将MITRE ATT＆CK模型应用于网络设备

文章预览

信息安全社区经常忽视作为端点的网络设备。大多数人专注于保护系统和检测Windows域环境中的威胁，也包括检测运行MacOS和Linux系统的端点上的威胁。 用于这些工作的常见日志记录工具是Windows上的Sysmon，Linux及MacOS上的的Auditd和Auditbeat。对于网络方面，通常使用Snort或Suricata之类的NIDS系统分析网络流量，并使用诸如Zeek和PCAP之类的工具解析相关协议，以供日后分析。 所有这些数据通常会被集中到一个日志分析工具中，例如ELK或Splunk，分析师在这些工具中运行搜索查询或分析以检测其环境中的攻击行为。MITRE ATT＆CK框架提供了一个很好的起点，可以基于杀伤链的每个步骤中攻击者可能采取的策略，来衡量和塑造分析人员在数据检测中使用的技术。在此处阅读有关MITRE ATT＆C ………………………………