• Link zu X
  • Link zu Xing
  • Link zu LinkedIn
  • Link zu Instagram
  • Link zu Youtube
Webinare: 16.05. Zero Trust: der neue Standard | 16.05. Microsoft Copilot erfolgreich starten | 06.06. MDM mit Microsoft Intune > Infos & Anmeldung
Net at Work
  • Microsoft 365
    • Workshops
    • Microsoft Teams
    • Telefonie
      • Microsoft Teams Telefonie
      • Contact Center
      • Managed SBC
    • Microsoft Exchange
    • Microsoft SharePoint
    • M365 Migration
    • Security
      • Microsoft 365 Security
      • SOC
      • E-Mail Security
    • Microsoft Power Platform
    • Microsoft Copilot
    • Informationsmanagement
    • Wissensmanagement
  • Business Apps
    • Microsoft Development
    • Individuelle Softwareentwicklung
  • Intranet
  • Managed Services
  • Change Management
  • Unternehmen
    • Kontakt
    • Über uns
    • Referenzen
    • Karriere
      • Fach- und Führungskräfte
      • Junge Talente
  • Blog
  • Online Events
  • Click to open the search input field Click to open the search input field Suche
  • Menü Menü
  • So setzen Sie die MITRE ATT&CK Matrix ein, um Blind Spots zu erkennen

So setzen Sie die MITRE ATT&CK Matrix ein, um Blind Spots zu erkennen

Thomas Welslau
Autor: Thomas WelslauCompetence Lead Securityhttps://www.linkedin.com/in/thomas-welslau-866016153/–Auf LinkedIn vernetzen

In einer IT-Infrastruktur sorgen viele Produkte für die Sicherheit des Unternehmens. So schützen Firewalls den Zugriff von und nach extern, Tools wie NoSpamProxy fungieren als E-Mail-Security Gateway, Microsoft Defender kümmert sich um die Sicherheit an den Endpunkten und im Active Directory, in Office 365 Applikationen sowie im Netzwerk kommen Intrusion Detection and Prevention Systeme zum Einsatz. Im besten Fall werden all diese Systeme mit ihren Log Informationen an ein zentrales Log Management oder SIEM angeschlossen, sodass die sicherheitsrelevanten Informationen zentral verarbeitet werden können. Sind aber wirklich alle vorhanden und welche zählen eigentlich genau dazu? Mit dieser Fragestellung und wie Sie die MITRE ATT&CK Matrix bei der Erkennung von Blind Spots unterstützt, beschäftigt sich der nachfolgende Blogbeitrag.

Was ist das MITRE ATT&CK Framework?

MITRE ist eine Organisation, die sich für eine sicherere Welt einsetzt. Mit verschiedenen Programmen engagiert sich MITRE im Bereich IT-Sicherheit. Das MITRE ATT&CK Framework setzt sich mit den verschiedenen Phasen eines Hackerangriffs auseinander und ordnet den Phasen Angriffstechniken basierend auf realen Ereignissen zu. Dabei werden die Techniken aktuell in die folgenden 14 Taktiken einsortiert:

  • Reconnaissance

    Sammeln von Informationen für einen späteren Angriff.

    Zum Video

  • Ressource Development

    Beschaffung von Ressourcen, die für einen späteren Angriff genutzt werden können.

    Zum Video

  • Initial Access

    Der Angreifer verschafft sich Zugriff zum Unternehmensnetzwerk.

    Zum Video

  • Execution

    Ausführung von Schadsoftware.

    Zum Video

  • Persistence

    Der Angreifer verfestigt den Zugriff, um längerfristigen Zugang zu den Systemen zu behalten.

    Zum Video

  • Privilege Escalation

    Verschaffen von höheren Berechtigungen im Unternehmensnetzwerk.

    Zum Video

  • Defense Evasion

    Verwischen von Spuren, um unerkannt zu bleiben.

    Zum Video

  • Credential Access

    Der Angreifer versucht Benutzer-Zugangsdaten zu ermitteln.

    Zum Video

  • Discovery

    Aufbau eines umfassenden Überblicks des Unternehmensnetzwerks.

