Diamond Model d'analyse d'intrusion
Qu'est-ce que Diamond Model d'analyse d'intrusion ?
Diamond Model d'analyse d'intrusionCadre d'analyse d'intrusion qui relie chaque événement malveillant à quatre sommets : adversaire, capacité, infrastructure et victime.
Le Diamond Model d'analyse d'intrusion, introduit par Caltagirone, Pendergast et Betz en 2013, représente chaque événement malveillant comme un diamant reliant quatre features : Adversaire, Capacité (outils, malware, TTPs), Infrastructure (IP, domaines, C2) et Victime. Des méta-features (horodatage, phase, résultat, direction, méthodologie, ressources) enrichissent chaque événement. Les analystes pivotent entre les sommets pour énumérer l'activité connexe : par exemple d'un domaine vers d'autres domaines enregistrés par le même adversaire, ou d'un hash de capacité vers d'autres victimes. Le modèle complète MITRE ATT&CK et la Cyber Kill Chain en explicitant les relations, et il est largement utilisé dans les plateformes de threat intelligence, les rapports d'analyse d'intrusion et les workflows de pivot structurés.
● Exemples
- 01
Pivoter depuis un échantillon de malware (capacité) vers un domaine enregistré (infrastructure) pour cartographier une campagne plus large.
- 02
Relier plusieurs incidents au même cluster Adversaire grâce à des TTPs partagés et à la victimologie.
● Questions fréquentes
Qu'est-ce que Diamond Model d'analyse d'intrusion ?
Cadre d'analyse d'intrusion qui relie chaque événement malveillant à quatre sommets : adversaire, capacité, infrastructure et victime. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Diamond Model d'analyse d'intrusion ?
Cadre d'analyse d'intrusion qui relie chaque événement malveillant à quatre sommets : adversaire, capacité, infrastructure et victime.
Comment se défendre contre Diamond Model d'analyse d'intrusion ?
Les défenses contre Diamond Model d'analyse d'intrusion combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.