Diamond Model de Análise de Intrusões
O que é Diamond Model de Análise de Intrusões?
Diamond Model de Análise de IntrusõesFramework de análise de intrusões que liga cada evento malicioso a quatro vértices: adversário, capacidade, infraestrutura e vítima.
O Diamond Model de Análise de Intrusões, apresentado por Caltagirone, Pendergast e Betz em 2013, representa cada evento malicioso como um diamante que liga quatro elementos: Adversário, Capacidade (ferramentas, malware, TTPs), Infraestrutura (IPs, domínios, C2) e Vítima. Meta-características como timestamp, fase, resultado, direção, metodologia e recursos enriquecem cada evento. Os analistas pivotam entre os vértices para enumerar atividade relacionada — por exemplo, de um domínio para outros registados pelo mesmo adversário, ou de um hash de capacidade para outras vítimas. O modelo complementa o MITRE ATT&CK e a Cyber Kill Chain ao explicitar relações, sendo amplamente usado em plataformas de threat intelligence, relatórios de análise de intrusões e fluxos de pivot estruturado.
● Exemplos
- 01
Pivotar de uma amostra de malware (capacidade) para um domínio registado (infraestrutura) para mapear uma campanha mais ampla.
- 02
Ligar vários incidentes ao mesmo cluster Adversário com base em TTPs partilhados e vitimologia.
● Perguntas frequentes
O que é Diamond Model de Análise de Intrusões?
Framework de análise de intrusões que liga cada evento malicioso a quatro vértices: adversário, capacidade, infraestrutura e vítima. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Diamond Model de Análise de Intrusões?
Framework de análise de intrusões que liga cada evento malicioso a quatro vértices: adversário, capacidade, infraestrutura e vítima.
Como se defender contra Diamond Model de Análise de Intrusões?
As defesas contra Diamond Model de Análise de Intrusões costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.