ATT&CK 在大数据安全分析中的应用思考(12)
分析溯源
无论是 APT 还是常规的渗透攻击 , 可能会用一些目前未知的技术手段或者 0DAY , 但也必然会用到其他已知的攻击手段 , 这时我们的标签化的数据就起到了分析的价值 , 可以根据标签进行行为分析、异常分析等 。
1. 进程树的分析
当我们触发告警时 , 可以溯源该告警进程的进程树 。 此时可将进程树的上所有进程附着的 TTP 标签作为数据 , 分析该进程树是否为一条失陷的攻击链 , 在进程树生成后也会发现许多没有标签的进程 , 这些可能就是规则遗漏的检测点 。
举个简单一点的判断逻辑:
a. 是否树上可以有多个权重较高的标记
b. 是否树上有超过${Num个不同的标记
推荐阅读
- 捉迷藏|?LOL世界赛“含金量”数据出炉:EDG仅排第六,IG稳居榜首
- 碧蓝航线|碧蓝航线SR重巡福煦数据详解 期待越高失望越大 强度平平无奇
- kramer|国服极地大乱斗数据上线,来看看胜率榜符合你的预期吗?
- 米莱狄|峡谷数据榜:分均输出TOP5,干将莫邪只排第四,米莱狄至今被误解
- |S11淘汰赛数据盘点:场均时长为33分 55个不同英雄登场
- 中单|2021年英雄联盟世界赛终于落下帷幕!!大数据统计二!!
- 灵饰|梦幻西游:109级法系前排灵饰选择方法,用数据告诉你怎么做
- 卡牌|S11淘汰赛数据出炉,卡牌24场全被ban,压刀最多竟是辅助
- 地下城与勇士|DNF:逼格拉满,这些高格调光环&称号不容错过
- edg战队|堡垒之夜国服将清除数据,EDG创造队史晋级S11世界赛决赛