# Übersicht

> **SCU-Kostenschätzung**\
> Dieser Agent verbraucht typischerweise **0,2 – 1,0 SCUs pro Analyse-Durchlauf**– abhängig von der Anzahl der Analyse-Regeln und der Tiefe der Telemetrievalidierung. Größere Sentinel-Workspaces mit vielen Analyse-Regeln oder erweiterter ATT\&CK-Korrelation erfordern einen höheren SCU-Verbrauch.

### Einführung

**Attack Mapping Agent** stellt sicher, dass Ihre **MITRE ATT\&CK-Abdeckungsmetriken** in Microsoft Sentinel korrekt, konsistent und operativ aussagekräftig sind. Es inventarisiert automatisch alle Analyse-Regeln, validiert deren ATT\&CK-Taktik-, Technik- und Subtechnik-Zuordnungen und liefert präzise Empfehlungen zur Behebung für Automatisierung oder Analystenprüfung.

Durch den Abgleich von Erkennungslogik, Telemetriebeispielen und kanonischen MITRE-ATT\&CK-Daten identifiziert der Agent falsche, fehlende oder inkonsistente Zuordnungen — und hilft Sicherheitsteams dabei, vertrauenswürdige Berichte und eine effektive Erkennungsabdeckung aufrechtzuerhalten.

<figure><img src="/files/04f9ae57ff6090716f33d1c57b5ff6ae1701d2f3" alt=""><figcaption></figcaption></figure>

<div><figure><img src="/files/04f9ae57ff6090716f33d1c57b5ff6ae1701d2f3" alt=""><figcaption></figcaption></figure> <figure><img src="/files/7d9f9ce1fcc74581f21eff67713d8ba22238dbbe" alt=""><figcaption></figcaption></figure> <figure><img src="/files/f4735460f7909d666e6bdf998b57d03f75808a1d" alt=""><figcaption></figcaption></figure></div>

***

### Was er tut

* Inventarisiert automatisch alle Analyse-Regeln in Microsoft Sentinel
* Validiert zugewiesene ATT\&CK-Taktiken, -Techniken und -Subtechniken
* Erkennt fehlende oder fehlerhaft formatierte ATT\&CK-Metadaten
* Korrelieren Regel-Logik und Telemetriebeispiele mit ATT\&CK-Techniken
* Schlägt Korrekturen und Normalisierungsmaßnahmen vor
* Erzeugt automatisierungsfähige Ausgaben für Dashboards, Pull Requests oder Tickets
* Hebt Zuordnungsdrift und Abdeckungslücken im Zeitverlauf hervor

***

### Anwendungsfälle

#### 1. **Genaue MITRE-Abdeckungsmetriken aufrechterhalten**

Die Abdeckung durch MITRE ATT\&CK ist nur so zuverlässig wie ihre Zuordnungen. Der Agent überprüft Ihre Analyse-Regeln kontinuierlich, um sicherzustellen, dass alle Taktiken und Techniken gültig und korrekt formatiert sind, und liefert Ihnen zuverlässige Metriken für das Reporting der Sicherheitslage.

#### 2. **Analyse-Regel-Überprüfungen beschleunigen**

Die manuelle Validierung von Zuordnungen über Hunderte von Regeln hinweg ist mühsam und fehleranfällig. Dieser Agent bewertet Zuordnungen automatisch anhand kanonischer ATT\&CK-Daten und Ihrer Regel-Logik, wodurch die Prüfzeit drastisch reduziert und die Konsistenz verbessert wird.

#### 3. **Zuordnungsdrift nach Regelaktualisierungen erkennen**

Wenn sich Analyse-Regeln durch Tuning oder Import weiterentwickeln, driften ATT\&CK-Tags oft von ihrer beabsichtigten Zuordnung ab. Der Agent vergleicht aktualisierte Regeln kontinuierlich mit früheren Baselines und markiert Inkonsistenzen, um fehlerhafte Berichte zu verhindern.

#### 4. **Metadaten für Automatisierung und Reporting normalisieren**

Analyse-Regeln können inkonsistente oder doppelte ATT\&CK-Tags enthalten. Der Agent bereinigt, dedupliziert und übersetzt sie in kanonische MITRE-IDs und standardisiert damit Metadaten für automatisierte Dashboards und PR-Pipelines.

#### 5. **Unterstützung von Detection Engineering und Threat Hunting**

Mit validierten ATT\&CK-Zuordnungen können Detection Engineers und Threat Hunter sich auf echte Abdeckungslücken konzentrieren, statt Metadatenprobleme zu debuggen. Der Agent liefert klare Begründungen für jede Änderung und verbessert so das Vertrauen und die Zusammenarbeit zwischen Teams.

***

### Warum Attack Mapping Agent?

#### Probleme, die er löst

* Ungenaue oder unvollständige MITRE-Zuordnungen führen zu unzuverlässigen Abdeckungsmetriken
* Manuelle Validierung in großen Umgebungen dauert Tage
* Regelaktualisierungen verursachen unbemerkte Zuordnungsdrift
* Fehlerhaft formatierte oder inkonsistente Metadaten beeinträchtigen Automatisierung und Dashboards
* Das Fehlen einer Korrelation zwischen Erkennungslogik und ATT\&CK-Framework verringert den analytischen Wert
* Groß angelegte Aktualisierungen sind anfällig für menschliche Fehler

#### Ihre Vorteile

* Genaue, validierte MITRE ATT\&CK-Zuordnungen in Ihrem gesamten Sentinel-Workspace
* Automatisierte Inventarisierung und Normalisierung von Metadaten für Analyse-Regeln
* Kanonische Ausrichtung an der ATT\&CK Knowledge Base für konsistentes Reporting
* Plausibilisierte Empfehlungen für eine schnelle Prüfung durch Analysten oder zur Automatisierung
* JSON-basierte Ausgabe, bereit für die Integration in CI/CD oder Power BI-Dashboards
* Kontinuierliche Überprüfung, um Drift nach Regeländerungen zu verhindern

***

### So funktioniert es

#### Was eingeht

* Metadaten von Microsoft Sentinel-Analyse-Regeln
* Erkennungslogik und korrelierte Telemetriebeispiele
* MITRE ATT\&CK Knowledge Base zur Validierung
* Optionale Defender- und Advanced Hunting-Daten zur kontextuellen Anreicherung

#### Was er tut

* Erfasst und normalisiert ATT\&CK-Metadaten von Analyse-Regeln
* Vergleicht Taktik-, Technik- und Subtechnik-Tags mit kanonischen MITRE-Definitionen
* Gleicht die Erkennungslogik mit zugehöriger Telemetrie ab, um die Genauigkeit der Zuordnung zu verifizieren
* Identifiziert fehlende, fehlerhaft formatierte oder inkonsistente Metadateneinträge
* Leitet Korrekturen für Zuordnungen mit klaren Begründungen ab
* Erzeugt eine strukturierte Ausgabe, die sich für Automatisierung oder Analysten-Workflows eignet

#### Was Sie erhalten

* Zusammenfassung der Ergebnisse der MITRE-Abdeckungsvalidierung für Führungskräfte
* Normalisierte und korrigierte ATT\&CK-Zuordnungen pro Analyse-Regel
* Kontextbezogene Begründungen für vorgeschlagene Änderungen
* Kanonische Regelkennungen und bereinigte Metadaten
* Einblicke in Abdeckungslücken und Zuordnungsdrift
* JSON-Berichtsstruktur, die für PRs, Dashboards und Issue-Tracking ausgelegt ist


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://agents.glueckkanja.com/de/agents/attack-mapping-agent/overview.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.