鑽石芯鑽機模型如何使用

3. 第三章入侵的鑽石模型分析

本章總結了鑽石模型技術報告，該報告描述了一個豐富而復雜的模型，揭示了分析和威脅緩解的重要意義。圖1為入侵分析的Diamond模型。一個事件展示了每個惡意活動的核心特性:對手、受害者、能力和基礎設施。這些特徵是基於它們潛在的關系而聯系在一起的。– Sergio Caltagirone

Diamond模型提出了一個由分析人員根據多年經驗構建的入侵分析的新概念，並提出了一個簡單的問題:「我們工作的基本方法是什麼?」該模型建立了任何入侵活動的基本原子元素，即事件，由四個核心特徵組成:對手、基礎設施、能力和受害者。

這些特徵是邊緣連接的，代表了它們的基本關系，並排列成鑽石的形狀，這就給了模型一個名字:鑽石模型。它進一步定義了額外的元特性來支持更高級的構造，比如將事件鏈接到活動線程中，並進一步將事件和線程合並到活動組中。

這些元素、事件、線程和組都有助於圍繞分析過程構建入侵活動的基礎和綜合模型。它捕獲了入侵分析和對手操作的基本概念，同時允許模型可擴展性擴展並包含新的思想和概念。

該模型首次建立了一種正式的方法，將科學原理應用於入侵分析——特別是那些度量、可測試性和可重復性的原則——從而提供了一種全面的活動記錄、綜合和關聯方法。

這種科學的方法和簡單性提高了分析的有效性、效率和准確性。最終，該模型為網路防禦提供了實時集成情報、事件間自動關聯、將有置信度的事件分類到對手戰役、在規劃和游戲緩解策略時預測對手的行動提供了機會。

一、鑽石模型的好處

•啟用上下文豐富和關系豐富的指標，改善網路威脅情報共享，增加指標的適用性范圍

•通過活動攻擊圖集成信息保障和網路威脅情報

•通過更容易地識別支點機會和生成新的分析問題的簡單概念方法，提高分析效率和有效性

•通過支持假設生成、文檔編制和測試，從而提高分析的准確性，從而使分析過程更加嚴格

•通過與幾乎所有規劃框架的輕松集成，支持行動開發、規劃/博弈和緩解策略

•通過形式化第一個原則來加強網路分析技術的發展，在此基礎上可以探索新的概念

•通過基於階段的方法和將外部資源需求作為基本元功能來識別情報差距

•通過將分析過程映射到易於理解的分類和入侵檢測研究，支持實時事件表徵

•建立網路活動本體、分類、網路威脅情報共享協議和知識管理的基礎

二、理解威脅狩獵/IR中的鑽石模型

作為一個威脅獵人或事件響應者，我們試圖了解我們所保護的網路中的威脅是什麼。我們試圖回答圍繞diamond模型的核心組件的問題:對手、受害者、能力和基礎設施。這允許我們通過使用分析概念從根本上詳細描述惡意活動的各個方面，並更好地了解誰、什麼、為什麼以及如何進行。讓我們把核心組件分解成一些與獵人或防禦者相關的東西。

對手

傳統上，這是用來分類某些APT群體，但我們可以認為這是誰背後的壞人活動。例如電子郵件、地址、句柄和電話號碼。

能力

這些是對手實現其目標的方法或能力。例如惡意軟體(定製或商品)、利用、使用的工具甚至使用的命令，以及命令和控制基礎結構。

基礎設施

我們的目標是回答對手如何完成對我們網路的攻擊或行動。其中一些示例包括IP地址、域名和電子郵件地址。在大多數攻擊情況下，我們想知道這些實體是如何被擁有的(受攻擊的第三方或實際的攻擊者)，但這可能被證明是非常困難的。

受害者

這些信息包括網路資產、電子郵件地址、被攻擊的人以及參與攻擊的數據。

如圖2所示，理想情況下，我們希望使用Lockheed Martin Kill鏈將特定事件鏈接在一起(稱為活動線程)，以啟用某些活動的分組。這里的目標是在活動線程之間的Kill鏈中的事件之間建立鏈接關系。

4. 如何在3D Max中建立鑽石模型（不用CAD建模）

1.創建兩個圓錐體，取消平滑，作為鑽石模型上下兩部分。