摘要

在检测方面，将基于规则的警报与行为驱动的警报结合使用非常重要。此外，应构建相应机制，便于内部人员和外部人员就安全问题提交工单。工作人员可能是安全事件最宝贵的来源之一，因此制定供工作人员上报疑虑的流程至关重要。您应利用针对环境的威胁模型来着手构建检测机制。威胁模型将帮助您基于与环境最相关的威胁来生成警报。最后，您可以借助 MITRE ATT&CK 等框架来了解威胁行为者的战术、技术和程序（TTP）。MITRE ATT&CK 框架可作为一种通用语言，促进您对各种检测机制的理解。