| 数据类型 | 系统层次 |
| 针对攻击阶段 | 采集方法 | |||
| 应用程序 | 操作系统 |
| 横向移动 | 数据窃取 | 掩盖痕迹 | ||
| 应用访问和操作 | √ |
| √ | √ | √ | 应用内部日志模块。 | |
| 主机本地操作 |
| √ |
| √ | √ | 用户进程系统调用。 | |
| 远程登录和访问 |
| √ | √ |
|
| 用户进程系统调用。 | |