    Zum Video

  • Lateral Movement

    Verbreitung im Netzwerk und Kompromittierung von weiteren Systemen.

    Zum Video

  • Collection

    Sammeln von relevanten Unternehmensdaten.

    Zum Video

  • Command and Control

    Erlangen der Kontrolle über die Systeme.

    Zum Video

  • Exfiltration

    Daten auslesen und stehlen.

    Zum Video

  • Impact

    Manipulation oder Beschädigung der Systeme und Daten.

Die Beschreibung der einzelnen Techniken beinhaltet Beispiele zu bekannten Angriffen oder Schadprogrammen, Möglichkeiten zur Vorbeugung oder Reduzierung der Angriffsfläche und Empfehlungen, wie diese Angriffe erkannt werden können. Eine Erklärung der einzelnen Phasen und Beispiele von Angriffstechniken behandeln wir in unserer MITRE ATT&CK Video Reihe. Hier geht’s zu unserer Microsoft 365 Security Playlist auf YouTube.

Mit Hilfe dieser Einordnung kann abgeleitet werden, welche Systeme als Quelle zur Log Analyse herangezogen werden sollten. Die Protokolle dieser Systeme sollten dann in ein zentrales SIEM einfließen.

Microsoft Sentinel und MITRE ATT&CK Matrix

Das von Microsoft in Azure angebotene SIEM & SOAR Produkt Microsoft Sentinel profitiert von einer Integration der MITTRE ATT&CK Matrix. Die angebundenen Log-Quellen werden mit Hilfe von Analyseregeln untersucht und jede Regel kann einer Taktik zugeordnet werden. Somit ergibt sich eine Übersicht, welche Techniken und Taktiken der MITRE ATT&CK Matrix gut abgedeckt sind und wo Blind Sports vorhanden sind. Die folgende Abbildung zeigt einen Ausschnitt der in Microsoft Sentinel eingebetteten MITRE ATT&CK Matrix. In der gezeigten Demo-Umgebung gibt es noch einige Lücken zur Angriffserkennung.

  • MITRE ATT&CK Matrix in Microsoft Sentinel

    MITRE ATT&CK Matrix in Microsoft Sentinel

Für die Bereiche mit Blind Spots sollten Systeme an Sentinel angebunden werden, die Daten zur Erkennung beisteuern können. Für diese Log Informationen müssen dann passende Analyseregeln entwickelt werden, um die Angriffe entsprechend der Taktik auch erkennen zu können.

Was sind Blind Spots?

„Blind Spots“ beschreiben Bereiche, in denen keine Informationen oder Erkennungsregeln vorhanden sind, sodass in diesen Bereichen ein möglicher IT-Sicherheitsvorfall nicht auffällt oder erkannt werden kann. Diese Lücken gilt es zu schließen, um so die potenzielle Erkennungsrate von IT-Angriffen zu maximieren.

Microsoft Defender und Logs

Viele der Informationen, die zur Erkennung notwendig sind, werden Ihnen beim Einsatz von Microsoft 365 Produkten bereits zur Verfügung gestellt. Daten aus dem Microsoft 365 Defender liefern z. B. Informationen zu Endpunkten, dem lokalen Active Directory und Anwendungszugriffen. Zusammen mit den Audit- und Anmeldeprotokollen aus dem Azure AD wird hier eine gute Basis für ein SIEM zur Verfügung gestellt. Die Integration der vorhandenen Daten in Microsoft Sentinel ist mit einem geringen Aufwand verbunden. Weitere zentrale Sicherheitssysteme wie Firewalls oder VPN-Gateways werden über Daten-Connectoren angebunden. Die Art der konkreten Anbindung an Sentinel ergibt sich aus den Möglichkeiten des jeweiligen Drittanbieter-Produktes.

Fazit

Die MITRE ATT&CK Matrix unterstützt Sie zusammen mit einer SIEM-Lösung wie Microsoft Sentinel dabei, potenzielle Lücken in der Angriffserkennung zu identifizieren und Ihr Unternehmen damit effizient zu schützen.

