序号 ATT&CK 攻击技术 防守方机会空间 AD 防御技术 实践用例 1 T1001 - 数据混淆 可以检测到攻击活动使用了混淆技术。 DTE0028 - PCAP 收集 防守方可以捕获失陷系统的网络流量，并寻找可能表示数据混淆的异常网络流量。 2 T1001 - 数据混淆 可以发现攻击者试图隐藏数据，避免让防守方发现。 DTE0031 - 协议解码器 防守方可以开发协议解码器，解密网络捕获数据并公开攻击者的命令与控制流量及其渗透活动。 3 T1003 - OS 凭据转储可以部署绊索，当攻击者接触到网络资源或使用特定技术时就会触 发警报。DTE0012 - 凭据诱饵防守方可以在系统的各个位置布置诱饵骗凭据，并建立警报，如果攻击者获取了凭据并尝试使用这些凭 据，则将触发警报。 4 T1005 - 从本地系统收集敏感数据在对抗交战场景下，可以通过确保本地系统存储着大量内容来增强 真实性。DTE0030 - 文件诱饵 防守方可以部署各种文件诱饵，提高本地系统的真实性。 5 T1005 - 从本地系统收集敏感数据在对抗交战场景下，可以提供有关各种主题的内容，查看哪些类型 的信息会引起攻击者的兴趣。DTE0030 - 文件诱饵 防守方可以部署各种文件诱饵，确定攻击者是否对特定文件类型、主题等感兴趣。 6 T1006 - 直接访问卷防守方可以观察攻击者并控制他们可以看到哪些东西、可以产生什 么影响和 /或可以访问哪些数据。DTE0036 - 软件修改、监控防守方可以使用与直接存取卷相关的 API调用，查看正在进行什么活动、正在传输什么数据，或影响该 API 的调用功能。 7 T1007 - 发现系统服务防守方可以观察攻击者并控制他们可以看到哪些东西、可以产生什 么影响和 /或可以访问哪些数据。DTE0003 - API 监控 防守方可以监控和分析操作系统的功能调用，以进行检测和报警。 8 T1007 - 发现系统服务防守方可以观察攻击者并控制他们可以看到哪些东西、可以产生什 么影响和 /或可以访问哪些数据。DTE0036 - 软件修改、监控 防守方可以修改命令，显示攻击者希望在系统上看到的服务，或向他们显示其意料之外的服务。 9 T1008 - 备用通信信道可以修改网络，允许 /拒绝某些类型的流量，对网络流量进行降级 或以其他方式影响攻击者的活动。DTE0026 - 网络变换防守方可以识别并拦截特定的攻击命令和控制（ C2）流量，查看攻击者的响应方式，这可能会让攻击者暴 露其他 C2信息。 10 T1010 - 应用程序窗口发现可以为攻击者提供各种应用程序，这样在攻击者进行发现任务时， 防守方就可以发现完整信息。DTE0004 - 应用仿真在对抗交战场景下，防守方可以打开并使用系统上安装的应用程序的任何特定子集，控制在什么时间点向 攻击者提供什么内容。 11 T1011 - 其他网络介质的数据渗漏在对抗交战场景下，可以实施安全控制措施，这有助于在长期交战 中实现防御目标。DTE0032 - 安全控制措施 防守方可以阻止攻击者启用 Wi-Fi或蓝牙接口，防止其连接到周围的接入点或设备并用于数据渗出。 12 T1012 - 查询注册表防守方可以观察攻击者并控制他们可以看到哪些东西、可以产生什 么影响和 /或可以访问哪些数据。DTE0011 - 诱饵 防守方可以创建注册表对象诱饵，并使用 Windows 注册表审计来监控对这些注册表对象的访问情况。 13 T1014 - Rootkit 可以阻止攻击者的计划行动，并迫使他们暴露其他 TTP。 DTE0001 - 管理员访问权限 防守方可以删除管理员访问权限，迫使攻击者执行权限升级来安装 Rootkit。 14 T1014 - Rootkit在对抗交战场景下，可以采取安全控制措施，让攻击者完成一个任 务并扩大交战范围。DTE0032 - 安全控制措施 在对抗交战场景下，防守方可以确保，通过安全控制措施，不受信代码旨在一个系统上执行。 15 T1016 - 系统网络配置发现 可以影响攻击者，引导其转向你希望与他们交战的系统上来。 DTE0011 - 诱饵 防守方可以创建面包屑或蜜标，诱使攻击者使用系统诱饵或网络服务。 16 T1018 - 远程系统发现防守方可以观察攻击者并控制他们可以看到哪些东西、可以产生什 么影响和 /或可以访问哪些数据。DTE0036 - 软件修改、监控防守方可以更改远控命令的输出，隐藏您不想受到攻击的模拟元素，并提供您希望与攻击者开战的模拟元 素。 17 T1018 - 远程系统发现在对抗交战场景下，可以通过确保系统诱饵中都是攻击者期望在侦 察过程中看到的信息来提高真实性。DTE0011 - 诱饵 防守方可以在系统诱饵的 ARP缓存表、主机文件等中创建条目，提高设备的真实性。 18 T1020 - 自动化数据渗出 可以收集网络数据并分析其中包含的攻击者活动。 DTE0028 - PCAP 收集收集所有网络流量的完整数据包捕获信息后，您可以查看通过网络连接发生了什么情况，并确定命令和控 制流量和 /或数据渗出活动。 19 T1020 - 自动化数据渗出 可以发现攻击者试图隐藏数据，避免让防守方发现。 DTE0031 - 协议解码器 防守方可以开发协议解码器，解密网络捕获数据并公开攻击者的命令与控制流量及其渗透活动。 20 T1021 - 远程服务可以通过网络流量的监控，确定不同协议、异常流量模式、数据传 输等，确定是否存在攻击者。DTE0027 - 网络监控防守方可以对异常的流量模式、大量或意外的数据传输以及可能显示存在攻击者的其他活动进行网络监控 并发出报警。 21 T1021 - 远程服务在对抗交战场景下，可以引入系统诱饵，从而影响攻击者的行为或 让您观察他们是如何执行特定任务的。DTE0017 - 系统诱饵防守方可以部署一个运行远程服务的系统诱饵（例如 telnet、SSH和VNC），并查看攻击者是否尝试登录 该服务。 22 T1025 - 来自可移动介质的数据在对抗交战场景下，可以通过部署内容来影响攻击者的行为，测试 他们对特定主题的兴趣或提高系统或环境的真实性。DTE0030 - 文件诱饵防守方可以在附加存储空间中部署各种文件诱饵。数据可能包括与特定人物角色相匹配的主题、攻击者感 兴趣的主题等。 23 T1025 - 来自可移动介质的数据在对抗交战场景下，可以提供有关各种主题的内容，查看哪些类型 的信息会引起攻击者的兴趣。DTE0030 - 文件诱饵 防守方可以部署各种文件诱饵，确定攻击者是否对特定文件类型、主题等感兴趣。 24 T1027 - 混淆的文件或信息在对抗交战场景下，可以引入系统诱饵，从而影响攻击者的行为或 让您观察他们是如何执行特定任务的。DTE0017 - 系统诱饵 防守方可以部署系统诱饵来研究攻击者如何以及何时混淆文件并隐藏信息。 25 T1029 - 计划传输可以通过网络流量的监控，确定不同协议、异常流量模式、数据传 输等，确定是否存在攻击者。DTE0027 - 网络监控防守方可以对异常的流量模式、大量或意外的数据传输以及可能显示存在攻击者的其他活动进行网络监控 并发出报警。 26 T1030 - 限制数据传输大小 可以收集网络数据并分析其中包含的攻击者活动。 DTE0028 - PCAP 收集收集所有网络流量的完整数据包捕获信息后，您可以查看通过网络连接发生了什么情况，并确定命令和控 制流量和 /或数据渗出活动。 27 T1030 - 限制数据传输大小 可以使用工具和控件来阻止攻击者的活动。 DTE0031 - 协议解码器 防守方可以开发协议解码器，解密网络捕获数据并公开攻击者的命令与控制流量及其渗透活动。 28 T1033 - 发现系统所有者 /用户防守方可以观察攻击者并控制他们可以看到哪些东西、可以产生什 么影响和 /或可以访问哪些数据。DTE0036 - 软件修改、监控 防守方可以通过修改或替换展示系统用户的常用命令来影响攻击者的活动。 29 T1036 - 伪装 可以通过识别和警告异常行为，检测是否存在攻击者。 DTE0007 - 行为分析 防守方可以在非标准位置或正在创建异常进程或连接的文件中查找已知文件。30 T1037 - 登录脚本可以利用登录脚本的完好副本并经常进行恢复还原，防止攻击者反 复使用这些脚本来启动恶意软件。DTE0006 - 基线 防守方可以频繁重复地将系统还原到经过验证的基线，消除攻击者的持久化机制。 31 T1039 - 网络共享驱动器中的数据在对抗交战场景下，可以通过部署内容来影响攻击者的行为，测试 他们对特定主题的兴趣或提高系统或环境的真实性。DTE0030 - 文件诱饵防守方可以在附加存储空间中部署各种文件诱饵。数据可能包括与特定人物角色相匹配的主题、攻击者感 兴趣的主题等。 32 T1039 - 网络共享驱动器中的数据在对抗交战场景下，可以提供有关各种主题的内容，查看哪些类型 的信息会引起攻击者的兴趣。DTE0030 - 文件诱饵 防守方可以部署各种文件诱饵，确定攻击者是否对特定文件类型、主题等感兴趣。 33 T1040 - 网络嗅探防守方可以观察攻击者并控制他们可以看到哪些东西、可以产生什 么影响和 /或可以访问哪些数据。DTE0036 - 软件修改、监控通过更改通常在系统上找到的网络嗅探程序的输出结果，可以防止攻击者看到特定内容或防止攻击者使用 结果。 34 T1040 - 网络嗅探可以向攻击者展示诱饵进程，以影响其行为，测试其兴趣或提高系 统或环境的真实性。DTE0016 - 进程诱饵防守方可以在真实系统上运行进程，创建