MITRE ATT&CK® 프레임워크의 보안 적용 범위 이해

MITRE ATT&CK는 공격자가 일반적으로 사용하는 전술 및 기술에 대한 공개적으로 액세스할 수 있는 기술 자료이며 실제 관찰을 통해 만들어지고 유지 관리됩니다. 많은 조직에서 MITRE ATT&CK 기술 자료를 사용하여 환경의 보안 상태를 확인하는 데 사용되는 특정 위협 모델 및 방법론을 개발합니다.

Microsoft Sentinel은 수집된 데이터를 분석하여 위협을 감지하고 조사하는 데 도움을 줄 뿐만 아니라 조직 보안 상태의 특성과 범위를 시각화합니다.

이 문서에서는 Microsoft Sentinel의 MITRE 페이지를 사용하여 작업 영역에서 이미 활성화된 분석 규칙(검색)을 보는 방법과 MITRE ATT&CK® 프레임워크의 전술과 기술에 따라 조직의 보안 범위를 이해하기 위해 구성할 수 있는 검색을 설명합니다.

필수 조건

Microsoft Sentinel에서 조직에 대한 MITRE 검사를 보려면 다음 필수 구성 요소가 있는지 확인합니다.

• 활성 Microsoft Sentinel 인스턴스입니다.
• Microsoft Sentinel에서 콘텐츠를 보는 데 필요한 권한입니다. 자세한 내용은 Microsoft Sentinel의 역할 및 권한을 참조하세요.
• 관련 보안 데이터를 Microsoft Sentinel에 수집하도록 구성된 데이터 커넥터입니다. 자세한 내용은 Microsoft Sentinel 데이터 커넥터를 참조 하세요.
• Microsoft Sentinel에 설정된 활성 예약 쿼리 규칙 및 거의 실시간(NRT) 규칙 자세한 내용은 Microsoft Sentinel의 위협 탐지를 참조 하세요.
• MITRE ATT&CK 프레임워크 및 해당 전술 및 기술에 대한 숙지

MITRE ATT&CK 프레임워크 버전

Microsoft Sentinel은 현재 MITRE ATT&CK 프레임워크 버전 13에 맞춰져 있습니다.

현재 MITRE 적용 범위 보기

기본적으로 현재 활성 예약된 쿼리와 NRT(근 실시간) 규칙이 모두 적용 범위 매트릭스에 표시됩니다.

1. 사용 중인 포털에 따라 다음 중 하나를 수행합니다.

   • Azure Portal
   • Defender 포털

   Azure Portal의 위협 관리 아래에서 MITRE ATT&CK(미리 보기)를 선택합니다.

   

2. 다음 방법 중 하나를 사용할 수 있습니다.

   • 범 례를 사용하여 특정 기술에 대해 작업 영역에서 현재 활성 상태인 검색 수를 파악합니다.

   • 검색 창을 사용하여 기술 이름 또는 ID를 사용하여 행렬에서 특정 기술을 검색하여 선택한 기술에 대한 조직의 보안 상태를 확인합니다.

   • 세부 정보 창에서 자세한 내용을 보려면 행렬에서 특정 기술을 선택합니다. 이 위치에서 링크를 사용하여 다음 위치 중 하나로 이동합니다.

     • 설명 영역에서 MITRE ATT&CK 프레임워크 기술 자료 선택한 기술에 대한 자세한 내용을 보려면 전체 기술 세부 정보 보기를 선택합니다.

     • 창에서 아래로 스크롤하고 활성 항목에 대한 링크를 선택하여 Microsoft Sentinel의 관련 영역으로 이동합니다.

     예를 들어 헌팅 쿼리를 선택하여 헌팅 페이지로 이동합니다. 선택한 기술과 연결되고 작업 영역에서 구성할 수 있는 헌팅 쿼리의 필터링된 목록이 표시됩니다.

   Defender 포털의 세부 정보 창에는 선택한 기술에 대한 모든 권장 검색 및 서비스의 활성 검색 및 보안 서비스(제품) 비율을 포함하여 권장되는 적용 범위 세부 정보도 표시됩니다.

사용 가능한 탐지로 가능한 적용 범위 시뮬레이트

MITRE 검사 매트릭스 에서 시뮬레이션된 범위는 사용 가능하지만 현재 Microsoft Sentinel 작업 영역에서 구성되지 않은 검색을 나타냅니다. 사용 가능한 모든 탐지를 구성한 경우 시뮬레이션된 적용 범위를 확인하여 조직의 가능한 보안 상태를 파악합니다.

1. Microsoft Sentinel의 위협 관리에서 MITRE ATTA&CK(미리 보기)를 선택한 다음, 시뮬레이션된 규칙 메뉴에서 항목을 선택하여 조직의 가능한 보안 상태를 시뮬레이션합니다.

2. 여기에서 페이지의 요소를 다른 방법으로 사용하여 특정 기술에 대한 시뮬레이트된 범위를 봅니다.

분석 규칙 및 인시던트에서 MITRE ATT&CK 프레임워크 사용

Microsoft Sentinel 작업 영역에서 정기적으로 실행되는 MITRE 기술이 적용된 예약된 규칙을 사용하면 MITRE 적용 범위 매트릭스에서 조직에 대해 표시되는 보안 상태가 향상됩니다.

• 분석 규칙:

  • 분석 규칙을 구성할 때 규칙에 적용할 특정 MITRE 기술을 선택합니다.
  • 분석 규칙을 검색할 때 표시되는 규칙을 기술별로 필터링하여 규칙을 더 빠르게 찾습니다.

  자세한 내용은 곧바로 위협 탐지 및 위협 탐지를 위한 사용자 지정 분석 규칙 만들기를 참조하세요.

• 인시던트:

  MITRE 기술이 구성된 규칙에 의해 표시되는 경고에 대한 인시던트가 만들어지면 이 기술도 인시던트에 추가됩니다.

  자세한 내용은 Microsoft Sentinel로 인시던트 조사를 참조하세요. 작업 영역이 Microsoft의 SecOps(통합 보안 작업) 플랫폼 에 온보딩된 경우 대신 Microsoft Defender 포털 에서 인시던트 조사를 수행합니다.

• 위협 헌팅:

  • 새 헌팅 쿼리를 만들 때 쿼리에 적용할 특정 전술 및 기술을 선택합니다.
  • 활성 헌팅 쿼리를 검색할 때 표 위의 목록에서 항목을 선택하여 전술별로 표시되는 쿼리를 필터링합니다. 쿼리를 선택하여 측면의 세부 정보 창에서 전술 및 기술 세부 정보를 확인합니다.
  • 책갈피를 만들 때 헌팅 쿼리에서 상속된 기술 매핑을 사용하거나 고유한 매핑을 만듭니다.

  자세한 내용은 Microsoft Sentinel로 위협 추적 및 Microsoft Sentinel을 사용하여 헌팅하는 동안 데이터 추적을 참조하세요.

관련 콘텐츠

자세한 내용은 다음을 참조하세요.

• MITRE | ATT&CK 프레임워크
• 산업 제어 시스템용 MITRE ATT&CK