| 数据类型 | 系统层次 |
| 针对攻击阶段 | 采集方法 | |||||
| 系统内核 | 网络 |
| 初始入侵 | 命令与 控制 | 提权并获 取凭证 | 横向移动 | 数据窃取 | ||
| 系统调用 | √ |
| √ | √ | √ | √ | √ | 操作系统采集工具(Linux Audit, ETW, DTrace和Sysdig) | |
| 网络数据 |
| √ | √ | √ |
| √ |
| 通过网络设备采集。 | |