1. 本文档是关于如何使用MITRE ATT&CK框架的最佳实践指南。MITRE ATT&CK是一个全球可访问的知识库，基于真实的对手战术和技术的观察。

2. 文中提供了将成品报告和原始数据映射到ATT&CK框架的步骤和建议，旨在帮助分析师准确一致地识别对手行为，并用于威胁情报分析。主要步骤包括：

- 找到对手行为

- 研究行为细节

- 将行为转化为ATT&CK战术和技术

- 识别适用的子技术

- 与其他分析师对比结果

3. 在映射过程中要避免几类常见错误：

- 轻率下结论：没有充分证据就做出判断

- 错失机会：没有考虑到其他潜在的技术映射

- 错误分类：由于对技术理解不到位而选错

4. 分析师还要注意报告制作过程中可能存在的偏见，如新颖性偏见、可见性偏见等，避免影响后续分析。

5. 报告中呈现ATT&CK映射的方式包括：

- 将ATT&CK链接嵌入叙述性文本

- 提供汇总ATT&CK技术的表格

- 使用ATT&CK导航器可视化对手战术技术

6. 专门针对工控系统（ICS）领域ATT&CK映射给出了额外指引，强调结合使用ICS和企业版ATT&CK知识库，提供必要的背景信息、受影响资产和执行位置等重要细节。

引言

对于企业网络安全团队而言，了解对手行为通常是保护网络和数据的第一步。网络防御者在检测和缓解网络攻击方面取得的成功取决于这种理解。MITRE ATT&CK®框架是一个全球可访问的知识库，基于真实世界的观察，记录了对手的战术和技术。ATT&CK提供了100多个威胁行为体组织的详细信息，包括已知他们使用的技术和软件。ATT&CK可用于识别防御空白、评估安全工具能力、组织检测、威胁猎杀、参与红队活动或验证缓解控制。企业网络安全团队应当使用ATT&CK作为识别和分析对手行为的视角。

ATT&CK级别（战术、技术、子技术和程序或过程）

ATT&CK描述了整个对手生命周期中的行为，通常称为战术、技术和程序或过程（TTP）。在ATT&CK中，这些行为对应四个层次愈加精细的级别：

1. 战术代表ATT&CK技术或子技术的"为什么"。它们是对手的技术目标、执行操作的原因以及试图实现的目标。例如，对手可能希望获得凭据访问权限以进入目标网络。每个战术都包含一系列网络防御者在野外观察到威胁行为体使用的技术。注意：ATT&CK框架并非旨在解释为线性的——即对手按直线（从左到右）移动贯穿战术以实现其目标。此外，对手不需要使用所有ATT&CK战术就能达成其行动目标。

2. 技术代表对手通过执行某个操作达成战术目标的"如何"。例如，对手可能会转储凭据以获得凭据访问权限。技术也可以表示对手通过执行某个操作获得的内容。技术是实现目标的特定行为，通常是旨在完成对手整体任务的一系列活动中的单个步骤。注意：ATT&CK中的一些技术使对手能够实现多个战术目标，因此适用于多个ATT&CK战术。许多技术还包括可以用于恶意目的的合法系统功能。

3. 子技术提供了技术的更精细描述。例如，在操作系统凭据转储[T1003]技术下有描述执行该技术的特定方法的行为，例如访问本地安全机构子系统服务（LSASS）内存[T1003.001]、安全帐户管理器[T1003.002]或/etc/passwd和/etc/shadow[T1003.008]。子技术通常（但并非总是）特定于操作系统或平台。并非所有技术都有子技术。

4. 过程代表对手"做了什么"，是对手如何使用技术或子技术的实例。例如，有许多不同的操作系统凭据转储：LSASS内存[T1003.001]的过程，基于使用不同的工具、实用程序和命令。了解过程可能有助于以对手模拟复现事件以及检测恶意活动。

ATT&CK技术领域 

ATT&CK按三个"技术领域"组织——即对手运作的生态系统。ATT&CK领域具有反映每个技术领域内相关平台（或系统）的矩阵：

- MITRE ATT&CK - 企业版：

    - 操作系统：Windows、Linux和MacOS

    - 云：Azure AD、Office 365、Google Workspace、软件即服务（SaaS）、基础设施即服务（IaaS）

    - 网络：网络基础设施设备 

    - 容器：容器技术

    - PRE（准备阶段）：涵盖准备技术，取代之前的PRE-ATT&CK领域

- MITRE ATT&CK - 移动版：提供一个对手战术和技术的模型，用于在Android和iOS平台内运作。ATT&CK移动版还包含一个单独的基于网络的效果矩阵，这是对手无需访问移动设备本身即可采用的技术。

- MITRE ATT&CK - 工业控制系统（ICS）：侧重于主要目标是破坏工业控制过程的对手的战术和技术，包括监控控制和数据采集（SCADA）系统以及其他控制系统配置。

ATT&CK 映射指南

此指南是为了帮助分析师在网络威胁情报（CTI）的过程中准确、一致地将对手行为映射到相关的ATT&CK技术（无论分析师是希望将ATT&CK纳入网络安全出版物还是原始数据分析）。

成功应用ATT&CK应产生一组准确一致的映射，这不会直接解决安全挑战，但可用于支持其他操作，例如：

- 开发对手简介

- 进行活动趋势分析

- 增强用于检测、响应和缓解目的的报告

尽管有不同的方法来完成此任务，但本指南提供了一个起点。注意：MITRE ATT&CK建议分析师首先熟悉将完成的报告映射到ATT&CK，因为完成的报告中通常有更多线索可以帮助分析师确定适当的映射。

是否映射

为什么充分的上下文很重要

如果没有足够的上下文技术细节来充分描述并洞察对手行为，ATT&CK映射的价值就很小。例如，一个简单的ATT&CK战术或技术列表——没有相关的技术上下文来解释对手如何执行这些技术——可能不够可操作，无法使网络防御者检测、缓解或响应威胁。

将MITRE ATT&CK映射到完整报告中

以下步骤描述了一种建议的方法，用于成功地将CTI报告映射到ATT&CK。分析师可以根据可用信息和他们对ATT&CK的了解选择自己的起点（例如，识别战术与技术）。

1. 找到行为。寻找对手行为的迹象是一种从寻找之前入侵的 IOC、恶意软件文件的散列、URL、域名和其他工件的范式转变。寻找对手如何与特定平台和应用程序交互以找到一系列异常或可疑行为的迹象。尝试确定他们如何获得初始访问以及如何执行入侵后活动。对手是否利用合法的系统功能达到恶意目的，即所谓的"野外生存（living off the land）"技术？

2. 研究行为。可能需要进行额外研究以获得所需的上下文来理解可疑的对手或软件行为。

    a. 查看原始来源报告，了解行为在这些报告中是如何表现的。其他资源可能包括安全供应商、政府网络组织、国际CERT、维基百科中的引文和搜索引擎（如谷歌）的报告。

    b. 虽然并非所有行为都可以转化为技术和子技术，但技术细节可以相互构建，为理解整体对手行为及相关目标提供信息。

    c. 在ATT&CK网站上搜索关键词，以帮助识别行为。一种常见的方法是搜索报告中描述对手行为使用的关键动词，例如"发出命令"、"创建持久性"、"创建计划任务"、"建立连接"或"发送连接请求"。

3. 将行为转化为战术。仔细查看报告以确定对手战术和攻击流程。要确定战术（对手的目标），请关注他们执行行为的原因。目标是窃取数据吗？是破坏数据吗？是提升权限吗？ 

    a. 回顾战术定义，以确定已识别的行为如何转化为特定战术。例如：

        i. "成功利用后，[该活动]将使任何用户在计算机上获得SYSTEM访问权限。" 

            战术：权限提升[TA0004]

        ii. "使用Windows命令"cmd.exe"/C whoami。" 

            战术：发现[TA0007]

        iii. "通过创建以下计划任务创建持久性。"

