第1步:确定目标
时间:2022-03-27 10:15:01 | 来源:网络推广
时间:2022-03-27 10:15:01 来源:网络推广
第一步是确定要检测的对抗行为的目标和优先级。在决定优先检测哪些对抗行为时,需要考虑以下几个因素:
1.哪种行为最常见?
优先检测攻击者最常使用的TTP,并解决最常见的、最常遇到的威胁技术,这会对组织机构的安全态势产生最广泛的影响。拥有强大的威胁情报能力后,组织机构就可以了解需要关注哪些ATTCK战术和技术。
2.哪种行为产生的负面影响最大?
组织机构必须考虑哪些TTP会对组织机构产生最大的潜在不利影响。这些影响可能包括物理破坏、信息丢失、系统受损或其它负面后果。
3.容易获得哪些行为的相关数据?
与那些需要开发和部署新传感器或数据源的行为相比,对于已拥有必要数据的行为进行分析要容易得多。
4.哪种行为最有可能表示是恶意行为?
只是由攻击者产生的行为而不是合法用户产生的行为,对于防御者来说用处最大,因为这些数据产生误报的可能性较小。
在线咨询
