Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
MITRE ATT&CK es un knowledge base accesible públicamente de tácticas y técnicas que suelen usar los atacantes, y se crea y mantiene mediante la observación de observaciones del mundo real. Muchas organizaciones usan el knowledge base CK de MITRE ATT¶ desarrollar metodologías y modelos de amenazas específicos que se usan para comprobar el estado de seguridad en sus entornos.
Microsoft Sentinel analiza los datos ingeridos, no solo para detectar amenazas y ayudarle a investigar, sino también para visualizar la naturaleza y la cobertura del estado de seguridad de su organización.
En este artículo se describe cómo usar la página MITRE de Microsoft Sentinel para ver las reglas de análisis (detecciones) que ya están activas en el área de trabajo y las detecciones disponibles para configurar, para comprender la cobertura de seguridad de su organización, en función de las tácticas y técnicas del marco de MITRE ATT&CK®.
Importante
La página MITRE de Microsoft Sentinel está actualmente en VERSIÓN PRELIMINAR. Los términos complementarios de Azure Preview incluyen términos legales que se aplican a Azure características que están en versión beta, versión preliminar o que aún no se han publicado en disponibilidad general.
Requisitos previos
Para poder ver la cobertura de MITRE para su organización en Microsoft Sentinel, asegúrese de que tiene los siguientes requisitos previos:
- Instancia de Microsoft Sentinel activa.
- Permisos necesarios para ver el contenido en Microsoft Sentinel. Para obtener más información, vea Roles y permisos en Microsoft Sentinel.
- Conectores de datos configurados para ingerir datos de seguridad pertinentes en Microsoft Sentinel. Para obtener más información, consulte Microsoft Sentinel conectores de datos.
- Reglas de consulta programadas activas y reglas casi en tiempo real (NRT) configuradas en Microsoft Sentinel. Para obtener más información, consulte Detección de amenazas en Microsoft Sentinel.
- Familiaridad con el marco MITRE ATT&CK y sus tácticas y técnicas.
MITRE ATT&versión del marco de trabajo de CK
Microsoft Sentinel está alineado actualmente con el marco de trabajo de MITRE ATT&CK, versión 18.
Visualización de la cobertura actual de MITRE
De forma predeterminada, tanto las reglas de consulta programada activa actualmente como las reglas casi en tiempo real (NRT) se indican en la matriz de cobertura.
Realice una de las siguientes acciones, en función del portal que use:
En el portal de Defender, seleccione Microsoft Sentinel > Administración > de amenazas MITRE ATT&CK.
Para filtrar la página por un escenario de amenaza específico, active la opción Ver MITRE por escenario de amenaza y, a continuación, seleccione un escenario de amenaza en el menú desplegable. La página se actualiza en consecuencia. Por ejemplo:
Use cualquiera de los métodos siguientes:
Use la leyenda para comprender cuántas detecciones están activas actualmente en el área de trabajo para una técnica específica.
Use la barra de búsqueda para buscar una técnica específica en la matriz, con el nombre o el identificador de la técnica, para ver el estado de seguridad de la organización para la técnica seleccionada.
Seleccione una técnica específica en la matriz para ver más detalles en el panel de detalles. Allí, use los vínculos para ir a cualquiera de las siguientes ubicaciones:
En el área Descripción, seleccione Ver detalles completos de la técnica... para obtener más información sobre la técnica seleccionada en el marco de trabajo de MITRE ATT&CK knowledge base.
Desplácese hacia abajo en el panel y seleccione vínculos a cualquiera de los elementos activos para ir al área correspondiente en Microsoft Sentinel.
Por ejemplo, seleccione Consultas de búsqueda para ir a la página Búsqueda . Allí verá una lista filtrada de las consultas de búsqueda asociadas a la técnica seleccionada y disponibles para configurarlas en el área de trabajo.
En el portal de Defender, el panel de detalles también muestra los detalles de cobertura recomendados, incluida la proporción de detecciones activas y servicios de seguridad (productos) de todas las detecciones y servicios recomendados para la técnica seleccionada.
Simulación de una posible cobertura con detecciones disponibles
En la matriz de cobertura de MITRE, la cobertura simulada hace referencia a las detecciones disponibles, pero no configuradas actualmente en el área de trabajo de Microsoft Sentinel. Vea la cobertura simulada para comprender el posible estado de seguridad de su organización, si quiere configurar todas las detecciones disponibles.
En Microsoft Sentinel, en Administración de amenazas, seleccione MITRE ATTA&CK (versión preliminar) y, a continuación, seleccione elementos en el menú Reglas simuladas para simular el posible estado de seguridad de la organización.
Desde allí, use los elementos de la página como lo haría en caso contrario para ver la cobertura simulada para una técnica específica.
Uso del marco de trabajo de MITRE ATT&CK en reglas de análisis e incidentes
Tener una regla programada con técnicas de MITRE aplicadas con regularidad en el área de trabajo de Microsoft Sentinel mejora el estado de seguridad que se muestra para su organización en la matriz de cobertura de MITRE.
Reglas de análisis:
- Al configurar reglas de análisis, seleccione técnicas de MITRE específicas para aplicarlas a la regla.
- Al buscar reglas de análisis, filtre las reglas que se muestran por técnica para encontrar las reglas más rápidamente.
Para obtener más información, vea Detectar amenazas de forma inmediata y Crear reglas de análisis personalizadas para detectar amenazas.
Incidentes:
Cuando se crean incidentes para alertas expuestas por reglas con técnicas MITRE configuradas, las técnicas también se agregan a los incidentes.
Para obtener más información, consulte Investigación de incidentes con Microsoft Sentinel. Si Microsoft Sentinel se incorpora al portal de Defender, investigue los incidentes en el portal de Microsoft Defender en su lugar.
Búsqueda de amenazas:
- Al crear una nueva consulta de búsqueda, seleccione las tácticas y técnicas específicas que se aplicarán a la consulta.
- Al buscar consultas de búsqueda activas, filtre las consultas mostradas por tácticas seleccionando un elemento de la lista situada encima de la cuadrícula. Seleccione una consulta para ver los detalles de tácticas y técnicas en el panel de detalles del lateral.
- Al crear marcadores, use la asignación de técnica heredada de la consulta de búsqueda o cree su propia asignación.
Para obtener más información, consulte Búsqueda de amenazas con Microsoft Sentinel y Seguimiento de datos durante la búsqueda con Microsoft Sentinel.
Contenido relacionado
Para más información, vea: