來源：https://mitre.github.io/unfetter/about/

一钱反、關(guān)于

Unfetter項(xiàng)目是MITRE公司和美國國家安全局(NSA)的合作項(xiàng)目寿谴。

Unfetter基于MITRE的對抗策略、技術(shù)和常識(shí)(ATT&CK)威脅模型疏旨、相關(guān)的網(wǎng)絡(luò)分析存儲(chǔ)庫(CAR)和一個(gè)圖形用戶界面摊溶，即連接CAR和ATT&CK的網(wǎng)絡(luò)分析存儲(chǔ)庫探索工具(CARET)。有關(guān)ATT&CK充石、CAR和CARET的匯總信息可以在下面找到莫换。

二、現(xiàn)代檢測的缺點(diǎn)

當(dāng)前的檢測方法側(cè)重于廣泛使用反病毒骤铃、商業(yè)威脅情報(bào)或其他威脅情報(bào)共享產(chǎn)品拉岁，以及破壞指標(biāo)(IOCs)。不幸的是惰爬，這些重點(diǎn)領(lǐng)域并不是防御者對抗敵人的萬靈藥喊暖。盡管使用了防御者，但能夠繞過或克服這些常見防御的對手通常會(huì)在內(nèi)部遇到主機(jī)級(jí)別的受保護(hù)程度最低的網(wǎng)絡(luò)撕瞧。反病毒可以被對手擊敗陵叽，測試他們的惡意軟件事先針對流行的安全產(chǎn)品或惡意軟件數(shù)據(jù)庫，確保有能力克服檢測丛版。商業(yè)威脅情報(bào)產(chǎn)品只能識(shí)別敵方技術(shù)的一個(gè)子集巩掺，并且只能根據(jù)可用信息的質(zhì)量來判斷。IOCs通過檢測計(jì)算機(jī)上已知的惡意對象來判斷惡意活動(dòng)的存在;然而页畦，對象只能識(shí)別過去對手的活動(dòng)胖替。對象對于從過去的破壞和行為中識(shí)別單個(gè)的對手是有用的，但是對于探測未知的參與者是無用的豫缨，這些未知的參與者可能最終會(huì)將精力集中在將來的破壞網(wǎng)絡(luò)上独令。在現(xiàn)實(shí)世界中，防御者不是跟蹤對象好芭，而是跟蹤行為燃箭。

三、一種新的防御模式

為了更有效地保護(hù)企業(yè)舍败，需要進(jìn)行范式轉(zhuǎn)換招狸。這種轉(zhuǎn)變承認(rèn)碗硬，今天的對手能夠穿透網(wǎng)絡(luò)邊界，盡管我們目前的技術(shù)瓢颅，并接受需要額外的基于主機(jī)的技術(shù)和超傳感能力恩尾。此外，它接受我們必須從IOCs轉(zhuǎn)移到攻擊指標(biāo)(IOAs)挽懦，以了解對手的行為翰意，以發(fā)現(xiàn)未知的未來行動(dòng)者。

這種向IOAs的范式轉(zhuǎn)換在傳感器收集數(shù)據(jù)的方式上帶來了細(xì)微的差異信柿。IOAs同時(shí)描述參與者和原子動(dòng)作;因此冀偶，IOA檢測只能對在執(zhí)行操作時(shí)捕獲操作收集的數(shù)據(jù)執(zhí)行。有人把這種收集稱為實(shí)時(shí)傳感器;然而渔嚷，“實(shí)時(shí)”一詞在端點(diǎn)檢測上下文中被濫用到毫無意義的地步进鸠。掃描是不夠的，因?yàn)閽呙栌^察對象的當(dāng)前狀態(tài)形病，既不捕捉動(dòng)作客年，也不捕捉參與者。雖然在某些情況下漠吻，可以通過觀察系統(tǒng)上的對象來推斷操作(存在一個(gè)新文件;因此量瓜，一定是有人創(chuàng)建了它)或者系統(tǒng)可能緩存參與者和操作(一個(gè)正在運(yùn)行的流程樹)，這些圖片是不完整的途乃，因?yàn)樗鼈円床荒懿东@參與者绍傲，要么很容易丟失掃描之間發(fā)生的操作。這種情況不能通過更頻繁的掃描來解決耍共，因?yàn)榧词故恰斑B續(xù)的”掃描也不能捕獲每個(gè)原子動(dòng)作:這樣做需要在計(jì)算機(jī)上的每個(gè)操作之后進(jìn)行掃描烫饼，因?yàn)閽呙柚徊东@時(shí)間上的離散點(diǎn)，而不是連續(xù)的流试读。試圖通過掃描來收集IOAs會(huì)忽略在掃描之間系統(tǒng)上發(fā)生的無數(shù)操作杠纵。因此，尋求檢測IOAs的傳感器必須實(shí)時(shí)收集數(shù)據(jù)鹏往。相反淡诗，任何只掃描的傳感器對IOAs都是盲的骇塘。

這種從掃描到實(shí)時(shí)檢測伊履，從IOC到IOA的轉(zhuǎn)變是強(qiáng)大的，因?yàn)閷?shí)時(shí)檢測也提供了預(yù)防的機(jī)會(huì)款违。如果一個(gè)實(shí)時(shí)傳感器捕捉到正在發(fā)生的動(dòng)作唐瀑，并確定這個(gè)動(dòng)作是錯(cuò)誤的，它就可以防止錯(cuò)誤動(dòng)作的發(fā)生插爹，而掃描系統(tǒng)無法做到這一點(diǎn)哄辣。

四请梢、基于威脅的安全性

MITRE的基于威脅的網(wǎng)絡(luò)防御方法遵循以下五個(gè)關(guān)鍵原則:

原則1:檢測后破壞——周界和預(yù)防性防御將無法阻止持久的攻擊者;破壞后的檢測能力是必要的。

原則2:關(guān)注行為——特征和指標(biāo)是有用的力穗，但可以繞過;復(fù)雜的防御應(yīng)該包括探測對手的行為毅弧。

原則3:基于威脅模型——一個(gè)準(zhǔn)確和范圍良好的威脅模型是必要的，以確保檢測活動(dòng)對現(xiàn)實(shí)和相關(guān)的敵對行為是有效的当窗。

原則4:通過設(shè)計(jì)迭代——攻擊工具和技術(shù)是不斷發(fā)展的;成功的安全方法需要不斷的够坐、迭代的安全模型、技術(shù)和工具的改進(jìn)崖面。在一個(gè)理想的場景中元咙，這個(gè)迭代是與更大的相關(guān)社區(qū)一起完成的。

原則5:在現(xiàn)實(shí)環(huán)境中開發(fā)——分析開發(fā)和細(xì)化應(yīng)該在盡可能現(xiàn)實(shí)的網(wǎng)絡(luò)環(huán)境中進(jìn)行巫员。這包括第三方軟件和實(shí)際用戶產(chǎn)生的傳感器噪聲庶香。只要有可能，就應(yīng)該在現(xiàn)實(shí)環(huán)境中通過威脅模擬來測試檢測能力简识。

五赶掖、對抗性戰(zhàn)術(shù)、技術(shù)和常識(shí)(ATT&CK)

對抗策略七扰、技術(shù)和常識(shí)(ATT&CK)是描述對手在企業(yè)網(wǎng)絡(luò)中操作時(shí)可能采取的行動(dòng)的模型和框架倘零。該模型可用于更好地刻畫和描述破壞后的對手行為。它既擴(kuò)展了網(wǎng)絡(luò)防御者的知識(shí)戳寸，又通過詳細(xì)描述后破壞(后利用和成功訪問)戰(zhàn)術(shù)呈驶、技術(shù)和過程(TTPs)來幫助確定網(wǎng)絡(luò)防御的優(yōu)先級(jí)。

ATT&CK整合了通過MITRE研究收集的關(guān)于網(wǎng)絡(luò)對手的信息疫鹊，以及來自其他學(xué)科的信息袖瞻，如滲透測試和紅色團(tuán)隊(duì)，以建立一個(gè)描述對手在破壞后活動(dòng)的知識(shí)集合拆吆。雖然對周界防御的初始開發(fā)和使用進(jìn)行了大量的研究聋迎，但在獲得初始訪問權(quán)之后，對手進(jìn)程的基礎(chǔ)知識(shí)仍然存在空白枣耀。ATT&CK專注于TTPs對手用來做決定霉晕，擴(kuò)大訪問，并執(zhí)行他們的目標(biāo)捞奕。它的目標(biāo)是在足夠高的層次上描述對手的步驟牺堰，以便在平臺(tái)上廣泛應(yīng)用，但仍然保持足夠的細(xì)節(jié)颅围，以便在技術(shù)上有用伟葫。

ATT&CK的十種戰(zhàn)術(shù)類別來自于網(wǎng)絡(luò)攻擊生命周期的后期階段(控制、維護(hù)和執(zhí)行)(最初由洛克希德·馬丁公司提出院促，稱為網(wǎng)絡(luò)殺傷鏈?)筏养。ATT&CK提供了一種更深層次的粒度斧抱，用于描述在對手獲得訪問之后的入侵期間可能發(fā)生的情況。

每個(gè)類別都包含了一個(gè)技術(shù)列表渐溶，對手可以使用這些技術(shù)來執(zhí)行這個(gè)戰(zhàn)術(shù)辉浦。技術(shù)被分解為技術(shù)描述、指標(biāo)茎辐、有用的防御傳感器數(shù)據(jù)盏浙、檢測分析和潛在的緩解。將入侵?jǐn)?shù)據(jù)應(yīng)用到模型中荔茬，然后有助于將防御重點(diǎn)放在跨活動(dòng)組的常用技術(shù)上废膘，并有助于識(shí)別安全漏洞。辯護(hù)人和決策者可以將ATT&CK中的信息用于各種目的慕蔚，而不僅僅是作為特定對抗技術(shù)的清單丐黄。

ATT&CK主要關(guān)注于微軟Windows企業(yè)網(wǎng)絡(luò)的個(gè)人技術(shù)細(xì)節(jié)】嘴框架和更高級(jí)別的類別也可以應(yīng)用于其他平臺(tái)和環(huán)境灌闺。

六、基于ATT&CK的分析開發(fā)方法

基于ATT&CK的分析開發(fā)方法是MITRE用來創(chuàng)建坏瞄、評(píng)估和修改分析的過程桂对，目的是檢測網(wǎng)絡(luò)對手的行為。經(jīng)過多年調(diào)查攻擊者行為鸠匀、構(gòu)建傳感器獲取數(shù)據(jù)和分析數(shù)據(jù)以檢測對手行為的經(jīng)驗(yàn)蕉斜，它得到了改進(jìn)。在描述過程中缀棍，我們使用術(shù)語“白隊(duì)”宅此、“紅隊(duì)”和“藍(lán)隊(duì)”，定義如下:

白隊(duì)——為測試防御開發(fā)威脅場景爬范。在網(wǎng)絡(luò)游戲中與紅隊(duì)合作父腕，記錄紅隊(duì)的活動(dòng)，并回答紅隊(duì)可能涉及的任何問題青瀑，如給定的系統(tǒng)璧亮、帳戶或技術(shù)是否在游戲的范圍內(nèi)或在游戲的范圍外。

紅隊(duì)——為這個(gè)網(wǎng)絡(luò)游戲斥难，模擬的網(wǎng)絡(luò)對手枝嘶。許多傳統(tǒng)的red團(tuán)隊(duì)關(guān)注于突出需要減輕的漏洞。這支紅隊(duì)與那種方法有些不同蘸炸。它的目標(biāo)是執(zhí)行行為并完成白色團(tuán)隊(duì)概述的目標(biāo)躬络，以確保測試和驗(yàn)證藍(lán)色團(tuán)隊(duì)的分析和方法。發(fā)現(xiàn)的任何漏洞也將被報(bào)告搭儒，但這是團(tuán)隊(duì)的次要目標(biāo)穷当。

藍(lán)隊(duì)——網(wǎng)絡(luò)防御者使用分析來檢測紅隊(duì)的活動(dòng)。它也可以被認(rèn)為是一支狩獵隊(duì)淹禾。

基于ATT&CK的分析開發(fā)方法包含七個(gè)步驟:

識(shí)別行為-從威脅模型中識(shí)別和優(yōu)先檢測對手的行為馁菜。

獲取數(shù)據(jù)——識(shí)別檢測對手行為所需的數(shù)據(jù)。如果不存在獲取數(shù)據(jù)的能力铃岔，則必須創(chuàng)建一個(gè)傳感器來收集這些數(shù)據(jù)汪疮。

開發(fā)分析——?jiǎng)?chuàng)建分析來檢測收集到的數(shù)據(jù)所標(biāo)識(shí)的行為。確保分析對良性環(huán)境事件有一個(gè)可接受的假陽性率也很重要毁习。

開發(fā)威脅仿真場景——white團(tuán)隊(duì)開發(fā)了一個(gè)基于ATT&CK的威脅仿真模型智嚷，其中包括步驟1中確定的行為。場景包括紅隊(duì)?wèi)?yīng)該使用的特定技術(shù)纺且。

模擬威脅——紅隊(duì)試圖通過演習(xí)ATT&CK中的行為來達(dá)到白隊(duì)列出的目標(biāo)盏道。

調(diào)查攻擊——藍(lán)隊(duì)試圖用分析和第三步開發(fā)的數(shù)據(jù)重建紅隊(duì)活動(dòng)的時(shí)間線。

評(píng)估性能——白色载碌、紅色和藍(lán)色的團(tuán)隊(duì)審查契約猜嘱，以評(píng)估藍(lán)色的團(tuán)隊(duì)能夠使用哪些分析和傳感器數(shù)據(jù)來檢測步驟1中的行為。

七嫁艇、網(wǎng)絡(luò)分析知識(shí)庫(CAR)

網(wǎng)絡(luò)分析知識(shí)庫(CAR)是MITRE基于對抗戰(zhàn)術(shù)朗伶、技術(shù)和常識(shí)(ATT&CK)模型和框架開發(fā)的分析知識(shí)庫。CAR使用上面概述的基于ATT&CK的分析開發(fā)方法來創(chuàng)建步咪、評(píng)估和修改分析论皆，目的是檢測網(wǎng)絡(luò)對手的行為。分析的開發(fā)基于以下活動(dòng):從ATT&CK威脅模型中識(shí)別和優(yōu)先檢測對手行為猾漫，識(shí)別檢測對手行為所需的數(shù)據(jù)纯丸，創(chuàng)建傳感器來收集必要的數(shù)據(jù)，并實(shí)際創(chuàng)建分析來檢測識(shí)別的行為静袖。

有多種方法可以對分析進(jìn)行分類觉鼻。這些類別并不全面。由于分析是從基于對手行為的威脅模型中派生出來的队橙，所以某些類型的分析超出了范圍(例如坠陈，基于簽名、基于配置文件的分析)捐康。CAR中確定了以下四種分析類型:

行為——一種用來檢測對手使用的特定行為的分析方法仇矾，例如創(chuàng)建一個(gè)新的Windows服務(wù)。這種行為本身可能是惡意的解总，也可能不是贮匕。這些行為應(yīng)該映射到ATT&CK中確定的技術(shù)。

情景感知——針對在給定時(shí)間內(nèi)您的環(huán)境中發(fā)生的事情的一般理解的分析花枫。并非所有的分析都需要針對惡意行為生成警報(bào)刻盐。相反掏膏，對于組織來說，提供關(guān)于環(huán)境狀態(tài)的一般信息的分析是非常有益的敦锌。登錄時(shí)間等信息并不表示存在惡意活動(dòng)馒疹，但與其他指標(biāo)結(jié)合使用時(shí)，可以提供急需的附加信息乙墙。這些類型的分析還有助于監(jiān)視環(huán)境的“健康狀況”(例如颖变，哪些主機(jī)上的傳感器不能工作)。

異常/離群值——檢測的行為不是惡意的听想，但這是不尋常的腥刹，可能是可疑的。例如汉买，檢測以前從未運(yùn)行過的可執(zhí)行程序衔峰，或者使用通常不使用網(wǎng)絡(luò)的進(jìn)程。就像態(tài)勢感知分析一樣录别，這些類型的分析并不一定意味著攻擊朽色。

取證——這些類型的分析在對事件進(jìn)行調(diào)查時(shí)最有用。通常组题，取證分析需要某種輸入才能最有用葫男。例如，如果分析人員發(fā)現(xiàn)主機(jī)上使用了憑據(jù)轉(zhuǎn)儲(chǔ)程序崔列，則可以運(yùn)行一個(gè)分析程序梢褐，該分析程序?qū)@示所有憑據(jù)已被破壞的用戶。

在每個(gè)分析中赵讯，有下列資料:

