主要观点：下午 2 点 17 分警报响起，发现 Kubernetes 节点出站流量显著上升、陌生 IP 进行特权服务账户认证等情况，经各种排查未确认突破或明确情况，传统检测系统存在不足，而 MITRE ATT&CK 框架可将威胁检测从被动转为主动，通过详细记录攻击者行为等帮助安全团队更好应对威胁。
关键信息：

• 下午的警报比早上幸运，随后开始调查发现诸多可疑情况但未定论。
• 传统检测系统难以应对攻击者模仿行为等，分析师常被假警报困扰。
• MITRE ATT&CK 基于多年真实威胁研究，是攻击者行为知识库，强调可观察行为。
• 如今各大安全平台宣称与 MITRE ATT&CK 集成，但效果不一，现代分析平台可更好利用该框架，如 Sumo Logic 的 Threat Coverage Explorer 可将检测与 ATT&CK 技术关联。
• MITRE ATT&CK 能让团队像攻击者一样思考，提前预测，其框架会随攻击者行为演变而更新，帮助检测逻辑成长，从反应式转为主动式防御。
  重要细节：
• 如 APT29 常滥用合法凭证混入网络流量，ATT&CK 可帮助发现基于签名工具遗漏的盲点。
• 通过该框架可看到实际能检测到的 ATT&CK 技术，进行差距分析，给自定义规则标注 ATT&CK 技术，可视化覆盖情况等。
• 安全不应只是阻止坏事，而应理解其实际发生方式，ATT&CK 框架可实现这一转变，将警报从混乱变为有意义的信息，提升检测成熟度。