            战术：持久性[TA0003]

    b. 确定报告中的所有战术。每个战术都包括对手可以采取的有限数量的行动来实现其目标。了解攻击流程有助于识别对手可能采用的技术或子技术。

4. 确定适用于行为的技术。识别战术后，查看与对手试图实现目标的方式相关的技术细节。例如，对手如何获得初始访问[TA0001]立足点？是通过鱼叉式网络钓鱼还是通过外部远程服务？通过回顾报告中观察到的行为，细化可能的技术范围。注意：如果没有足够的细节来识别适用的技术，分析师将仅限于映射到战术级别，这本身不是可操作的检测信息。

    a. 将报告中的行为与列在已识别战术下的ATT&CK技术描述进行比较。其中一个是否对齐？如果是，这可能就是合适的技术。

    b. 请注意，多种技术可能同时适用于同一行为。例如，"通过端口8088的基于HTTP的命令和控制（C2）流量"属于应用层协议[T1071]技术的非标准端口[T1571]技术和Web协议[T1071.001]子技术。同时将多个技术映射到一个行为，可以让分析师捕获行为的不同技术方面，将行为与其用途关联起来，并将行为与防御者可以使用的数据源和对策相匹配。

    c. 除非明确说明使用了某项技术，或者行为不可能以任何其他技术方式发生，否则不要假设或推断使用了某项技术。在"通过端口8088的基于HTTP的命令和控制（C2）流量"的示例中，如果C2流量是通过HTTP，分析师不应假设流量通过端口80，因为对手可能使用非标准端口。

    d. 使用ATT&CK网站左上角的搜索栏，或在ATT&CK企业技术网页上使用CTRL+F，搜索技术细节、术语或命令行，以识别可能与所描述行为匹配的技术。例如，搜索特定协议可能有助于洞察可能的技术。

    e. 确保技术与适当的战术保持一致。例如，有两种涉及扫描的技术。侦察战术下的主动扫描[T1595]技术发生在受害者受到攻击之前。该技术描述了通过网络流量主动侦察扫描，探测受害者基础设施，以收集可在目标期间使用的信息。发现[TA0007]战术中的网络服务扫描[T1046]技术发生在受害者受到入侵之后，描述了使用端口或漏洞扫描来枚举内部主机上运行的服务。

5. 识别子技术。查看子技术描述，看是否与报告中的信息相匹配。其中一个是否对齐？如果是，这可能就是合适的子技术。根据报告中的详细程度，可能无法在所有情况下识别子技术。注意：仅当没有足够的上下文来识别子技术时，才映射到父技术。

    a. 仔细阅读子技术描述，了解它们之间的区别。例如，暴力破解[T1110]包括四个子技术：密码猜测[T1110.001]、密码破解[T1110.002]、密码喷洒[T1110.003]和凭据填充[T1110.004]。例如，如果报告没有提供额外的上下文来识别对手使用的子技术，只需将暴力破解[T1110]确定为父技术，它涵盖了获取凭据的所有方法。

    b. 在子技术的父级映射到多个战术的情况下，请确保选择适当的战术。例如，进程注入：动态链接库注入[T1055.001]子技术出现在防御规避[TA0005]和权限提升[TA0004]战术中。

    c. 如果子技术不容易识别——在每种情况下可能都没有——查看过程示例可能会有帮助。这些示例提供了支持原始技术映射的源CTI报告的链接。额外的上下文可能有助于确认映射或表明分析师应该调查替代映射。总是有可能出现ATT&CK中尚未涵盖的新技术。例如，与SolarWinds供应链入侵相关的新技术导致ATT&CK框架进行了非周期性版本修改。ATT&CK团队努力在新技术或子技术变得流行时将其纳入其中。来自安全研究人员和分析师社区的贡献有助于实现这一点。如果您观察到新技术或子技术或新的技术用法，请通知ATT&CK团队。

6. 与其他分析师比较结果。通过与其他分析师合作改进您的映射。与其他分析师就映射进行合作，可以提供不同的观点，有助于提高对可能存在的分析师偏见的认识。正式的同行评审和咨询过程可以成为分享观点、促进学习和改进结果的有效方式。对带有提议的战术、技术和子技术注释的报告进行同行评审，可以更准确地映射最初分析中遗漏的TTP。这个过程还可以帮助提高整个团队映射的一致性。

ATT&CK映射是一项团队运动

一些有用的提示

1. 团队合作识别ATT&CK技术。

来自不同背景的多个分析师的输入可提高映射的准确性，减少偏见，并可能有助于识别额外的技术。

2. 执行同行评审。即使团队成员经验丰富，MITRE ATT&CK团队在任何公开发布之前也会对新的映射内容进行至少两次评审。

将MITRE ATT&CK映射到原始数据中

下面描述的选项代表了将原始数据映射到ATT&CK的可能方法。原始数据包含可能包含对手行为工件的混合数据源。原始数据类型包括shell命令、恶意软件分析结果、从取证磁盘映像中检索的工件、数据包捕获和Windows事件日志。

选项1：从数据源开始识别技术和过程。查看可能由Windows事件日志、Sysmon、EDR工具和其他工具收集的数据源。以下问题可能有助于分析潜在的恶意行为：

    a. 对手关注的对象是什么（例如，这是一个文件、流量、驱动程序、进程）？

    b. 对手对对象执行了什么操作？

    c. 什么技术需要这项活动？这可能有助于缩小到一部分技术。如果未知，请跳至步骤d。

    d. 是否有佐证活动可以帮助缩小发生了哪种技术？

        i. 使用已知工具（例如，凭据转储工具，如gsecdump或mimikatz）。注意：对手可能通过更改已知工具的名称来伪装其使用；但是，提供的命令行标志将保持不变。

        ii. 使用已知的系统组件（例如，regsvr32、rundll32）。

        iii. 访问特定的系统组件（例如，注册表）。

        iv. 使用脚本（例如，以.py、.java、.js结尾的文件）。 

        v. 识别特定端口（例如，22、80）。

        vi. 识别所涉及的协议（例如，RDP、DNS、SSH、Telnet、FTP）。 

        vii. 混淆或反混淆的证据。

        viii. 特定设备参与的证据（例如，域控制器），如果是，则表明该设备类型存在意外或不一致的行为。

选项2：从特定工具或属性开始，扩大视野。原始数据提供了对手行动或工具的独特视角。可以通过进程监控事件日志识别他们的命令，访问的特定文件系统组件（例如，Windows注册表），甚至他们使用的某些软件（例如，mimikatz）。分析师可以搜索ATT&CK知识库，以潜在识别与这些项目一致的技术或子技术。分析师还可以利用它们作为进一步探索相关技术的源泉。例如，如果对手在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中创建了一个注册表项，以在计算机重新启动或用户登录时执行（即注册表运行键/启动文件夹[T1547.001]），分析师可能能够探索与该事件相关的其他行为。例如，恶意注册表项通常伪装成合法项以避免检测（伪装[T1036]），这是一种防御规避[TA0005]战术。

选项3：从分析开始。检测分析（或检测规则）通常在SIEM平台内操作实现，该平台收集和汇总日志数据并执行分析，如关联和检测。分析试图通过分析一系列可观察事件（通常是一系列事件）来识别恶意对手活动，这些事件包含在一系列日志中，如VPN日志、Windows事件日志、IDS日志和防火墙日志。通过此分析，检测分析可能洞察其他数据源，这些数据源可能包含特定对手技术的工件。

    a. 许多组织分享他们的分析作为开源材料。这些包括：

        i. Sigma（SIEM的标准化规则语法）。Sigma规则包含检测计算机进程、命令和操作的逻辑。例如，有多个Sigma规则与检测凭据转储程序Mimikatz相关。单击此处查看一个检测凭据转储的Sigma规则示例，该示例在标签字段中包含相关的ATT&CK技术和子技术。