描述——在分析中被測試的假設(shè)的描述盈咳，包括關(guān)于對這類信息的警報(bào)如何對防御者有興趣或有好處的任何相關(guān)信息。

分類信息(CAR解析號(hào)边翼、提交日期鱼响、信息域、主機(jī)子類型组底、類型丈积、狀態(tài))——用于報(bào)警和跟蹤目的的解析號(hào)、解析是否適用于主機(jī)或網(wǎng)絡(luò)债鸡、可用和適用的子類型江滨、解析的類型、解析的狀態(tài)(活動(dòng)或想法)厌均。

ATT&CK檢測——對ATT&CK戰(zhàn)術(shù)和技術(shù)的總結(jié)唬滑，分析覆蓋范圍以及覆蓋水平。

偽代碼——使用偽代碼定義的分析實(shí)例化。

單元測試——適用于測試分析的需求晶密、配置擒悬、描述和命令。

八惹挟、CARET

網(wǎng)絡(luò)分析存儲(chǔ)庫探索工具(CARET)是一個(gè)概念驗(yàn)證的圖形用戶界面茄螃，用于將ATT&CK中列出的組和技術(shù)與CAR中描述的分析缝驳、數(shù)據(jù)模型和傳感器連接起來连锯。CARET用于連接對手、技術(shù)用狱、分析运怖、數(shù)據(jù)和傳感器，以開發(fā)對防御能力的理解夏伊，并幫助開發(fā)和使用它們摇展。特別是，CARET幫助回答以下類型的問題:

（1）已知的敵人:

你能探測/不能探測嗎?

（2）分析:

能夠檢測到給定的戰(zhàn)術(shù)或技術(shù)?

能偵測到已知的對手嗎?

（3）什么數(shù)據(jù):

是由傳感器產(chǎn)生的嗎?

需要你的分析嗎?

是否需要偵測一個(gè)特定的對手?

（4）傳感器:

為什么分析提供數(shù)據(jù)?

能探測到特殊的技術(shù)嗎?

能發(fā)現(xiàn)一個(gè)特定的對手嗎?

九溺忧、CARET用例

領(lǐng)導(dǎo)力要求分析師將未來的資金投入到基于主機(jī)的分析中咏连。分析師使用CARET通過選擇傳感器來識(shí)別他們可以使用的分析類型以及涉及的組和ATT&CK技術(shù)。

領(lǐng)導(dǎo)層詢問分析師他們應(yīng)該購買什么傳感器來覆蓋特定的群體鲁森。分析人員通過選擇一個(gè)組來使用CARET祟滴，以了解該組使用的ATT&CK技術(shù)，以及可以用來檢測該組的分析和傳感器歌溉。

一個(gè)分析師正在試圖理解ATT&CK矩陣上的組和分析的交集垄懂。分析人員使用CARET來選擇一個(gè)組，突出所使用的ATT&CK技術(shù)痛垛，然后應(yīng)用分析來開發(fā)覆蓋率來檢測這個(gè)組草慧。此外，分析師可以評(píng)估他們的分析投資組合中可能存在的差距匙头，并集中投資開發(fā)新的分析方法來解決這些差距漫谷。

分析師想知道在所有可用的數(shù)據(jù)中，哪一個(gè)最有用蹂析。分析人員對CARET中的數(shù)據(jù)模型選項(xiàng)進(jìn)行評(píng)估舔示，以確定哪些對象、操作和字段對于識(shí)別給定一組分析或傳感器的組最關(guān)鍵识窿。此外斩郎，分析人員可以確定他們是否在收集沒有得到有效利用的數(shù)據(jù)。

十喻频、Unfetter

Unfetter參考實(shí)現(xiàn)使用戶能夠應(yīng)用額外提供的分析缩宜，并使用測試用例進(jìn)行試驗(yàn)，以開發(fā)更健壯的分析，從而獲得更好的檢測方法锻煌。

