> For the complete documentation index, see [llms.txt](https://snowyowls-organization.gitbook.io/snowyowl644-hacklog/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://snowyowls-organization.gitbook.io/snowyowl644-hacklog/tryhackme/soc_level1/diamond-model.md).

# Diamond Model

* サイバー攻撃や侵入行動を分析するためのフレームワーク
* 2013年にSergio Caltagirone、Andrew Pendergast、Christopher Betzによって提案
* ダイヤモンド モデルには、以下の4つの主要な構成要素がある ![](https://raw.githubusercontent.com/crum7/Obsidian/main/TryHackMe_Memo/SOC_Level1/images/Pasted%20image%2020250102231806.png) <https://teamt5.org/jp/posts/what-is-diamond-model-of-intrusion-analysis/>
* Adversary（攻撃者）
* Victim（被害者）
* Infrastructure（インフラストラクチャ）
* Capability（能力）
* 侵入の要素を識別するのに役立つ
* イベント中に何が起こったか、または悪意のある脅威の実行者に関する貴重な情報を、技術に詳しくない他の人に説明するのにも役立つ

Adversary（攻撃者）

* アタッカー（攻撃者）、敵、サイバー脅威アクター、またはハッカーとしても知られている。
* 攻撃者
  * サイバー攻撃の背後にいる人物のこと
  * 被害者に対して能力を利用し、自らの意図を達成する責任を持つアクターまたは組織
  * 攻撃を受けた段階では、攻撃者は重要な情報であるが、わからないことが多い。
  * 攻撃者の**オペレーター**と**カスタマー**を区別することは、攻撃者と被害者の関係を明確化し、意図、帰属、適応性、持続性を理解する上で重要
  * 攻撃者オペレーター（Adversary Operator）
    * 侵入活動を実行する「ハッカー」や個人
  * 攻撃者カスタマー（Adversary Customer）
    * 侵入活動の実行から利益を得る主体
    * 攻撃者オペレーター自身がこの主体である場合もありますが、別の個人やグループである場合もある
    * 攻撃者カスタマーが複数のオペレーターを同時に制御する場合もある
* サイバー攻撃の初期段階から、インシデントや侵害から収集されたデータ、シグネチャ、およびその他の関連情報を利用することで誰が攻撃者なのかを手助けする
* 被害者
  * 攻撃者のターゲット
  * 組織、個人、ターゲットの電子メール アドレス、IP アドレス、ドメインなど
  * 被害者の「人格（Victim Persona）」と「資産（Victim Assets）」を区別して理解することが重要
* 能力
  * 攻撃内で敵が使用するスキル、ツール、テクニック
  * 敵の戦術、テクニック、手順 (TTP)
  * 被害者を攻撃するために使用されるすべての手法
    * 手動によるパスワード推測などのそれほど洗練されていない方法からマルウェアや悪意のあるツールの開発などの最も洗練された手法
  * 能力のキャパシティ（Capability Capacity）
    * 個々の能力が利用できるすべての脆弱性やエクスポージャ（露出）を指す
    * 例: 攻撃手法が利用可能なシステムやネットワークの脆弱性。
  * 攻撃者の武器庫（Adversary Arsenal）
    * 攻撃者が保有する一連の能力の集合体
    * 例: 攻撃者が保有するマルウェア、エクスプロイトツール、攻撃手法などの総合的なリソース

インフラストラクチャ

* 攻撃者（Adversary）が能力を提供または維持するために使用する物理的または論理的な接続
* 例
  * IPアドレス
  * ドメイン名
  * メールアドレス
  * 道端に放置され、ワークステーションに接続される悪意のあるUSBデバイス
  * C2や被害者から収集した情報漏洩したデータ
* タイプ1インフラストラクチャ（Type 1 Infrastructure）
  * 敵対者が直接所有または制御しているインフラストラクチャ
* タイプ2インフラストラクチャ（Type 2 Infrastructure）
  * 中間者によって制御されるインフラストラクチャ。
  * この中間者は、その役割を認識している場合もあれば、認識していない場合もある。
  * このインフラストラクチャは、被害者にとって敵対者として認識される
  * 目的:活動の発信元や責任の所在を隠すこと
  * 例として、マルウェアのステージングサーバー、悪意のあるドメイン名、侵害されたメールアカウントなどがある
* **サービスプロバイダー (Service Providers)** は、タイプ1およびタイプ2のインフラストラクチャの可用性を支えるために重要なサービスを提供する組織
* 例として、インターネットサービスプロバイダー、ドメインレジストラ、ウェブメールプロバイダーなどが挙げられる

イベントメタ機能

* **タイムスタンプ**
  * イベントの日時
* **フェーズ**
  * 侵入、攻撃、または侵害のフェーズ
  * ダイヤモンド モデルの作成者とすべての悪意のあるアクティビティには、目的の結果を達成するには連続して正常に実行する必要がある 2 つ以上のフェーズが含まれる
  * 悪意のあるアクティビティは単一のイベントとして発生するのではなく、一連のイベントとして発生
* **結果**
  * &#x20;敵対者の活動の結果と事後条件は、必ずしも判明しているわけではなく、判明していても高い信頼度を持つわけではありませんが、把握しておくことは役に立つ
* \*\*方向 (Direction)
  * メタフィーチャは、ホストベースおよびネットワークベースのイベントを記述し、侵入攻撃の方向性を示す
  * **被害者からインフラへの通信 (Victim-to-Infrastructure)**
  * **インフラから被害者への通信 (Infrastructure-to-Victim)**
  * **インフラ間の通信 (Infrastructure-to-Infrastructure)**
  * **敵対者からインフラへの通信 (Adversary-to-Infrastructure)**
  * **インフラから敵対者への通信 (Infrastructure-to-Adversary)**
  * **双方向通信 (Bidirectional)**
  * **不明 (Unknown)**
* **手法 (Methodology)**
  * 例: フィッシング、DDoS、侵害、ポートスキャンなど。
* 社会政治的要素
  * 金銭的利益、ハッカー コミュニティでの承認の獲得、ハクティビズム、スパイ活動など、敵対者のニーズと意図などがある場合がある

テクノロジーコンポーネント

* テクノロジーのメタ機能またはコンポーネントは、コア機能である機能とインフラストラクチャの関係を強調
