Diamond Model of Intrusion Analysis
Was ist Diamond Model of Intrusion Analysis?
Diamond Model of Intrusion AnalysisAnalyse-Framework, das jedes bösartige Ereignis mit vier Knoten verbindet: Adversary, Capability, Infrastructure und Victim.
Das Diamond Model of Intrusion Analysis, 2013 von Caltagirone, Pendergast und Betz veröffentlicht, beschreibt jedes bösartige Ereignis als Diamant aus vier zentralen Features: Adversary, Capability (Tools, Malware, TTPs), Infrastructure (IPs, Domains, C2) und Victim. Meta-Features wie Zeitstempel, Phase, Ergebnis, Richtung, Methodik und Ressourcen reichern jedes Ereignis an. Analysten pivotieren zwischen den Knoten, um verwandte Aktivitäten aufzudecken – etwa von einer Domain zu anderen Domains desselben Angreifers oder von einem Capability-Hash zu weiteren Opfern. Das Modell ergänzt MITRE ATT&CK und die Cyber Kill Chain durch eine explizite Relationssicht und ist in Threat-Intelligence-Plattformen, Analyseberichten und strukturierten Pivot-Workflows weit verbreitet.
● Beispiele
- 01
Pivotieren von einem Malware-Sample (Capability) zu einer registrierten Domain (Infrastructure), um eine größere Kampagne zu kartieren.
- 02
Verknüpfen mehrerer Vorfälle mit demselben Adversary-Cluster über gemeinsame TTPs und Viktimologie.
● Häufige Fragen
Was ist Diamond Model of Intrusion Analysis?
Analyse-Framework, das jedes bösartige Ereignis mit vier Knoten verbindet: Adversary, Capability, Infrastructure und Victim. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Diamond Model of Intrusion Analysis?
Analyse-Framework, das jedes bösartige Ereignis mit vier Knoten verbindet: Adversary, Capability, Infrastructure und Victim.
Wie funktioniert Diamond Model of Intrusion Analysis?
Das Diamond Model of Intrusion Analysis, 2013 von Caltagirone, Pendergast und Betz veröffentlicht, beschreibt jedes bösartige Ereignis als Diamant aus vier zentralen Features: Adversary, Capability (Tools, Malware, TTPs), Infrastructure (IPs, Domains, C2) und Victim. Meta-Features wie Zeitstempel, Phase, Ergebnis, Richtung, Methodik und Ressourcen reichern jedes Ereignis an. Analysten pivotieren zwischen den Knoten, um verwandte Aktivitäten aufzudecken – etwa von einer Domain zu anderen Domains desselben Angreifers oder von einem Capability-Hash zu weiteren Opfern. Das Modell ergänzt MITRE ATT&CK und die Cyber Kill Chain durch eine explizite Relationssicht und ist in Threat-Intelligence-Plattformen, Analyseberichten und strukturierten Pivot-Workflows weit verbreitet.
Wie schützt man sich gegen Diamond Model of Intrusion Analysis?
Schutzmaßnahmen gegen Diamond Model of Intrusion Analysis kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
● Verwandte Begriffe
- defense-ops№ 265
Cyber Kill Chain
Siebenstufiges Modell von Lockheed Martin, das den Ablauf eines gezielten Angriffs von der Aufklärung bis zu den Aktionen am Ziel beschreibt.
- compliance№ 687
MITRE ATT&CK
Global zugängliche, von MITRE gepflegte Wissensdatenbank über Taktiken und Techniken realer Angreifer.
- defense-ops№ 266
Cyber Threat Intelligence (CTI)
Evidenzbasiertes Wissen über Angreifer, ihre Motivationen und Methoden, das defensive Entscheidungen unterstützt und Kontrollen priorisiert.
- defense-ops№ 1131
Tactics, Techniques and Procedures (TTPs)
Geschichtete Beschreibung der Arbeitsweise eines Bedrohungsakteurs: Taktiken (das Warum), Techniken (das Wie) und Procedures (die konkrete Umsetzung).
- defense-ops№ 527
Indicator of Compromise (IoC)
Ein beobachtbares Artefakt – etwa ein Datei-Hash, IP, Domain, URL oder Registry-Schlüssel – das auf eine erfolgte oder laufende Kompromittierung hinweist.
- defense-ops№ 057
APT-Gruppe
Benannter, verfolgter (meist staatlich gefoerderter) Bedrohungsakteur, der gezielte, langfristige und gut ausgestattete Intrusionskampagnen gegen bestimmte Organisationen fuehrt.
● Siehe auch
- № 1201VERIS-Framework