Share via

فهم التغطية الأمنية بواسطة إطار عمل MITRE ATT&CK®

  • مقالة

هام

صفحة MITRE في Microsoft Sentinel قيد المعاينة حاليًا. تتضمن الشروط التكميلية لمعاينة Azure شروطا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.

MITRE ATT CK هو قاعدة المعارف (KB) يمكن الوصول إليه بشكل عام من التكتيكات والتقنيات التي يستخدمها المهاجمون بشكل شائع، ويتم إنشاؤها وصيانتها من خلال مراقبة الملاحظات في العالم الحقيقي. تستخدم العديد من المؤسسات قاعدة المعارف (KB) MITRE ATT&CK لتطوير نماذج ومنهجيات تهديد محددة تستخدم للتحقق من حالة الأمان في بيئاتها.

يحلل Microsoft Sentinel البيانات التي تم استيعابها، ليس فقط للكشف عن التهديدات ومساعدتك في التحقيق، ولكن أيضًا لتصور طبيعة حالة الأمان لمؤسستك وتغطيتها.

توضح هذه المقالة كيفية استخدام صفحة MITRE في Microsoft Sentinel لعرض عمليات الكشف النشطة بالفعل في مساحة العمل الخاصة بك، وتلك المتوفرة لك لتكوين، لفهم تغطية الأمان لمؤسستك، استنادا إلى التكتيكات والتقنيات من إطار عمل MITRE ATT&CK®.

Screenshot of the MITRE coverage page with both active and simulated indicators selected.

تتم محاذاة Microsoft Sentinel حاليا مع إطار عمل MITRE ATT&CK، الإصدار 13.

عرض تغطية MITRE الحالية

في Microsoft Sentinel، في قائمة إدارة المخاطر على اليسار، حدد MITRE. بشكل افتراضي، تتم الإشارة إلى كل من قواعد الاستعلام المجدول النشطة حالياً وقواعد الوقت الفعلي القريب (NRT) في مصفوفة التغطية.

  • استخدم وسيلة الإيضاح في أعلى اليمين لفهم عدد عمليات الكشف النشطة حالياً في مساحة العمل الخاصة بك لتقنية معينة.

  • استخدم شريط البحث في أعلى اليسار للبحث عن تقنية معينة في المصفوفة، باستخدام اسم التقنية أو المعرف، لعرض حالة أمان مؤسستك للتقنية المحددة.

  • حدد تقنية معينة في المصفوفة لعرض مزيد من التفاصيل على اليمين. هناك، استخدم الارتباطات للانتقال إلى أي من المواقع التالية:

    • حدد عرض تفاصيل التقنية لمزيد من المعلومات حول التقنية المحددة في إطار عمل MITRE ATT&CK قاعدة المعارف (KB).

    • حدد ارتباطات إلى أي من العناصر النشطة للانتقال إلى المنطقة ذات الصلة في Microsoft Azure Sentinel.

محاكاة التغطية المحتملة مع الاكتشافات المتاحة

في مصفوفة تغطية MITRE، تشير التغطية المحاكية إلى الاكتشافات المتوفرة، ولكن لم يتم تكوينها حاليًا، في مساحة عمل Microsoft Sentinel. اعرض التغطية المحاكية لفهم حالة الأمان المحتملة لمؤسستك، هل كنت تريد تكوين جميع عمليات الكشف المتاحة لك.

في Microsoft Azure Sentinel، في القائمة عام على اليسار، حدد MITRE.

حدد العناصر في قائمة Simulate لمحاكاة حالة الأمان المحتملة لمؤسستك.

  • استخدم وسيلة الإيضاح في أعلى اليمين لفهم عدد عمليات الكشف، بما في ذلك قوالب قواعد التحليلات أو استعلامات التتبع، المتوفرة لك لتكوينها.

  • استخدم شريط البحث في أعلى اليسار للبحث عن تقنية معينة في المصفوفة، باستخدام اسم التقنية أو المعرف، لعرض حالة أمان مؤسستك للتقنية المحددة.

  • حدد تقنية معينة في المصفوفة لعرض مزيد من التفاصيل على اليمين. هناك، استخدم الارتباطات للانتقال إلى أي من المواقع التالية:

    • حدد عرض تفاصيل التقنية لمزيد من المعلومات حول التقنية المحددة في إطار عمل MITRE ATT&CK قاعدة المعارف (KB).

    • حدد ارتباطات إلى أي من العناصر النشطة للانتقال إلى المنطقة ذات الصلة في Microsoft Azure Sentinel.

    على سبيل المثال، حدد استعلامات التتبع للانتقال إلى صفحة التتبع. هناك، سترى قائمة تمت تصفيتها لاستعلامات التتبع المقترنة بالتقنية المحددة، والمتاحة لك للتكوين في مساحة العمل الخاصة بك.

استخدام إطار عمل MITRE ATT&CK في قواعد التحليلات والحوادث

يؤدي وجود قاعدة مجدولة مع تقنيات MITRE التي يتم تطبيقها بشكل منتظم في مساحة عمل Microsoft Azure Sentinel إلى تحسين حالة الأمان المعروضة لمؤسستك في مصفوفة تغطية MITRE.

  • قواعد التحليلات:

    • عند تكوين قواعد التحليلات، حدد تقنيات MITRE معينة لتطبيقها على القاعدة الخاصة بك.
    • عند البحث عن قواعد التحليلات، قم بتصفية القواعد المعروضة بواسطة التقنية للعثور على القواعد الخاصة بك بسرعة أكبر.

    لمزيد من المعلومات، راجع الكشف عن التهديدات الجاهزةوإنشاء قواعد تحليلات مخصصة للكشف عن التهديدات.

  • الحوادث:

    عند إنشاء الحوادث للتنبيهات التي تظهر بواسطة القواعد مع تكوين تقنيات MITRE، تتم إضافة التقنيات أيضاً إلى الحوادث.

    لمزيد من المعلومات، راجع التحقيق في الحوادث باستخدام Microsoft Azure Sentinel.

  • تتبع المخاطر:

    • عند إنشاء استعلام تتبع جديد، حدد التكتيكات والتقنيات المحددة لتطبيقها على استعلامك.
    • عند البحث عن استعلامات التتبع النشطة، قم بتصفية الاستعلامات المعروضة بواسطة التكتيكات عن طريق تحديد عنصر من القائمة أعلى الشبكة. حدد استعلاماً للاطلاع على تفاصيل الأسلوب والتقنية على اليمين.
    • عند إنشاء إشارات مرجعية، إما استخدام تعيين التقنية الموروثة من استعلام التتبع، أو إنشاء التعيين الخاص بك.

    لمزيد من المعلومات، راجع البحث عن التهديدات باستخدام Microsoft Sentinel وتتبع البيانات أثناء التتبع باستخدام Microsoft Sentinel.

الخطوات التالية

لمزيد من المعلومات، راجع: