| 数据类型 | 攻击阶段 |
| 实体特征 |
| 采集位置 | |||||||||
| 攻击 部署 | 工具 投递 | 初始 入侵 | 命令与控制 | 提权 并获取凭证 | 横向 移动 | 窃取 数据 | 掩盖 痕迹 |
| 静态 | 动态 |
| 网络侧 | 主机侧 | |
| 恶意域名 | √ | √ |
| √ |
|
|
|
| √ | √ | √ |
| ||
| 恶意文档 | √ |
|
|
|
|
|
|
| √ | √ | √ |
| ||
| 恶意邮件 |
| √ |
|
|
|
|
|
| √ |
| √ |
| ||
| 恶意程序 |
|
| √ | √ | √ | √ | √ |
| √ | √ | √ | √ | ||
| 伪装用户 |
|
|
| √ |
| √ | √ | √ |
| √ |
| √ | ||