Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
A MITRE ATT&CK é uma base de dados de conhecimento acessível publicamente de táticas e técnicas frequentemente utilizadas pelos atacantes. É criado e mantido com base em observações do mundo real. Muitas organizações utilizam o MITRE ATT&base de dados de conhecimento CK para desenvolver modelos e metodologias de ameaças específicos para verificar o estado de segurança nos respetivos ambientes.
Microsoft Sentinel analisa dados ingeridos, não só para detetar ameaças e ajudá-lo a investigar, mas também para visualizar a natureza e a cobertura do estado de segurança da sua organização.
Este artigo descreve como utilizar a página MITRE no Microsoft Sentinel para ver as regras de análise (deteções) já ativas na área de trabalho e as deteções disponíveis para configurar. Utilize esta página para compreender a cobertura de segurança da sua organização com base nas táticas e técnicas da arquitetura MITRE ATT&CK.
Importante
A página MITRE no Microsoft Sentinel está atualmente em PRÉ-VISUALIZAÇÃO. Os Termos Suplementares de Pré-visualização Azure incluem termos legais que se aplicam a funcionalidades Azure que estão em beta, pré-visualização ou que ainda não foram lançadas para disponibilidade geral.
Pré-requisitos
Antes de ver a cobertura mitre da sua organização no Microsoft Sentinel, certifique-se de que tem os seguintes pré-requisitos:
- Uma instância de Microsoft Sentinel ativa.
- Permissões necessárias para ver conteúdo no Microsoft Sentinel. Para obter mais informações, veja Funções e permissões no Microsoft Sentinel.
- Conectores de dados configurados para ingerir dados de segurança relevantes em Microsoft Sentinel. Para obter mais informações, veja Microsoft Sentinel conectores de dados.
- Regras de consulta agendadas ativas e regras quase em tempo real (NRT) configuradas no Microsoft Sentinel. Para obter mais informações, veja Deteção de ameaças no Microsoft Sentinel.
- Estar familiarizado com a arquitetura MITRE ATT&CK e as suas táticas e técnicas.
MITRE ATT&versão da arquitetura CK
Microsoft Sentinel está atualmente alinhada com a arquitetura MITRE ATT&CK, versão 18.
Ver a cobertura atual do MITRE
Por predefinição, as regras de consulta agendada atualmente ativa e quase em tempo real (NRT) são indicadas na matriz de cobertura.
Para ver a cobertura do MITRE atual para a sua organização:
Efetue um dos seguintes procedimentos, consoante o portal que estiver a utilizar:
No portal do Defender, selecione Microsoft Sentinel > Gestão > de ameaças MITRE ATT&CK.
Para filtrar a página por um cenário de ameaça específico, ative a opção Ver cenário MITRE por ameaça e, em seguida, selecione um cenário de ameaça no menu pendente. A página é atualizada em conformidade. Por exemplo:
Utilize qualquer um dos seguintes métodos:
Utilize a legenda para compreender quantas deteções estão atualmente ativas na área de trabalho para uma técnica específica.
Utilize a barra de pesquisa para procurar uma técnica específica na matriz, utilizando o nome ou ID da técnica, para ver o estado de segurança da sua organização para a técnica selecionada.
Selecione uma técnica específica na matriz para ver mais detalhes no painel de detalhes. Aí, utilize as ligações para aceder a qualquer uma das seguintes localizações:
Na área Descrição, selecione Ver detalhes da técnica completa... para obter mais informações sobre a técnica selecionada na arquitetura MITRE ATT&CK base de dados de conhecimento.
Desloque-se para baixo no painel e selecione ligações para qualquer um dos itens ativos para aceder à área relevante no Microsoft Sentinel.
Por exemplo, selecione Consultas de investigação para ir para a página Investigação . Aí, verá uma lista filtrada das consultas de investigação que estão associadas à técnica selecionada e disponíveis para configuração na área de trabalho.
No portal do Defender, o painel de detalhes também mostra os detalhes de cobertura recomendados, incluindo a proporção de deteções ativas e serviços de segurança (produtos) de todas as deteções e serviços recomendados para a técnica selecionada.
Simular uma possível cobertura com deteções disponíveis
Na matriz de cobertura MITRE, a cobertura simulada refere-se a deteções que estão disponíveis, mas que não estão atualmente configuradas na área de trabalho Microsoft Sentinel. Veja a cobertura simulada para compreender o possível estado de segurança da sua organização se tiver configurado todas as deteções disponíveis.
No Microsoft Sentinel, em Gestão de ameaças, selecione MITRE ATT&CK (Pré-visualização) e, em seguida, selecione itens no menu Regras simuladas para simular o possível estado de segurança da sua organização.
Utilize os elementos da matriz de cobertura como faria para ver a cobertura simulada de uma técnica específica.
Utilizar a arquitetura MITRE ATT&CK em regras de análise e incidentes
As regras agendadas com técnicas MITRE aplicadas que são executadas regularmente na área de trabalho Microsoft Sentinel melhoram o estado de segurança da sua organização na matriz de cobertura MITRE.
Regras de análise:
- Ao configurar regras de análise, selecione técnicas MITRE específicas a aplicar à sua regra.
- Ao procurar regras de análise, filtre as regras apresentadas pela técnica para encontrar as regras mais rapidamente.
Para obter mais informações, veja Detetar ameaças fora da caixa e Criar regras de análise personalizadas para detetar ameaças.
Incidentes:
Quando são criados incidentes para alertas que são apresentados por regras com técnicas MITRE configuradas, as técnicas também são adicionadas aos incidentes.
Para obter mais informações, veja Investigar incidentes com Microsoft Sentinel. Se Microsoft Sentinel estiver integrado no portal do Defender, investigue incidentes no portal do Microsoft Defender.
Investigação de ameaças:
- Quando estiver a criar uma nova consulta de investigação, selecione as táticas e técnicas específicas a aplicar à consulta.
- Ao procurar consultas de investigação ativas, filtre as consultas apresentadas por táticas ao selecionar um item da lista acima da grelha. Selecione uma consulta para ver os detalhes de tática e técnica no painel de detalhes na parte lateral.
- Quando estiver a criar marcadores, utilize o mapeamento da técnica herdado da consulta de investigação ou crie o seu próprio mapeamento.
Para obter mais informações, veja Investigar ameaças com Microsoft Sentinel e Controlar os dados durante a investigação com Microsoft Sentinel.
Conteúdos relacionados
Para mais informações, consulte: