CAR 데이터 모델

https://car.mitre.org/data_model/data_model_with_sensors

1. 데이터 모델

데이터 모델은 CybOX에서 크게 영감을 받았으며 객체입니다. . 조직은 호스트 기반 또는 네트워크 기반 관점에서 모니터링할 수 있습니다. 각 개체는 작업과 필드라는 두 가지 차원으로 식별할 수 있습니다. 함께 쌍을 이루면 삼중항(객체, 동작, 필드)이 좌표 역할을 하며 센서가 객체의 어떤 속성과 상태 변화를 캡처할 수 있는지 설명합니다.

2. 개요

1. 드라이버

2. 파일

3. 스트림 모듈

4.

5. 프로세스

6. 레지스트리

7. 서비스

8. 세션

3. 데이터 모델이란 무엇입니까?

1. 객체

데이터 모델에서 객체는 컴퓨터 과학의 객체와 매우 유사합니다. 호스트, 파일, 연결 등과 같이 데이터가 실제로 나타내는 항목입니다. 객체는 데이터 모델 어휘의 명사입니다.

2. 액션

액션이란 객체의 생성, 파괴, 수정 등 객체에 발생하는 상태 변화나 사건을 말합니다. 이러한 작업은 개체가 수행할 수 있는 작업과 개체에 발생할 수 있는 작업을 설명합니다. 그러나 어떤 경우에는 센서가 물체의 움직임을 모니터링하지 않고 단순히 물체의 존재 여부를 스캔하고 확인합니다. 각 작업은 포함 매트릭스(2D 테이블)로 표시됩니다. 작업은 y축에 있습니다.

3. 필드

필드는 개체의 관찰 가능한 속성을 나타냅니다. 이러한 속성에는 플래그, 식별자, 데이터 요소 또는 다른 개체에 대한 참조가 포함될 수 있습니다. 어휘 측면에서 필드는 형용사와 유사합니다. 객체의 속성을 설명합니다. 센서는 객체 컨텍스트의 필드를 모니터링하고 이러한 필드를 구조화된 데이터 형식으로 출력합니다. 데이터가 SIEM에 입력되면 분석과 같이 하나 이상의 개체에 제한이나 패턴을 적용하여 로그를 쿼리할 수 있습니다. 적용 범위 매트릭스 필드는 x축에 있습니다.

4. 적용 범위

분석과 관련하여 센서의 유용성을 평가하려면 센서의 출력을 데이터 모델에 매핑해야 합니다. 센서가 측정한 각 물체에 대해 상태를 캡처합니다. 일부 센서는 상태 변화를 모니터링하는 대신 주기적으로 개체를 스캔합니다. 이러한 경우 개체 속성의 변경 사항을 찾아 상태를 추론할 수 있습니다.

다음은 데이터 모델 적용 범위를 요약한 것입니다.

4. 센서를 사용한 데이터 모델

CybOX는 호스트 기반 또는 네트워크 기반 관점에서 모니터링할 수 있는 개체의 구성인 데이터 모델에 큰 영감을 주었습니다. 모든 객체는 해당 작업과 필드라는 두 가지 차원으로 식별될 수 있습니다. 함께 쌍을 이루면 삼중항(객체, 동작, 필드)이 좌표 역할을 하며 센서가 객체의 어떤 속성과 상태 변화를 캡처할 수 있는지 설명합니다.

분석에서 데이터 모델의 사용을 비교합니다.

1. 드라이버

2. 파일

3. 스트림

4. 모듈

5. 프로세스

6. 레지스트리

7. 서비스

8. 스레드

9. 사용자 세션