По нашему опыту, большинство заказчиков не занимается и не думает заниматься атрибуцией. Они опираются на внешние источники в этом вопросе и то, это касается очень специфических заказчиков

Вы все твердите про первичную атрибуцию

Термин давай ;-) Я лимит сидения в ФБ на сегодня истратил ;-)

Ну тогда о чем у нам дискуссия? Тема специфичная?  Безусловно.  И там, и здесь делают в основном киберкомпании для заказчиков. И то, что смотреть глубже и учитывать данные о группировке полезнее, чем просто смотреть на детекты - кажется, тоже не спорим. Частота и глубина использования имхо не вопрос обсуждения. Может кто-то из участников чата хотя бы приоритеты детектов на банкоматы начнёт поднимать после очередных рассылок Cobalt,  тоже хлеб

Любое выставление атрибутов(не только первичное), но и тех, которые хоть как-то характеризуют инцидент. В примере с powershell для повышения привилегий - уже как минимум два атрибута. Плюс логичный следующий - откуда он взялся. И т.д. и т.п.
Причём мы не смотрим на apt или нет - мы оцениваем любой инцидент. Атрибуция для ddos, например (банально упрощенный), - определение уровня в модели OSI, без этого ttp не применить нормально.
Атрибуция шифровальщика - не только тушка, но и вектор его распространения.

Таким образом, в общем смысле - атрибуция в ИБ - выявление характеризующих признаков независимо от природы появления событий.

По атрибуции, в том числе, принимается решение на тему легитимно ли событие

Упс... Ну если трактовать термин так, то спорить и правда смысла нет. Но все-таки, не флейма ради, а правды для, атрибуция все-таки отвечает на вопросы КТО и ЗАЧЕМ ;-) Именно так ее воспринимает большинство, кмк

А ещё статистика говорит, что 85% людей...
не думаю что стоит идти этим путём.
Повторю - нормальный ir без какой-либо атрибуции невозможен

После "кто" и "зачем" может быть следующая фаза "а где и что ещё поискать". И ответ на него берётся из "кто"

В точку

В твоей терминологии да ;-)

Это не моя. Это вселенская из IR teams

Вы убьете несколько недель на то, чтобы ответить на вопрос КТО и ЗАЧЕМ. Сидеть и ждать? Или все-таки хантить/детектить, опираясь только на известные ТТР?

Это какая-то ложная дилемма

Откуда «недель»? Детекта антивируса очень часто достаточно чтобы понять какое семейство (если мы про ВПО) (и да это уже атрибуция, но не первичная), и ответы на вопрос где и что смотреть

Поспорил бы. Но не буду ;-) В твоем варианте атрибуция - это и есть ТТР, то есть определение того, КАК действует малварь/ддос и др. Это не атрибуция в классическом понимании ;-)

Если в ответ будет про авторство - отвечу сразу - это уже частный случай применения того что в определении выше

лучше все же загуглить что-то вроде cyber attribution :) и, кстати, атрибуция произошедшей атаки возможна вообще без индикаторов - используя, так сказать, альтернативные каналы.

Можете загуглить, но я на ваш вопрос уже ответил. Там где про авторство.

Про альтернативные каналы - приведёте примеры?