        ii. MITRE的网络分析存储库（CAR）。CAR是一个知识库，包含用于检测一组ATT&CK战术、技术和子技术的规则。单击此处查看CAR分析示例（CAR-2020-05-001：LSASS的MiniDump），该示例检测凭据转储的minidump变体，其中进程使用Win32 API调用MiniDumpWriteDump打开lsass.exe以提取凭据。  

        iii. 来自非系统帐户的LSASS访问。此基于行为的规则检测尝试访问LSASS进程的非特权进程——这是在系统上执行Mimikatz以收集凭据的关键步骤。单击此处查看此开源规则的GitHub条目，该条目映射到相关的ATT&CK战术、技术和子技术。

将MITRE ATT&CK映射到常见错误

从完整报告或原始技术数据映射到ATT&CK时，应谨慎避免常见错误。这些错误大致分为：

- 轻率下结论。根据不充分的证据或事实检查仓促决定映射。

    - 示例：在未首先确认HTTP/S协议的使用情况下，错误地将使用端口80/443的恶意软件映射到[T1071.001]。

- 错失机会。根据隐含或不明确的信息，没有考虑、不知道或忽略了其他潜在的技术映射。 

    - 示例：忽略所描述行为的潜在一对多映射，例如"对手通过外部VPN访问受害者环境"，直接映射到外部远程服务[T1133]，但如果有信息表明滥用了合法凭据，也可能暗示有效帐户[T1078]。

- 错误分类。由于误解、误读或对技术理解不足，特别是两种技术之间的区别，而选择了错误的技术。

    - 示例：在不了解正确映射到防御规避[TA0005]与影响[TA0040]战术的重要性的情况下，将恶意软件删除任意文件的能力错误地映射到数据破坏[T1485]，而不是指示器移除：文件删除[T1070.004]。

注意：应用MITRE ATT&CK映射和实施合理且可重复的分析过程并不能保证防止入侵或避免分析错误。有关帮助避免分析错误的具体最佳实践和提示，请参见表1至表3。表2显示了ATT&CK映射错误可能发生的时间，以及在映射过程的每个相关阶段的潜在纠正考虑因素。

