https://car.mitre.org/data_model/data_model_with_sensors 一、数据模型
数据模型受到CybOX的强烈启发,是一种对象组织,可以从基于主机或基于网络的角度进行监视。每个对象都可以通过两个维度来标识:它的动作和字段。当配对在一起时,三元组(对象、动作、字段)充当一个坐标,并描述对象的哪些属性和状态变化可以被传感器捕获。
二、总览
1、驱动
2、文件
3、流
4、模块
5、进程
6、注册表
7、服务
8、线程
9、用户会话
三、什么是数据模型?
1、对象
在数据模型中,对象很像计算机科学中的对象。这些是数据实际表示的项,如主机、文件、连接等。对象是数据模型词汇表的名词。
2、动作
动作是指发生在对象上的状态更改或事件,例如对象的创建、销毁或修改。这些动作描述了一个对象可以做什么,以及一个对象可以发生什么。然而,在某些情况下,传感器并不监视对象中的动作,而只是扫描和检查对象的存在。每个动作都在一个覆盖矩阵(2D表格)中表示。动作在y轴上。
3、字段
字段是指对象的可观察属性。这些属性可能包含标志、标识符、数据元素,甚至对其他对象的引用。在词汇方面,字段类似于形容词。它们描述了一个对象的属性。传感器监视对象上下文中的字段,并以某种形式的结构化数据输出这些字段。一旦将数据输入到SIEM中,就可以通过对一个或多个对象施加限制或模式来查询日志,例如在分析中。覆盖矩阵字段位于x轴上。
4、覆盖范围
为了评估传感器相对于分析的有用性,必须将其输出映射到数据模型中。对于传感器测量的每个对象,它都会捕获状态。一些传感器定期扫描对象,而不是监视状态变化。在这些情况下,可以通过查找对象属性中的更改来推断状态。
这里是数据模型覆盖率的总结。
四、带有传感器的数据模型
CybOX强烈地激发了数据模型的灵感,它是可以从基于主机或基于网络的角度进行监视的对象的组织。每个对象都可以通过两个维度来标识:其操作和字段。当配对在一起时,三元组(对象、动作、字段)充当一个坐标,并描述对象的哪些属性和状态变化可以被传感器捕获。
比较数据模型在分析中对ATT&CK的使用。
1、驱动
2、文件
3、流
4、模块
5、进程
6、注册表
7、服务
8、线程
9、用户会话