目前防守应急把ATT&CK融进去容易落地吗

大多数防守或应急,遇到安全事件目前常见的报告写法有两种,一种是发现什么了写什么,按照排查项checklist排查,至于没发现的反正该查的我都查了,能力就这样别的也整不出来也就这样了,另一种就是PDCERF,准备,确认,遏制,根除,恢复,跟踪,大多数人也就只能搞定遏制,根除,这种个人感觉更偏向于形而上的报告或者叫应急,在技术层面真的不能说是很好,最明显的问题就是,我们明明前几天去做的应急,过了一个月,就接到被勒索了,,,,太深有体会了
目前在做相关研究,有些疑惑,大佬们可以讨论一下子


服务器资源由ZeptoVM赞助

Partners Wiki IRC