在了解“检测分析”这个场景之前，需要先知道黑客是如何攻击目标组织机构的，以及组织机构应该如何利用ATT&CK知识情报去加强防御。根据组织机构自身安全团队的完整性以及所能够获取的数据源信息，检测分析场景也可以分为从Level 1到Level 3的三个级别。

基于ATT&CK框架进行检测分析，与传统检测方式有所不同，它并不是在识别已知的恶意行为后进行阻断，而是收集系统上的事件日志和事件数据，然后使用这些数据来识别这些行为是否是ATT&CK中所描述的可疑行为。

因此，对于处于Level 1阶段的组织机构而言，使用ATT&CK进行检测分析的第一步，就是了解组织机构拥有哪些数据以及检索数据的能力。毕竟，要找到可疑的行为，需要能够看到系统上发生了什么。一种方法是查看每个ATT&CK技术列出的数据源。通过这些数据源信息可以知道，需要收集哪些类型的数据才能检测到相应的技术。换句话说，这些数据源信息可以指导组织机构收集哪些类型的信息。

收集到相关数据之后，可以将数据导入类似SIEM这样的管理平台，然后进行详细分析。在具体实操之前，也可以参照一些成功案例，例如ATT&CK CAR项目。欲了解详细信息，可阅读《ATT&CK框架实践指南》。在每一个CAR项目底端都有对应的伪代码，只需要将这些伪代码转换成SIEM代码就可以获得检测结果。如果不习惯这样做，可以使用ATT&CK一个名为Sigma的开源工具及其规则库来完成转化。

在完成上述基础分析并返回结果之后，还需要筛查误报。虽然做不到零误报，但是也要尽量实现精准，这样后期才能更好地发现恶意行为。在降低分析方案的误报率后，一旦触发报警就在SOC中创建一个工单，或者将其添加到分析库中用于手动威胁狩猎。

Level 2级别的组织机构已经建立基本的安全分析团队，可以自己制定分析方案，扩大ATT&CK的技术覆盖范围。当然这需要了解攻击者是如何攻击的，以及与哪些数据源有关。例如，假设针对Regsvr32没有很好的检测方案。虽然ATT&CK已经列出了几种不同维度的检测方法，但是想要通过一份分析方案就能完全覆盖这几个不同维度显然是不现实的，而更应该专注于一个维度进行检测，避免了重复造轮子的情况。

即便知道攻击者是如何攻击的，安全人员也需要复现整个攻击过程，才能知道检测时需要去查看哪些日志。当然，这里有一个比较好用的办法——使用开源项目Atomic Red Team。该项目基于ATT&CK框架的红队内容，可以直接用来分析测试。如果组织机构已经有红队了，那么就可以自由运行或者复现这些攻击事件，然后尝试对这些攻击进行分析。当然在这个过程中需要查看SIEM，以了解过程中生产了哪些日志数据。

攻击者会绕过防御，基于ATT&CK框架的检测分析策略也可能被绕过。对于Level 3级别的组织机构，防绕过的最佳办法就是直接进行红蓝对抗。蓝队负责构建检测分析，红队负责模拟攻击，并且根据真实技术和威胁情报执行攻击和绕过。当组织机构已经有一些针对凭证获取的检测策略（例如编写了分析方案来检测mimikatz.exe）时，紫队将检测分析内容共享给红队，观察红队是否能够实施攻击并且绕过检测防御。如果检测被绕过，蓝队将更新检测策略，紫队继续将信息同步给红队，红队继续执行攻击和绕过。这种反复迭代的活动被称为“紫队活动”。这是一个快速提高检测分析质量的好方法，因为它衡量的是检测攻击者实际攻击的能力。

针对那些需要重点关注的攻击技术，可以通过这种红蓝紫队活动来覆盖ATT&CK中尽可能多的攻击技术。

针对检测分析这个场景，在具体实践时可以选择以下几个开源项目。

— CAR：MITRE的一个分析库。

— EQL：Endgame开源分析库。

— Sigma：一个SIEM的特征库格式项目。

— ThreatHunter Playbook：在日志数据中查找ATT&CK技术的存储库。

— Atomic Red Team：Red Canary开发的红队测试库。

Detection Lab：一组脚本，用来建立一个简单实验室来测试Chris Long的分析。