ATT&CK 在大数据安全分析中的应用思考( 八 )
2. 数据标签化
由于 SIEM 平台本身接入的数据量太大并且有很多没有分析价值的数据 , 平台需要抽象出一层关注的安全事件 , 这些事件不一定是恶意攻击 , 比如 Powershell、CMD 这些运维管理员也会使用的程序 , 抽象出的事件需要一个标签来描述事件的含义 , 这时 TTPs 的 ID 就成了最好的标签 。 TTPs 的背后是完善的知识库 , 每个技术都可以追溯其利用原理、战术意图 。
通常使用规则将数据打上标签 , 所以需要先梳理技术对应的数据源 , 以下表为例:
SIEM 做的是数据分析 , ATTCK 可以将数据添加一层标签 , 标签的生成来自与规则 , 标签化的流程与利用 , 如下图:
推荐阅读
- 捉迷藏|?LOL世界赛“含金量”数据出炉:EDG仅排第六,IG稳居榜首
- 碧蓝航线|碧蓝航线SR重巡福煦数据详解 期待越高失望越大 强度平平无奇
- kramer|国服极地大乱斗数据上线,来看看胜率榜符合你的预期吗?
- 米莱狄|峡谷数据榜:分均输出TOP5,干将莫邪只排第四,米莱狄至今被误解
- |S11淘汰赛数据盘点:场均时长为33分 55个不同英雄登场
- 中单|2021年英雄联盟世界赛终于落下帷幕!!大数据统计二!!
- 灵饰|梦幻西游:109级法系前排灵饰选择方法,用数据告诉你怎么做
- 卡牌|S11淘汰赛数据出炉,卡牌24场全被ban,压刀最多竟是辅助
- 地下城与勇士|DNF:逼格拉满,这些高格调光环&称号不容错过
- edg战队|堡垒之夜国服将清除数据,EDG创造队史晋级S11世界赛决赛