摘要

透過偵測，混合規則型和行為驅動警示非常重要。此外，您應該有適當的機制，讓內部和外部人員提交有關安全問題的票證。人類可以是安全事件最有價值的來源之一，因此請務必制定程序，以便人員呈報疑慮。您應該使用環境的威脅模型來開始使用建置偵測。威脅模型將協助您根據與您的環境最相關的威脅建立提醒。最後，您可以使用 MITRE ATT&CK 等架構來了解威脅行為者策略、技術和程序 (TTPs)。MITRE ATT&CK 架構有助於將 作為各種偵測機制的通用語言使用。