MITRE ATT&CK框架的最佳实践指南

1. 本文档是关于如何使用MITRE ATT&CK框架的最佳实践指南。MITRE ATT&CK是一个全球可访问的知识库，基于真实的对手战术和技术的观察。2. 文中提供了将成品报告和原始数据映射到ATT&CK框架的步骤和建议，旨在帮助分析师准确一致地识别对手行为，并用于威胁情报分析。主要步骤包括：- 找到对手行为- 研究行为细节- 将行为转化为ATT&CK战术和技术- 识别适用的子技术- 与其他分析师对比结果3. 在映射过程中要避免几类常见错误：- 轻率下结论：没有充分证据就做出判断- 错失机会：没有考虑到其他潜在的技术映射- 错误分类：由于对技术理解不到位而选错4. 分析师还要注意报告制作过程中可能存在的偏见，如新颖性偏见、可见性偏见等，避免影响后续分析。5. 报告中呈现ATT&CK映射的方式包括：- 将ATT&CK链接嵌入叙述性文本- 提供汇总ATT&CK技术的表格- 使用ATT ………………………………