Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
MITRE ATT&CK is een openbaar toegankelijke Knowledge Base van tactieken en technieken die vaak door aanvallers worden gebruikt. Het wordt gemaakt en onderhouden op basis van waarnemingen uit de praktijk. Veel organisaties gebruiken de MITRE ATT&CK-Knowledge Base om specifieke bedreigingsmodellen en methodologieën te ontwikkelen om de beveiligingsstatus in hun omgevingen te verifiëren.
Microsoft Sentinel analyseert opgenomen gegevens, niet alleen om bedreigingen te detecteren en u te helpen bij het onderzoeken, maar ook om de aard en dekking van de beveiligingsstatus van uw organisatie te visualiseren.
In dit artikel wordt beschreven hoe u de MITRE-pagina in Microsoft Sentinel gebruikt om de analyseregels (detecties) weer te geven die al actief zijn in uw werkruimte en de detecties die u kunt configureren. Gebruik deze pagina om inzicht te krijgen in de beveiligingsdekking van uw organisatie op basis van de tactieken en technieken van het MITRE ATT&CK-framework.
Belangrijk
De MITRE-pagina in Microsoft Sentinel is momenteel in PREVIEW. De aanvullende voorwaarden voor Azure preview bevatten juridische voorwaarden die van toepassing zijn op Azure functies die in bètaversie, preview of anderszins nog niet algemeen beschikbaar zijn.
Vereisten
Voordat u de MITRE-dekking voor uw organisatie in Microsoft Sentinel bekijkt, moet u aan de volgende vereisten zijn voldaan:
- Een actief Microsoft Sentinel-exemplaar.
- Benodigde machtigingen voor het weergeven van inhoud in Microsoft Sentinel. Zie Rollen en machtigingen in Microsoft Sentinel voor meer informatie.
- Gegevensconnectors die zijn geconfigureerd om relevante beveiligingsgegevens op te nemen in Microsoft Sentinel. Zie Microsoft Sentinel gegevensconnectors voor meer informatie.
- Actieve regels voor geplande query's en regels voor bijna realtime (NRT) die zijn ingesteld in Microsoft Sentinel. Zie Bedreigingsdetectie in Microsoft Sentinel voor meer informatie.
- Bekendheid met het MITRE ATT&CK-framework en de bijbehorende tactieken en technieken.
MITRE ATT&CK-frameworkversie
Microsoft Sentinel is momenteel afgestemd op het MITRE ATT&CK-framework, versie 18.
Huidige MITRE-dekking weergeven
Standaard worden zowel actieve geplande query- als BIJNA-realtimeregels (NRT) aangegeven in de dekkingsmatrix.
De huidige MITRE-dekking voor uw organisatie weergeven:
Voer een van de volgende handelingen uit, afhankelijk van de portal die u gebruikt:
Selecteer in de Defender-portal Microsoft Sentinel > Threat Management > MITRE ATT&CK.
Als u de pagina wilt filteren op een specifiek bedreigingsscenario, schakelt u de optie MITRE weergeven op bedreigingsscenario in en selecteert u vervolgens een bedreigingsscenario in de vervolgkeuzelijst. De pagina wordt dienovereenkomstig bijgewerkt. Bijvoorbeeld:
Gebruik een van de volgende methoden:
Gebruik de legenda om te begrijpen hoeveel detecties momenteel actief zijn in uw werkruimte voor een specifieke techniek.
Gebruik de zoekbalk om te zoeken naar een specifieke techniek in de matrix, met behulp van de naam of id van de techniek, om de beveiligingsstatus van uw organisatie voor de geselecteerde techniek weer te geven.
Selecteer een specifieke techniek in de matrix om meer details weer te geven in het detailvenster. Gebruik de koppelingen om naar een van de volgende locaties te gaan:
Selecteer in het gebied Beschrijvingde optie Volledige techniekdetails weergeven ... voor meer informatie over de geselecteerde techniek in het MITRE ATT&CK-framework Knowledge Base.
Schuif omlaag in het deelvenster en selecteer koppelingen naar een van de actieve items om naar het relevante gebied in Microsoft Sentinel te gaan.
Selecteer bijvoorbeeld Opsporingsquery's om naar de pagina Opsporing te gaan. Daar ziet u een gefilterde lijst met de opsporingsquery's die zijn gekoppeld aan de geselecteerde techniek en die u in uw werkruimte kunt configureren.
In de Defender-portal worden in het detailvenster ook aanbevolen dekkingsdetails weergegeven, waaronder de verhouding tussen actieve detecties en beveiligingsservices (producten) van alle aanbevolen detecties en services voor de geselecteerde techniek.
Mogelijke dekking simuleren met beschikbare detecties
In de MITRE-dekkingsmatrix verwijst gesimuleerde dekking naar detecties die beschikbaar zijn, maar momenteel niet zijn geconfigureerd in uw Microsoft Sentinel werkruimte. Bekijk uw gesimuleerde dekking om inzicht te krijgen in de mogelijke beveiligingsstatus van uw organisatie als u alle beschikbare detecties hebt geconfigureerd.
Selecteer in Microsoft Sentinel onder Bedreigingsbeheerde optie MITRE ATT&CK (preview) en selecteer vervolgens items in het menu Gesimuleerde regels om de mogelijke beveiligingsstatus van uw organisatie te simuleren.
Gebruik de elementen van de dekkingsmatrix zoals u anders zou doen om de gesimuleerde dekking voor een specifieke techniek weer te geven.
Het MITRE ATT&CK-framework gebruiken in analyseregels en incidenten
Geplande regels waarop MITRE-technieken zijn toegepast die regelmatig worden uitgevoerd in uw Microsoft Sentinel werkruimte, verbeteren de beveiligingsstatus van uw organisatie in de MITRE-dekkingsmatrix.
Analyseregels:
- Wanneer u analyseregels configureert, selecteert u specifieke MITRE-technieken die u wilt toepassen op uw regel.
- Wanneer u naar analyseregels zoekt, filtert u de regels die worden weergegeven op techniek om uw regels sneller te vinden.
Zie Bedreigingen out-of-the-box detecteren en Aangepaste analyseregels maken om bedreigingen te detecteren voor meer informatie.
Incidenten:
Wanneer er incidenten worden gemaakt voor waarschuwingen die worden weergegeven door regels waarop MITRE-technieken zijn geconfigureerd, worden de technieken ook toegevoegd aan de incidenten.
Zie Incidenten onderzoeken met Microsoft Sentinel voor meer informatie. Als Microsoft Sentinel wordt onboarded naar de Defender-portal, onderzoekt u in plaats daarvan incidenten in de Microsoft Defender-portal.
Opsporing van bedreigingen:
- Wanneer u een nieuwe opsporingsquery maakt, selecteert u de specifieke tactieken en technieken die u wilt toepassen op uw query.
- Wanneer u zoekt naar actieve opsporingsquery's, filtert u de query's die worden weergegeven op tactieken door een item te selecteren in de lijst boven het raster. Selecteer een query om de details van de tactiek en techniek te bekijken in het detailvenster aan de zijkant.
- Wanneer u bladwijzers maakt, gebruikt u de techniektoewijzing die is overgenomen van de opsporingsquery of maakt u uw eigen toewijzing.
Zie Bedreigingen opsporen met Microsoft Sentinel en Gegevens bijhouden tijdens opsporing met Microsoft Sentinel voor meer informatie.
Verwante onderwerpen
Zie voor meer informatie: