你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

在 Microsoft Sentinel 中查看 MITRE ATT&CK 框架覆盖范围

适用于: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

MITRE ATT&CK 是攻击者常用的策略和技术的可公开访问知识库。它是基于实际观察结果创建和维护的。许多组织使用 MITRE ATT&CK 知识库开发特定的威胁模型和方法来验证其环境中的安全状态。

Microsoft Sentinel分析引入的数据，不仅用于检测威胁并帮助你进行调查，而且还可直观显示组织安全状态的性质和覆盖范围。

本文介绍如何使用 Microsoft Sentinel 中的 MITRE 页查看工作区中已处于活动状态的分析规则 (检测) 以及可供配置的检测。使用此页可以根据 MITRE ATT&CK 框架中的策略和技术了解组织的安全覆盖范围。

重要

Microsoft Sentinel 中的 MITRE 页面目前为预览版。 Azure预览版补充条款包括适用于处于 beta 版、预览版或其他尚未正式发布的Azure功能的法律条款。

先决条件

在 Microsoft Sentinel 中查看组织的 MITRE 覆盖范围之前，请确保满足以下先决条件：

活动Microsoft Sentinel实例。
在 Microsoft Sentinel 中查看内容所需的权限。有关详细信息，请参阅 Microsoft Sentinel 中的角色和权限。
配置为将相关安全数据引入Microsoft Sentinel的数据连接器。有关详细信息，请参阅Microsoft Sentinel数据连接器。
在 Microsoft Sentinel 中设置的活动计划查询规则和准实时 (NRT) 规则。有关详细信息，请参阅 Microsoft Sentinel 中的威胁检测。
熟悉 MITRE ATT&CK 框架及其策略和技术。

MITRE ATT&CK 框架版本

Microsoft Sentinel当前与 MITRE ATT&CK 框架版本 18 保持一致。

查看当前 MITRE 覆盖范围

默认情况下，当前处于活动状态的计划查询和准实时 (NRT) 规则在覆盖率矩阵中指示。

若要查看组织的当前 MITRE 覆盖范围，请执行以下操作：

根据所使用的门户执行以下操作之一：
- Defender 门户
- Azure 门户
在 Defender 门户中，选择“Microsoft Sentinel>威胁管理 > MITRE ATT&CK”。

若要按特定威胁方案筛选页面，请打开“ 按威胁方案查看 MITRE ”选项，然后从下拉菜单中选择威胁方案。页面会相应地更新。例如：

在Azure 门户的“威胁管理”下，选择“MITRE ATT&CK (预览版) ”。
使用以下任一方法：
- 使用图例 了解当前在工作区中对特定技术处于活动状态的检测数。
- 使用搜索栏 在矩阵中使用技术名称或 ID 搜索特定技术，以查看所选技术的组织安全状态。
- 在矩阵中选择特定技术 ，在详细信息窗格中查看更多详细信息。在那里，使用链接跳转到以下任何位置：
  - 在“说明”区域中，选择“查看完整技术详细信息...”，详细了解 MITRE ATT&CK 框架知识库中的所选技术。
  - 在窗格中向下滚动，选择指向任何活动项的链接，以跳转到Microsoft Sentinel中的相关区域。
  例如，选择“ 搜寻查询 ”以跳转到 “搜寻 ”页。在那里，你会看到与所选技术关联的搜寻查询的筛选列表，这些查询可供你在工作区中进行配置。
在 Defender 门户中，详细信息窗格还显示建议的覆盖范围详细信息，包括活动检测和安全服务 (产品) 所选技术的所有建议检测和服务中的比率。

使用可用检测模拟可能的覆盖范围

在 MITRE 覆盖率矩阵中，模拟覆盖率是指在Microsoft Sentinel工作区中可用但当前未配置的检测。如果配置了所有可用的检测，请查看模拟覆盖范围以了解组织可能的安全状态。

在“Microsoft Sentinel威胁管理”下，选择“MITRE ATT&CK (预览版) ”，然后选择“模拟规则”菜单中的项来模拟组织可能的安全状态。
使用覆盖率矩阵元素，就像查看特定技术的模拟覆盖一样。

在分析规则和事件中使用 MITRE ATT&CK 框架

应用了在Microsoft Sentinel工作区中定期运行的 MITRE 技术的计划规则可改善 MITRE 覆盖率矩阵中的组织安全状态。

分析规则：
- 配置分析规则时，请选择要应用于规则的特定 MITRE 技术。
- 搜索分析规则时，筛选按技术显示的规则，以便更快地找到规则。
有关详细信息，请参阅检测现装的威胁和创建自定义分析规则以检测威胁。
事件：

为配置了 MITRE 技术的规则所显示的警报创建事件时，这些技术也会添加到事件中。

有关详细信息，请参阅使用Microsoft Sentinel调查事件。如果Microsoft Sentinel已载入到 Defender 门户，请改为在 Microsoft Defender 门户中调查事件。
威胁搜寻：
- 创建新的搜寻查询时，请选择要应用于查询的特定策略和技术。
- 搜索活动搜寻查询时，请通过从网格上方的列表中选择一项来筛选策略显示的查询。选择一个查询，在侧边的详细信息窗格中查看策略和技术详细信息。
- 创建书签时，请使用从搜寻查询继承的技术映射，或创建自己的映射。
有关详细信息，请参阅使用Microsoft Sentinel搜寻威胁和使用Microsoft Sentinel在搜寻期间跟踪数据。

有关更多信息，请参阅：

反馈

此页面是否有帮助？

Last updated on 2026-05-05