表1：避免分析错误的指南

分析错误       指南

轻率下结论     检查报告细节和/或技术工件，然后将其与战术和技

                 术匹配。

                 - 如果有多个可能的技术与细节相对应，请验证相

                   关战术是否与技术一致，反之亦然。首先忽略那

                   些不精确匹配的技术。重复这个过程，直到只有

                   明确、最可能的匹配，或缺乏证据进行任何匹配。

                 - 如果技术工件（即原始数据）缺乏上下文，请收集

                   这些信息，直到有足够的证据进行初步匹配，然后

                   是正面匹配到一个过程和战术。请确保仅根据可

                   用信息映射到最精确的深度。

                 - 寻找潜在的子技术，或者如果没有匹配的子技术，

                   则选择相应的技术。

                 查看来自可靠来源的类似映射示例。

错失机会       尝试识别报告中可能被忽略的所有行为。注意分析

                 差距和剩余的更多信息请求。

错误分类       通过仔细阅读和理解看似相似但不同的技术之间的

                 细微差别，应用精确度。  

                 - 列出可能与活动匹配的技术。

                 - 查看说明

                 找到已应用这些技术的其他用例；然后比较。

表2：避免发生分析错误点的指南

分析错误   0.了解       1.找到行为    2.研究行为   3.识别战术     4.识别（子）技术

            ATT&CK

轻率下结论  在没有全面    识别错误的    选择错误的    在"跳跃"到    在"跳跃"到与

            检查行为或    战术可能发    技术可能发    与报告细节     报告细节或积

            工件的情况    生在"跳跃"   生在没有彻    或积累的工     累的工件不一

            下仓促决定    到与报告细    底研究、理    件不一致的     致的结论时，可

            TTP，会导致   节或积累的    解或误读行    结论时。       能会识别出错

            错误的映射    工件不一致    为和技术细                   误的技术。 

            和有缺陷的    的结论时。    节的情况下。

            最终产品。

错失机会    如果不了解    可能会忽略    了解行为如

             ATT&CK，就   报告中所有    何工作可能

             不会考虑其    适用行为的    突出其他潜

             他可能的映    识别。        在相关映射。

             射，因此会错                           

             过。

错误分类     如果不了解    可能会忽略    如果没有彻    误读和研究     如果不研究和

             ATT&CK，两   适用行为的    底研究和理    不足可能导     理解其他技术

             个相似但不    识别。        解行为和技    致错误使用     选项，就有可

             同技术之间                  术细节，选    ATT&CK搜      能映射错误的

             的区别可能                  择错误的技    索，从而导致    技术。

             导致不准确                  术就会发生。  错误识别战

             的映射。                                术。

偏见何时映射到MITRE ATT&CK

在报告生成过程中也可能存在偏见，影响对ATT&CK映射的后续分析。不同类型的偏见主要影响用于创建报告的数据。分析师在根据报告得出的ATT&CK映射做出结论和决策时，应考虑这些偏见。一些常见的例子包括：

- 新颖性偏见。新的和有趣的技术或新行为体使用的现有技术可能优先用于报告。

- 可见性偏见。发布报告的每个组织可能对某些技术有可见性，而对其他技术没有可见性。

- 制作者偏见。一些组织发布的报告要多得多，他们拥有的客户类型或可见性可能无法反映更广泛的网络安全社区。

- 受害者偏见。某些类型的受害者组织可能比其他组织更有可能报告（或被报告）。

- 可用性偏见。制作组织熟知的技术可能被更频繁地报告，因为报告作者会更经常想到包含它们。

在完整报告中呈现MITRE ATT&CK

完整报告应包括：

1. 作为叙述的一部分的ATT&CK TTP内联链接，用于标记ATT&CK TTP的存在。内联ATT&CK映射有助于读者理解活动。MITRE ATT&CK建议将技术ID链接在括号中，（例如，"攻击者通过网络钓鱼电子邮件[T1566.002]传递Trickbot"）。

2. 汇总ATT&CK表，用于识别ATT&CK技术标题、ID和用法（即程序细节）。分析师应在"使用"列中提供足够的信息，以便受众可以理解ATT&CK映射的理由，理想情况下，了解这对他们自己的组织意味着什么。摘要表允许读者快速扫描并识别关注或感兴趣的技术或子技术。在适当的情况下，MITRE ATT&CK还建议在表格的"建议"列中包含额外的上下文信息，以突出读者应实施的措施，以检测和/或缓解已识别的恶意网络活动。

3. ATT&CK Navigator可视化，用于编纂对手战术和技术。可视化可用于1）总结对手活动，2）突出对手特有的TTP，或3）比较多个对手TTP。有关如何使用Navigator的指南，请参阅MITRE的ATT&CK Navigator简介视频。

在链接到为已识别战术或技术准备的MITRE ATT&CK页面时，请使用：

- 永久链接，其中包括特定的ATT&CK框架版本，以将识别的MITRE TTP与分析时的定义相关联（例如，https：//attack.mitre.org/versions/v12/techniques/T1105/），以确保这些链接在ATT&CK版本更改时仍然有效。

