Складывать все необходимое для выявления нелегитимной деятельности в БС + изменение состояния УЗ.

Ага, ага. Надо рассказать бизнесу, что четко сформулированное письмо из сектора экономики, где есть хорошие позиции, это "обычный FP". Вполне вероятно, что вы успеете это рассказать 2 раза

Ничего в БС не изменилось и с УЗ не произошло

Не буду тянуть

Это действительно странный кейс)
Вроде изначальный вопрос был про нужные события для всех описанных техник ("как город построить?"), а вы почему-то привели кейс с БС ("где плитку будем покупать?" конечно, это важнее для бизнеса).

Да на самом деле полностью на матрицу опираться не стоит, у них циклы разработки какие-то специфичные. Об этом хорошо сказали ребята из Red Canary не первом ATT&CKcon https://youtu.be/MBVxaE9oaMQ

А как же SOC без L1?

Человек, которому предназначалась заявка, очень редко обновлял браузер и писал много писем. Заголовки, следы вот это все. Версию они могли узнать прям легко. В БС - АррСек тестеры нашли много интересного именно в контексте атаки на браузеры. Хост, к которому был запрос, был одним из 7 на ip. Форензики не нашли ничего криминального после поверхностного анализа письма. Малвари нет, в некоторых браузерах подгружает картинку в 1 пиксель с блогхоста.  Сайт в ... Прибалтике скажем так. Сказали "фишинг - забей". После ... Анализа выяснилось, что хосты принадлежат "конкурентам" И вот есть пару моментов, связанных и с периодом работы уволившегося, и с составом ПО, вполне специфичным, и много чего, что как минимум приводило к утечке креденшалы доменные :о))

sIEM ни нужен!!!

Ну и да, это была АРТ атака, или вы ее как-то в матрицу впихнете? :о)))

Но то что за мыслью Алексея тяжело проследить, а также за ее связью с топиком - это да. У меня складывается ощущение что он просто хочет поспорить)

Не, не хочу. Я на врачей зол просто. Там похожий подход популярен. Если симптомы можно "впихнуть" в рамки "известного", то давайте с высокой степенью вероятности поставим диагноз. "ОРВИ, вот вам список медикаментов и анализов"

Я не понимаю претензии если честно)

Да какие претензии. Занимайтесь, чем хотите.

Было бы круто, если бы вы такие кейсы (я его так и недопонял) описали бы в виде статьи или заметки где-нибудь. Хороший же пиар.

Блин, я даже не трогал ещё табуретку, а человек уже слился) что я делаю не так

Аудиосообщения! Модератор будет вдвойне зол)

Ребята пытаются систематизировать разрозненные знания и делятся результатами с комьюнити - это уже очень здорово. Т.ч. лично я вижу только сплошные плюсы от активностей в рамках ATC.  Да, могут быть кейсы, которые не очень укладываются в какую-то модель, но тогда их надо собирать в кучу и смотреть отдельно.

Никто не говорит что модель закончена) она относительно молода, и есть много вещей которых там нет из хорошо известного, не говоря уже о чем-то супер крутом мало популярном

В любом случае это лучшая модель угроз для инфраструктуры, и первая в своём роде. Собственно, вы думаете что мы пришли с решением, а нет. Мы пришли с предложением возможного варианта, и пытаемся быть конкретными и открытыми, чего раньше в ИБ не было никогда (в таких масштабах).