第3章
数据源：ATT&CK应用实践的前提

本章要点

• 当前ATT&CK数据源利用急需解决的问题

• 升级ATT&CK数据源的使用情况

• ATT&CK数据源的运用示例

在利用ATT&CK框架的过程中，人们通常会更多地关注战术、技术、步骤、检测方法和缓解措施，但却忽略了一个重要因素——数据源。ATT&CK框架中的每项技术，都提供了数据源的相关信息。图3-1为MITRE ATT&CK网站上对于数据源属性的展示示例。每种技术的数据源都提供了重要的上下文信息，这有助于通过分析各种数据信息提高入侵检测、威胁溯源的效率。本章将重点介绍如何改善和升级数据源的使用情况，希望能够为攻击技术检测提供一些数据收集方面的思路。

图3-1　ATT&CK技术的数据源属性