ग्राफ़ RAG और MITRE ATT&CK

फ्लैट RAG पैराग्राफ लाता है। पर आक्रामक ऑपरेशन रिश्तों में सोचता है — यह तकनीक उसे सक्षम करती है, यह एक्टर यह मैलवेयर इस्तेमाल करता है, यह शमन इस श्रृंखला को तोड़ता है। इसीलिए हमने Beorn को MITRE ATT&CK पर बने नॉलेज ग्राफ़ से जोड़ा।

चंक्स से TTP ग्राफ़ तक

हम टैक्टिक्स, तकनीकों, समूहों और शमनों को नोड्स, और ATT&CK संबंधों को किनारों के रूप में मॉडल करते हैं। हर इंडेक्स राइटअप उन तकनीकों से जुड़ता है जिन्हें वह दिखाता है। पुनःप्राप्ति "समान दस्तावेज़" से "यहाँ से मैं क्या कर सकता हूँ" बन जाती है।

किल चेन का अनुसरण

एक्ज़ीक्यूशन मिलने पर हम "पर्सिस्टेंस पर टेक्स्ट" नहीं माँगते; वर्तमान तकनीक से अगली टैक्टिक्स की ओर ग्राफ़ में चलते हैं, लक्ष्य पर देखे अनुसार भार देकर।

graph.walk({ from: "T1190",
  toward: ["persistence","privilege-escalation"],
  filter: { platform: "linux", observed: true }, k: 5 })

ग्राफ़ क्यों जीतता है

ग्राफ़ देता है सटीकता (क्यूरेटेड किनारे), व्याख्या-योग्यता (हर सुझाव का पथ) और कवरेज (आसन्न तकनीकें जिन्हें कोई एम्बेडिंग नहीं खींचती)। वेक्टर स्टोर फ़ज़ी खोज के लिए; ग्राफ़ अगला कदम तय करता है।

हम क्या देते हैं

Beorn अब ATT&CK सबग्राफ़ से उत्तर देता है। एजेंट को साक्ष्य से जुड़ी किल चेन का नक्शा मिलता है, और हर रिपोर्ट SIEM के लिए ATT&CK-मैप्ड निकलती है।