“挂图作战”对于安全团队最大的优势在于通过攻击路径分析赋予的可见性、速度和风险优先级，安全运营人员可以比以往更好地研判和处置。通过攻击溯源图可识别攻击者可能用来破坏关键资产的易受攻击的关键路径，并验证它们是可被利用的实际路径，而不是误报。攻击路径验证确定网络上多个攻击路径汇聚的实体，以帮助优先考虑缓解这些阻塞点的漏洞和失陷指标，以确保实现最佳安全影响。企业使用“挂图作战”的方法，可以更加高效直观地减少网络攻击风险，来最佳地保护其最重要的资产。

1.1 接入多源系统日志

日志并不是采集越多越好，数据爆炸反而会给攻击图分析带来更多噪声干扰和成本压力，因此只需要采集这些日志中最关键的部分，例如：进程创建、网络连接、DNS解析、用户登录、账号变更、命令执行等。

1.2 建立时间线

根据收集到的数据建立时间线，将事件按照发生顺序排列，以便追踪事件的发展过程。时间线记录了攻击者从入侵开始到达最终目标的各个步骤，包括在环境中的所有活动。攻击时间线的建立有助于安全团队了解攻击者进入系统、横移、取得访问权限，并在系统内部进行活动的详细步骤。

1.3 丰富情报数据

通过剧本预先丰富内外部威胁情报数据，例如：威胁情报信息包含但不限于IP/域名/URL/文件hash等；查询日志中包含的ATT&CK战术；EDR分析剧本对关键IOC指标做好预分析和调查工作；防火墙/WAF分析恶意Device信息；关联内部资产的信息等。

2.1 关联案例

网络安全攻击是由一系列攻击技术组成的，因此需要将所有相关联的攻击路径上的安全事件合并，才能更全面清晰地分析和处置。

2.2 生成攻击溯源图

对数据流进行模型分析，用易于理解的方式表示通过系统实现安全目标的所有路径，生成攻击溯源图，确定事件从哪里开始、经过哪些节点，最终导致问题的产生。

2.3 识别异常

通过攻击溯源图标识的可疑或失陷资产，查看预分析的情报信息，如识别威胁情报提供的已知攻击者和威胁源、EDR提供的终端恶意软件感染或异常进程调用、NDR提供的网络流量揭示异常的连接和异常数据传输。

如果预分析的情报信息还不足以做出研判，可以选中关键资产，通过机器学习、预置的剧本或手动分析数据流中的异常情况，例如不寻常的网络活动、登录尝试、文件访问、进程调用等，这些都可能是安全事件的迹象。

2.4 制定解决方案

安全团队通过攻击溯源图，深入分析，查找导致问题的根本原因，可能涉及未修复漏洞、系统配置错误、恶意软件、人为失误等。

根据溯源分析的结果，定制相应的解决方案，从而选择预置的剧本，一键采取应急措施（封禁IP/URL、隔离主机、删除用户权限、重定向蜜罐等）、修复漏洞、清除恶意活动等自动化流程。

某集团发现了一起勒索攻击事件后，红鲸RedOps安全协同响应平台立即采取行动，第一时间自动生成勒索攻击案例的攻击溯源图进行作战从分析到应急响应，整个事件处置仅用时5分钟。