- 在引用子技术时，引用相应的父技术。注意：当引用具有相同名称的子技术时，这尤其是一个好习惯。

附录A：资源 

以下链接提供了ATT&CK的有用资源：

- MITRE ATT&CK网站

- MITRE ATT&CK®：设计和理念，2020年3月修订 

    - 提供ATT&CK结构和ATT&CK目标的概述。

- ATT&CK入门（PDF版本）

- ATT&CK Navigator简介（视频）

- 将ATT&CK用于网络威胁情报。

- 使用基于ATT&CK的分析寻找网络威胁 

- ATT&CKcon演示文稿

- 企业版ATT&CK矩阵

    - 涵盖基于云的技术的企业版ATT&CK矩阵

    - 涵盖针对网络基础设施设备的技术的企业版ATT&CK矩阵

- 移动版ATT&CK矩阵 

- 工业控制系统（ICS）ATT&CK

- MITRE ATT&CK博客（宣布版本更新）

- @MITREattack Twitter（宣布网络研讨会）

- ATT&CK培训课程

    - MITRE ATT&CK Defender （MAD）计划（免费培训和付费认证）

附录B：映射到ICS的ATT&CK

与ATT&CK知识库的其他应用一样，ICS ATT&CK知识库的成功应用应产生一组准确一致的映射，分析师可以在以下方面使用这些映射：

- 制定对手简介。

- 进行活动趋势分析。

- 增强检测、响应和缓解报告。

在映射到ICS ATT&CK知识库时，分析师应考虑各种ICS技术领域建议。首先，分析师应记住，与ATT&CK生态系统中的其他知识库相比，该知识库具有高度抽象性。ICS技术领域集合包括关键基础设施部门、工业流程、资产、通信协议等的多样性。知识库作者在一个抽象级别上编写了ICS技术描述，考虑了这种多样性。因此，分析师在报告中映射到ICS ATT&CK时非常重要的是包括相关的程序示例细节和上下文。这些细节和上下文将对关注该领域的威胁猎手、对手模拟者和检测工程师很有用。 

其次，分析师应查看以下建议，这些建议解决了MITRE ATT&CK在映射到ICS ATT&CK的报告中观察到的常见错误。

1. 结合利用ATT&CK知识库来表示对手行为的全部范围。尽管ICS ATT&CK知识库包含有效解释对ICS（如可编程逻辑控制器（PLC）和其他嵌入式系统）的威胁的TTP，但它在设计上并不包括与运行在类似于企业IT资产的操作系统、协议和应用程序上的操作技术资产相关的全面技术集。ATT&CK for ICS依赖于ATT&CK for Enterprise对影响这些资产的对手行为进行分类。

2. 提供描述对手如何开发能力的实施细节，包括：

    a. 能力利用的网络协议和相关的请求/响应序列。

    b. 对手如何实现功能。例如，对手是使用供应商软件、开源软件、自定义协议实现，还是使用供应商库/DLL作为自定义二进制文件的一部分？包括这个级别的细节可以帮助检测和缓解方法。

3. 注意情报中的差距以及差距发生的原因。很多时候，情报报告和取证工件可能不包括所有相关信息供分析师对对手行为进行完整的ATT&CK映射。这在ICS攻击中很常见，资产所有者可能不愿意共享信息，或者可能没有部署全面的监控能力。分析师应在映射到ATT&CK的报告中明确说明这些情报差距以及产生差距的原因。提供这些细节可以帮助防御者意识到映射是不完整的，以及在资产所有者基础架构中纳入额外或更全面的防御技术可以弥补差距。

4. 提供受影响部门、工业流程和技术的背景信息。额外的背景可以为防御者提供有价值的上下文，了解对手行为是否适用或是否可以相对容易地移植到相关基础设施。关于对部门和工业流程影响的背景信息可以帮助防御者了解对手意图，以及能力是否可能在相关环境中产生类似影响。同样，受影响技术的细节可以帮助防御者评估其环境中是否存在类似功能的技术。

5. 显示对手在何处执行ATT&CK技术。技术名称和描述提供了关于对手可能通过利用某些行为获得什么以及如何（以及针对哪些资产）执行技术的上下文。然而，技术并未涵盖资产所有者可能实施的所有配置，因此在映射到ICS ATT&CK的报告中，捕获对手在环境中执行技术的位置以及针对哪些资产执行技术非常重要。基于对手使用技术的位置以及针对哪些资产使用技术对对手能力进行逻辑分离，可以帮助防御者了解应该将注意力集中在哪里。这些信息还可以帮助防御者了解对手执行技术的最可能路径、收集用于检测行为的适当数据源，以及可以应用于相关资产和通信通道的缓解措施。

参考资料：

Best Practices for MITRE ATT&CK ® Mapping