MITRE ATT&CK® çerçevesi tarafından güvenlik kapsamını anlama

  • Makale

Önemli

Microsoft Sentinel'deki MITRE sayfası şu anda ÖNİzLEME aşamasındadır. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.

MITRE ATT&CK, saldırganlar tarafından yaygın olarak kullanılan ve gerçek dünya gözlemleri gözlemlenerek oluşturulan ve sürdürülen taktik ve tekniklerin genel olarak erişilebilen bir bilgi bankası. Birçok kuruluş, ortamlarında güvenlik durumunu doğrulamak için kullanılan belirli tehdit modelleri ve yöntemleri geliştirmek için MITRE ATT&CK bilgi bankası kullanır.

Microsoft Sentinel yalnızca tehditleri algılamak ve araştırmanıza yardımcı olmak için değil, aynı zamanda kuruluşunuzun güvenlik durumunun doğasını ve kapsamını görselleştirmek için alınan verileri analiz eder.

Bu makalede, MITRE ATT&CK® çerçevesinin taktiklerine ve tekniklerine göre kuruluşunuzun güvenlik kapsamını anlamak amacıyla çalışma alanınızda zaten etkin olan algılamaları ve yapılandırabileceğiniz algılamaları görüntülemek için Microsoft Sentinel'deki MITRE sayfasının nasıl kullanılacağı açıklanmaktadır.

Screenshot of the MITRE coverage page with both active and simulated indicators selected.

Microsoft Sentinel şu anda MITRE ATT&CK çerçevesi, sürüm 13 ile uyumludur.

Geçerli MITRE kapsamını görüntüleme

Microsoft Sentinel'de, soldaki Tehdit yönetimi menüsünde MITRE'yi seçin. Varsayılan olarak, hem şu anda etkin olan zamanlanmış sorgu hem de neredeyse gerçek zamanlı (NRT) kurallar kapsam matrisinde gösterilir.

  • Belirli bir teknik için çalışma alanınızda şu anda etkin olan algılama sayısını anlamak için sağ üstteki göstergeyi kullanın.

  • Kuruluşunuzun seçili tekniğin güvenlik durumunu görüntülemek üzere teknik adını veya kimliğini kullanarak matriste belirli bir tekniği aramak için sol üstteki arama çubuğunu kullanın.

  • Sağ tarafta daha fazla ayrıntı görüntülemek için matriste belirli bir teknik seçin. Burada, aşağıdaki konumlardan herhangi birine atlamak için bağlantıları kullanın:

    • MITRE ATT&CK çerçevesi bilgi bankası seçili teknik hakkında daha fazla bilgi için Teknik ayrıntılarını görüntüle'yi seçin.

    • Microsoft Sentinel'de ilgili alana atlamak için etkin öğelerden herhangi birinin bağlantılarını seçin.

Kullanılabilir algılamalarla olası kapsamın simülasyonunu gerçekleştirme

MITRE kapsam matrisinde simülasyon kapsamı, Microsoft Sentinel çalışma alanınızda kullanılabilir ancak şu anda yapılandırılmamış algılamaları ifade eder. Kuruluşunuzun olası güvenlik durumunu anlamak için sanal kapsamınızı görüntüleyin. Kullanabileceğiniz tüm algılamaları yapılandırdıysanız.

Microsoft Sentinel'de, soldaki Genel menüsünde MITRE'yi seçin.

Kuruluşunuzun olası güvenlik durumunun benzetimini yapmak için Simülasyon menüsünde öğeleri seçin.

  • Analiz kuralı şablonları veya tehdit avcılığı sorguları gibi kaç algılamanın yapılandırabileceğinizi anlamak için sağ üstteki göstergeyi kullanın.

  • Kuruluşunuzun seçili teknik için simülasyon güvenlik durumunu görüntülemek üzere teknik adını veya kimliğini kullanarak matriste belirli bir tekniği aramak için sol üstteki arama çubuğunu kullanın.

  • Sağ tarafta daha fazla ayrıntı görüntülemek için matriste belirli bir teknik seçin. Burada, aşağıdaki konumlardan herhangi birine atlamak için bağlantıları kullanın:

    • MITRE ATT&CK çerçevesi bilgi bankası seçili teknik hakkında daha fazla bilgi için Teknik ayrıntılarını görüntüle'yi seçin.

    • Microsoft Sentinel'de ilgili alana atlamak için simülasyon öğelerinden herhangi birinin bağlantılarını seçin.

    Örneğin, Tehdit Avcılığı sayfasına atlamak için Avlanma sorguları'nı seçin. Burada, seçili teknikle ilişkili ve çalışma alanınızda yapılandırabileceğiniz avlanma sorgularının filtrelenmiş bir listesini görürsünüz.

Analiz kurallarında ve olaylarında MITRE ATT&CK çerçevesini kullanma

Microsoft Sentinel çalışma alanınızda düzenli olarak çalıştırılan MITRE tekniklerini içeren zamanlanmış bir kuralın olması, MITRE kapsam matrisinde kuruluşunuz için gösterilen güvenlik durumunu geliştirir.

  • Analiz kuralları:

    • Analiz kurallarını yapılandırırken kuralınıza uygulanacak belirli MITRE tekniklerini seçin.
    • Analiz kurallarını ararken, kurallarınızı daha hızlı bulmak için teknikle görüntülenen kuralları filtreleyin.

    Daha fazla bilgi için bkz . Tehditleri kullanıma hazır olarak algılama ve Tehditleri algılamak için özel analiz kuralları oluşturma.

  • Olaylar:

    MITRE teknikleri yapılandırılmış kurallar tarafından ortaya çıkarılan uyarılar için olaylar oluşturulduğunda, teknikler de olaylara eklenir.

    Daha fazla bilgi için bkz . Microsoft Sentinel ile olayları araştırma.

  • Tehdit avcılığı:

    • Yeni bir tehdit avcılığı sorgusu oluştururken, sorgunuza uygulanacak belirli taktikleri ve teknikleri seçin.
    • Etkin avlanma sorgularını ararken, kılavuzun üstündeki listeden bir öğe seçerek taktiklerle görüntülenen sorguları filtreleyin. Sağ tarafta taktik ve teknik ayrıntılarını görmek için bir sorgu seçin.
    • Yer işaretleri oluştururken, tehdit avcılığı sorgusundan devralınan teknik eşlemesini kullanın veya kendi eşlemenizi oluşturun.

    Daha fazla bilgi için bkz. Microsoft Sentinel ile tehditleri avlama ve Microsoft Sentinel ile tehdit avcılığı sırasında verileri izleme.

Sonraki adımlar

Daha fazla bilgi için bkz.