Microsoft Sentinel und MITRE ATT&CK Matrix Beratung

Sowohl bei der Evaluierung als auch bei der Einrichtung von Microsoft Sentinel als SIEM unterstützen wir Sie gerne. Nach der Integration der Microsoft 365 Logs entwickeln wir mit Ihnen Konzepte zur Anbindung weiterer sicherheitsrelevanter Systeme, sodass die Erkennungsbereiche mit Blind Spots möglichst gering werden. Auch beim Incident and Response Management stehen wir Ihnen mit unserer Expertise zur Seite.

Kostenlosen Beratungstermin vereinbaren!

Weitere News zu diesem Thema

Defender External Attack Surface Management Preview

Defender External Attack Surface Management: So verwalten Sie externe Ressourcen

Alle News, News IT-Betrieb, News Kompetenzen, News Microsoft Microsoft 365, News Security, Unsere Top-News
Weiterlesen
2025-05-09
Cyberangriff Beispiel – detaillierte Analyse eines echten Angriffs

Cyberangriff Beispiel – detaillierte Analyse eines echten Angriffs

Alle News, News IT-Betrieb, News Kompetenzen, News Microsoft Microsoft 365, News Security, Unsere Top-News
Weiterlesen
2025-04-10
Power Platform Governance – so vermeiden Sie Chaos und Risiken

Power Platform Governance – so vermeiden Sie Chaos und Risiken

Alle News, News IT-Betrieb, News Kompetenzen, News Microsoft Microsoft 365, News Microsoft Power Platform, News Security, Unsere Top-News
Weiterlesen
2025-04-01
Seite 1 von 21123›»

Pressekontakt

Aysel Nixdorf, Marketing Managerin bei Net at Work.
Gerne stehe ich Ihnen bei Fragen zu Net at Work und unserem Angebot jederzeit zur Verfügung. Sprechen Sie mich an.

Aysel Nixdorf
Marketing & PR
Telefon +49 5251 304627

Kostenfreier Beratungstermin

Wird geladen

Newsletter

Jetzt abonnieren

Jetzt Beitrag teilen!

  • teilen 
  • teilen 
  • teilen 
  • E-Mail 

Unternehmen

  • Profil
  • Kontakt
  • Karriere
  • Impressum
  • Datenschutzerklärung
  • Allgemeine Geschäftsbedingungen (AGB)
  • Datenschutzinformation für Geschäftspartner und Bewerber

Kompetenzen

  • Microsoft 365
  • Microsoft 365 Change Management
  • Managed Services Provider
  • Microsoft Teams
  • Microsoft Teams Telefonie
  • Microsoft Teams Contact Center
  • Microsoft 365 Security
  • Microsoft Copilot
  • Microsoft Azure
  • Microsoft SharePoint
  • Microsoft Exchange
  • Microsoft Power Platform
  • Informationsmanagement
  • Intranet
  • E-Mail-Sicherheit

Microsoft Solutions Partner Modern Work

Microsoft Solutions Partner Security

News

  • Newsletter abonnieren
  • Kompetenzen
  • Unternehmen
  • Termine
  • Alle News

Letzte News

  • Defender External Attack Surface Management Preview
    Defender External Attack Surface Management: So verwalten Sie externe Ressourcen2025-05-09 - 10:00
  • Great Place To Work – Net at Work zählt zu den Top 30 der besten Arbeitgeber in Deutschland
    Great Place To Work – Net at Work zählt zu den Top 30 der besten Arbeitgeber in Deutschland2025-04-28 - 10:16
  • Cyberangriff Beispiel – detaillierte Analyse eines echten Angriffs
    Cyberangriff Beispiel – detaillierte Analyse eines echten Angriffs2025-04-10 - 11:00
IMPRESSUM • Datenschutzerklärung •  • © 2025 Net at Work GmbH
  • Link zu X
  • Link zu Xing
  • Link zu LinkedIn
  • Link zu Instagram
  • Link zu Youtube
Nach oben scrollen Nach oben scrollen Nach oben scrollen