ATT&CK 在大数据安全分析中的应用思考( 九 )_前言若将今年网络安全圈内的热词进行盘

ATTCK 的规则是 ATTCK 框架应用的基础，也是难点。初步可以根据 github 上一些开源的项目进行实施和优化，例如： sentinel-attack、sysmon-config、sigma 等。与其他产品类似，主要的问题在两个方面：

规则的质量

规则的质量一直是厂商头疼的问题，更是困扰安全分析师和运维人员的难题。当底层数据不可信时，分析的都是错数据，分析的结果又怎么能对呢？在开源规则的基础上我们可以在各种环境下测试规则的误报并进行调试，针对特定规则可能需要手动复现提取更加准确的特征。

规则的覆盖率

虽然 ATTCK 框架号称是原子级技术分解，其实还尚未达到这个程度，例如 T1055 - 进程注入，虽然在它的知识库里也列出了几种注入的方法，但是真正的注入方法就不止 10 种。那么若一个产品覆盖了 T1055 - 进程注入，但覆盖了其中一种技术还是十种技术对应的能力显然是不同的。为此 MITRE 也及时做出了调整推出 Sub-Techniques 的概念，这是真正意义上的原子级技术点。相对于现在的 Techniques ， Sub-Techniques 才能客观的标识一个产品的检测能力覆盖面，让我们拭目以待。