MITRE ATT&CK® フレームワークによるセキュリティ カバレッジを理解する

  • 適用対象: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

MITRE ATT&CK は、攻撃者によって一般的に使用される戦術と手法の公的にアクセス可能なサポート情報であり、現実世界の観測を観察することによって作成および維持されます。 多くの組織では、MITRE ATT&CK サポート情報を使用して、環境のセキュリティ状態を確認するために使用される特定の脅威モデルと手法を開発しています。

Microsoft Sentinelは、取り込まれたデータを分析し、脅威を検出し、調査に役立つだけでなく、organizationのセキュリティ状態の性質とカバレッジを視覚化します。

この記事では、Microsoft Sentinelの MITRE ページを使用して、ワークスペースで既にアクティブになっている分析ルール (検出) と構成に使用できる検出を表示し、MITRE ATT&CK® フレームワークからの戦術と手法に基づいて、organizationのセキュリティ カバレッジを理解する方法について説明します。

重要

Microsoft Sentinelの MITRE ページは現在プレビュー段階です。 Azureプレビュー補足条項には、ベータ版、プレビュー版、または一般公開されていないAzure機能に適用される法的条件が含まれます。

前提条件

Microsoft Sentinelでorganizationの MITRE カバレッジを表示する前に、次の前提条件があることを確認してください。

  • アクティブなMicrosoft Sentinel インスタンス。
  • Microsoft Sentinelでコンテンツを表示するために必要なアクセス許可。 詳細については、「Microsoft Sentinelのロールとアクセス許可」を参照してください。
  • 関連するセキュリティ データをMicrosoft Sentinelに取り込むよう構成されたデータ コネクタ。 詳細については、「Microsoft Sentinel データ コネクタ」を参照してください。
  • Microsoft Sentinelで設定されたアクティブなスケジュールされたクエリ ルールとほぼリアルタイム (NRT) ルール。 詳細については、「Microsoft Sentinelでの脅威検出」を参照してください。
  • MITRE ATT&CK フレームワークとその戦術と手法に関する知識。

MITRE ATT&CK フレームワーク バージョン

Microsoft Sentinelは現在、MITRE ATT&CK フレームワーク バージョン 18 に合わせて調整されています。

現在の MITRE カバレッジを表示する

既定では、現在アクティブなスケジュールされたクエリとほぼリアルタイム (NRT) ルールの両方がカバレッジ マトリックスに示されます。

  1. 使用しているポータルに応じて、次のいずれかの操作を行います。

    Defender ポータルで、MITRE ATT&CK > [脅威管理のMicrosoft Sentinel >] を選択します。

    Defender ポータルの MITRE ATT&CK ページのスクリーンショット。

    特定の脅威シナリオでページをフィルター処理するには、[ 脅威シナリオ別に MITRE を表示 ] オプションをオンに切り替え、ドロップダウン メニューから脅威シナリオを選択します。 ページはそれに応じて更新されます。 例:

    特定の脅威シナリオでフィルター処理された MITRE ATT&CK ページのスクリーンショット。

  2. 次のいずれかの方法を使用します。

    • 凡例を使用して 、特定の手法に対してワークスペースで現在アクティブになっている検出の数を把握します。

    • 検索バーを使用して、手法名または ID を使用してマトリックス内の特定の手法を検索し、選択した手法のorganizationのセキュリティ状態を表示します。

    • 詳細ウィンドウで詳細を表示するには、マトリックスで特定の手法を選択します。 次のいずれかの場所に移動するには、リンクを使用します。

      • [説明] 領域で、MITRE ATT&CK フレームワーク サポート情報で選択した手法の詳細については、[View full technique details ...] を選択します。

      • ウィンドウを下にスクロールし、アクティブな項目へのリンクを選択して、Microsoft Sentinelの関連領域にジャンプします。

      たとえば、[ ハンティング クエリ ] を選択して [ ハンティング ] ページに移動します。 選択した手法に関連付けられているハンティング クエリのフィルター処理された一覧が表示され、ワークスペースで構成できます。

    Defender ポータルの [詳細] ウィンドウには、選択した手法に対して推奨されるすべての検出とサービスに対するアクティブな検出とセキュリティ サービス (製品) の比率など、推奨されるカバレッジの詳細も表示されます。

使用可能な検出で可能なカバレッジをシミュレートする

MITRE カバレッジ マトリックスでは、シミュレートされたカバレッジとは、Microsoft Sentinel ワークスペースで使用できるが現在構成されていない検出を指します。 シミュレートされたカバレッジを表示して、organizationの可能なセキュリティ状態を把握します。使用可能なすべての検出を構成した場合。

  1. Microsoft Sentinelの [脅威の管理] で、[MITRE ATTA&CK (プレビュー)] を選択し、[シミュレートされたルール] メニューの項目を選択して、organizationのセキュリティ状態をシミュレートします。

  2. それ以外の場合は、特定の手法のシミュレートされたカバレッジを表示する場合と同様に、ページの要素を使用します。

分析ルールとインシデントで MITRE ATT&CK フレームワークを使用する

Microsoft Sentinel ワークスペースで定期的に実行されている MITRE 手法を使用してスケジュールされたルールを適用すると、MITRE カバレッジ マトリックスにorganizationに表示されるセキュリティ状態が強化されます。

  • 分析ルール:

    • 分析ルールを構成するときは、ルールに適用する特定の MITRE 手法を選択します。
    • 分析ルールを検索する場合は、手法で表示されるルールをフィルター処理して、ルールをすばやく見つけます。

    詳細については、「 脅威をすぐに検出する 」および「 脅威を検出するためのカスタム分析ルールを作成する」を参照してください。

  • インシデント:

    MITRE 手法が構成されたルールによって表示されるアラートに対してインシデントが作成されると、その手法もインシデントに追加されます。

    詳細については、「Microsoft Sentinelを使用してインシデントを調査する」を参照してください。 Microsoft Sentinelが Defender ポータルにオンボードされている場合は、代わりにMicrosoft Defender ポータルでインシデントを調査します。

  • 脅威ハンティング:

    • 新しいハンティング クエリを作成するときは、クエリに適用する特定の戦術と手法を選択します。
    • アクティブなハンティング クエリを検索する場合は、グリッドの上のリストから項目を選択して、戦術で表示されるクエリをフィルター処理します。 クエリを選択して、側面の詳細ウィンドウに戦術と手法の詳細を表示する
    • ブックマークを作成するときは、ハンティング クエリから継承された手法マッピングを使用するか、独自のマッピングを作成します。

    詳細については、「Microsoft Sentinelを使用して脅威を探す」および「Microsoft Sentinelを使用したハンティング中にデータを追跡する」を参照してください。

関連コンテンツ

詳細については、以下を参照してください:

  • Last updated on