Unfetter是一個(gè)旨在幫助網(wǎng)絡(luò)防御者妓布、網(wǎng)絡(luò)安全專業(yè)人士和決策者識(shí)別和分析防御漏洞的項(xiàng)目，其總體目標(biāo)是幫助社區(qū)迭代宋梧、發(fā)展和進(jìn)步匣沼，以實(shí)現(xiàn)更大的網(wǎng)絡(luò)彈性。Unfetter是一個(gè)開源項(xiàng)目捂龄。MITRE網(wǎng)絡(luò)彈性工程框架定義的網(wǎng)絡(luò)彈性涉及四個(gè)主要目標(biāo):預(yù)期释涛、承受、恢復(fù)和發(fā)展倦沧。Unfetter通過解決預(yù)期和進(jìn)化的需求唇撬，具體影響了網(wǎng)絡(luò)彈性。Unfetter通過對檢測能力和威脅之間的差距進(jìn)行分析展融，提供了一種預(yù)測企業(yè)對手檢測差距的機(jī)制窖认。這進(jìn)一步使企業(yè)能夠通過智能感知最小化來自預(yù)期或?qū)嶋H對手攻擊的影響。這種傳感技術(shù)的進(jìn)步也使有效的決策和更快的響應(yīng)時(shí)間成為可能告希。通過自動(dòng)化實(shí)現(xiàn)的更快的響應(yīng)將當(dāng)前攻擊的影響最小化扑浸。此外，隨著時(shí)間的推移燕偶，利用學(xué)習(xí)和推理的決策可以使系統(tǒng)在未來的攻擊(特別是類似于以前的攻擊)中演化為不那么脆弱的狀態(tài)喝噪。總之杭跪，解除束縛不僅會(huì)影響企業(yè)預(yù)測攻擊的能力仙逻，還會(huì)支持其他的網(wǎng)絡(luò)彈性目標(biāo)，比如進(jìn)化涧尿。

十一系奉、把它們綁在一起

整個(gè)過程使您能夠理解每個(gè)版本以及它們所基于的核心概念是如何教育和告知整個(gè)社區(qū)的。

使用基于威脅的情報(bào)來找出企業(yè)中存在的差距和冗余姑廉。這是一個(gè)迭代過程的一部分:

探索-發(fā)展與對手偵測缺亮、分析效能和感測器輸入相關(guān)的問題。

發(fā)現(xiàn)-識(shí)別對手技術(shù)桥言、分析和傳感器之間的聯(lián)系萌踱，以回答這些問題。

創(chuàng)建-設(shè)計(jì)分析和確定他們需要什么額外的數(shù)據(jù)号阿。用網(wǎng)絡(luò)游戲驗(yàn)證它們并鸵。

應(yīng)用-使用傳感器和分析來提高自己的網(wǎng)絡(luò)防御。

分享-與更廣泛的社區(qū)一起提高你的防御能力扔涧。

在線查看CARET允許您探索組园担、技術(shù)届谈、分析、數(shù)據(jù)模型和傳感器的概念弯汰，以了解如何使用分析來識(shí)別敵手的間諜技術(shù)艰山。基于CARET中的概念咏闪，您可以發(fā)現(xiàn)組曙搬、分析和傳感器之間的新連接。下載CAR鸽嫂、ATT&CK和CARET使您能夠創(chuàng)建新的分析并為您的環(huán)境定制可用的信息纵装。Unfetter參考實(shí)現(xiàn)允許您在虛擬環(huán)境中試驗(yàn)分析。

十二溪胶、過程

1搂擦、根據(jù)環(huán)境中運(yùn)行的傳感器和分析稳诚，下載和修改網(wǎng)絡(luò)分析存儲(chǔ)庫(CAR)哗脖。

2、識(shí)別和評(píng)估使用CARET的對手技術(shù)扳还、分析和傳感器之間的覆蓋差距才避。

3、利用在前一步中獲得的洞察力氨距，管理層可以根據(jù)已知的威脅和企業(yè)的狀態(tài)桑逝，做出數(shù)據(jù)驅(qū)動(dòng)的決策，決定將時(shí)間和資源投入到何處俏让。

4楞遏、創(chuàng)建并測試新的分析，將成品添加到CAR中首昔。

4 a.使用Unfetter參考實(shí)現(xiàn)來編寫新的分析或使用現(xiàn)有的分析寡喝。確定需要什么新的傳感器(如果有的話)。

4 b.使用參考實(shí)現(xiàn)來測試分析勒奇，并確保它產(chǎn)生適當(dāng)?shù)妮敵觥?/p>

4 c.執(zhí)行紅隊(duì)和藍(lán)隊(duì)的網(wǎng)絡(luò)游戲预鬓，最好是在你的生活環(huán)境中，以驗(yàn)證分析赊颠。參見以上基于ATT&CK的分析開發(fā)方法格二。

5、與更廣泛的社區(qū)共享對手的行為竣蹦、分析和傳感器顶猜。使用其他人共享的內(nèi)容作為輸入來驅(qū)動(dòng)企業(yè)內(nèi)的發(fā)現(xiàn)。