Diamond Model d'analyse d'intrusion
Qu'est-ce que Diamond Model d'analyse d'intrusion ?
Diamond Model d'analyse d'intrusionCadre d'analyse d'intrusion qui relie chaque événement malveillant à quatre sommets : adversaire, capacité, infrastructure et victime.
Le Diamond Model d'analyse d'intrusion, introduit par Caltagirone, Pendergast et Betz en 2013, représente chaque événement malveillant comme un diamant reliant quatre features : Adversaire, Capacité (outils, malware, TTPs), Infrastructure (IP, domaines, C2) et Victime. Des méta-features (horodatage, phase, résultat, direction, méthodologie, ressources) enrichissent chaque événement. Les analystes pivotent entre les sommets pour énumérer l'activité connexe : par exemple d'un domaine vers d'autres domaines enregistrés par le même adversaire, ou d'un hash de capacité vers d'autres victimes. Le modèle complète MITRE ATT&CK et la Cyber Kill Chain en explicitant les relations, et il est largement utilisé dans les plateformes de threat intelligence, les rapports d'analyse d'intrusion et les workflows de pivot structurés.
● Exemples
- 01
Pivoter depuis un échantillon de malware (capacité) vers un domaine enregistré (infrastructure) pour cartographier une campagne plus large.
- 02
Relier plusieurs incidents au même cluster Adversaire grâce à des TTPs partagés et à la victimologie.
● Questions fréquentes
Qu'est-ce que Diamond Model d'analyse d'intrusion ?
Cadre d'analyse d'intrusion qui relie chaque événement malveillant à quatre sommets : adversaire, capacité, infrastructure et victime. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Diamond Model d'analyse d'intrusion ?
Cadre d'analyse d'intrusion qui relie chaque événement malveillant à quatre sommets : adversaire, capacité, infrastructure et victime.
Comment fonctionne Diamond Model d'analyse d'intrusion ?
Le Diamond Model d'analyse d'intrusion, introduit par Caltagirone, Pendergast et Betz en 2013, représente chaque événement malveillant comme un diamant reliant quatre features : Adversaire, Capacité (outils, malware, TTPs), Infrastructure (IP, domaines, C2) et Victime. Des méta-features (horodatage, phase, résultat, direction, méthodologie, ressources) enrichissent chaque événement. Les analystes pivotent entre les sommets pour énumérer l'activité connexe : par exemple d'un domaine vers d'autres domaines enregistrés par le même adversaire, ou d'un hash de capacité vers d'autres victimes. Le modèle complète MITRE ATT&CK et la Cyber Kill Chain en explicitant les relations, et il est largement utilisé dans les plateformes de threat intelligence, les rapports d'analyse d'intrusion et les workflows de pivot structurés.
Comment se défendre contre Diamond Model d'analyse d'intrusion ?
Les défenses contre Diamond Model d'analyse d'intrusion combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
● Termes liés
- defense-ops№ 265
Cyber Kill Chain
Modèle en sept étapes de Lockheed Martin décrivant la progression d'une intrusion ciblée, de la reconnaissance aux actions sur objectif.
- compliance№ 687
MITRE ATT&CK
Base de connaissances mondiale et ouverte sur les tactiques et techniques d'attaque observées dans la réalité, maintenue par MITRE.
- defense-ops№ 266
Renseignement sur les Menaces (CTI)
Connaissance fondée sur des preuves au sujet des adversaires, de leurs motivations et de leurs méthodes, utilisée pour orienter les décisions défensives et prioriser les contrôles.
- defense-ops№ 1131
Tactiques, Techniques et Procédures (TTP)
Description en couches de la manière dont un acteur opère : tactiques (le pourquoi), techniques (le comment) et procédures (la mise en œuvre concrète).
- defense-ops№ 527
Indicateur de Compromission (IoC)
Artefact observable — hash, IP, domaine, URL, clé de registre — qui suggère qu'un système est ou a été compromis.
- defense-ops№ 057
Groupe APT
Acteur de menace nomme et suivi (habituellement soutenu par un Etat) menant des campagnes ciblees, longues et bien dotees contre des organisations ou des secteurs precis.
● Voir aussi
- № 1201Framework VERIS