sai-teja-girimaji/mitre-attack-detection-coverage

 # MITRE ATT&CK 检测覆盖范围矩阵

## 用途 大多数 MITRE ATT&CK 覆盖矩阵告诉你它涵盖了哪些技术。而本矩阵则告诉你： - 每个技术由哪个 Sentinel 表检测 - 需要哪个连接器或审计策略 - 覆盖范围是完整、部分覆盖还是未覆盖 - 完全覆盖每个差距具体需要什么 这是一个由实践者构建的参考资料，而非厂商营销文档。每个映射都引用了具有真实检测逻辑的真实 Sentinel 数据源。 ## 覆盖情况概览 | 战术 | 已记录技术 | 已覆盖 | 部分覆盖 | 未覆盖 | |---|---|---|---|---| | [初始访问](./initial-access.md) | 6 | 2 | 2 | 2 | | [执行](./execution.md) | 6 | 2 | 2 | 2 | | [持久化](./persistence.md) | 7 | 3 | 2 | 2 | | [权限提升](./privilege-escalation.md) | 5 | 2 | 1 | 2 | | [防御规避](./defense-evasion.md) | 7 | 2 | 2 | 3 | | [凭证访问](./credential-access.md) | 7 | 4 | 2 | 1 | | [发现](./discovery.md) | 7 | 1 | 3 | 3 | | [横向移动](./lateral-movement.md) | 6 | 3 | 2 | 1 | | [收集](./collection.md) | 5 | 1 | 2 | 2 | | [命令与控制](./command-and-control.md) | 6 | 2 | 2 | 2 | | [渗出](./exfiltration.md) | 5 | 1 | 2 | 2 | | [影响](./impact.md) | 7 | 4 | 1 | 2 | ## 状态说明 | 状态 | 含义 | |---|---| | ✅ 已覆盖 | 检测规则存在。Sentinel 表已连接，查询已验证。 | | ⚠️ 部分覆盖 | 可检测某些子技术或场景。完全覆盖需要额外配置。 | | ❌ 未覆盖 | 日志源可用，但尚未编写规则。通过努力可实现检测。 | | 🔴 无源 | 检测需要默认情况下不可用的日志源或连接器。需要采取行动。 | ## 相关资源 | 资源 | 描述 | |---|---| | [Sentinel KQL 检测规则](https://github.com/sai-teja-girimaji/sentinel-kql-detection-rules) | 本矩阵中引用的生产就绪 KQL 规则 | | [AI 安全治理框架](https://github.com/sai-teja-girimaji/ai-security-governance-framework) | 用于 AI 辅助 SOC 部署的治理标准 | | [数据源要求](./data-source-requirements.md) | 本矩阵中使用的所有数据源的完整连接器和审计策略参考 | ## 如何使用本矩阵 **用于差距分析：** 从覆盖情况概览表开始。确定哪些战术存在最多差距。打开战术文件并查看每个差距条目。差距条目会告诉你实现覆盖需要哪个连接器或审计策略。 **用于检测工程：** 使用已覆盖和部分覆盖的条目作为基准。对于部分覆盖条目，战术文件会解释实现完全覆盖需要哪些额外配置。 **用于向董事会或领导层报告：** 可以直接使用覆盖情况概览表来传达检测覆盖态势。参考差距计数和数据源要求来传达弥合差距所需的投资。 **用于威胁搜寻：** 使用部分覆盖和未覆盖条目来识别自动化检测薄弱、主要依赖手动搜寻的技术领域。 ## 作者 **Sai Teja Girimaji** NTT DATA 云服务部网络安全能力负责人 [LinkedIn](https://www.linkedin.com/in/girimaji-saiteja-569b356a) | [作品集](https://saiteja-security.netlify.app) *本矩阵根据 MITRE ATT&CK 企业版进行维护。覆盖状态按季度或在 Sentinel 连接器生态系统发生重大变化后进行审查。*

标签：AMSI绕过, KQL 查询语言, Microsoft Sentinel, MITRE ATT&CK 框架, SIEM 系统, 企业安全, 威胁情报, 威胁检测, 安全技术文档, 安全运营中心, 差距分析, 开发者工具, 数据源映射, 检测覆盖矩阵, 网络安全, 网络映射, 网络资产管理, 隐私保护