

  • 在矩阵中选择特定技术,可在右侧查看更多详细信息。 可在此处使用链接跳转到以下任何位置:

    • 选择“查看技术详细信息”,详细了解 MITRE ATT&CK 框架知识库中的所选技术。

    • 选择任何活动项目的链接以跳转到 Microsoft Sentinel 中的相关区域。

使用可用检测模拟可能的覆盖范围

在 MITRE 覆盖范围矩阵中,“模拟”覆盖范围是指 Microsoft Sentinel 工作区中可用但当前未配置的检测。 查看模拟覆盖范围以了解组织可能的安全状态,是否配置了所有可用的检测。

在 Microsoft Sentinel 左侧的“常规”菜单中,选择 MITRE ATT&CK(预览版)

在“模拟”菜单中选择项来模拟组织可能的安全状态。

  • 使用右上角的图例可供配置的检测数量(包括分析规则模板或搜寻查询)。

  • 在左上角的搜索栏中,使用技术名称或 ID 在矩阵中搜索特定技术,以查看组织针对所选技术的模拟安全状态。

  • 在矩阵中选择特定技术,可在右侧查看更多详细信息。 可在此处使用链接跳转到以下任何位置:

    • 选择“查看技术详细信息”,详细了解 MITRE ATT&CK 框架知识库中的所选技术。

    • 选择任何模拟项目的链接以跳转到 Microsoft Sentinel 中的相关区域。

    例如,选择“搜寻查询”以跳转到“搜寻”页。 在此处,将看到与所选技术相关联的搜寻查询的筛选列表,可以在工作区中进行配置。

在分析规则和事件中使用 MITRE ATT&CK 框架

在 Microsoft Sentinel 工作区中定期运行应用了 MITRE 技术的计划规则,这样可增强在 MITRE 覆盖范围矩阵中为组织显示的安全状态。

  • 分析规则:

    • 配置分析规则时,选择特定的 MITRE 技术以应用于规则。
    • 搜索分析规则时,按技术对显示的规则进行筛选以更快地查找规则。

    有关详细信息,请参阅直接检测威胁创建自定义分析规则以检测威胁

  • 事件:

    当针对规则(已配置 MITRE 技术)显示的警报创建事件时,这些技术也会添加到事件中。

    有关详细信息,请参阅通过 Microsoft Sentinel 调查事件

  • 威胁搜寻:

    • 创建新的搜寻查询时,选择要应用于查询的特定策略和技术。
    • 搜索活动搜寻查询时,通过从网格上方的列表中选择一项来按策略筛选所显示的查询。 选择一个查询,在右侧查看策略和技术详细信息。
    • 创建书签时,可以选择使用从搜寻查询继承的技术映射,或者创建自己的映射。

    有关详细信息,请参阅使用 Microsoft Sentinel 搜寻威胁使用 Microsoft Sentinel 搜寻期间保持数据跟踪

后续步骤

有关详细信息,请参阅: