使用数据字典

开源安全事件的元数据，分为四类

1、ATT&CK数据源

2、公共信息模型

3、数据字典

4、数据检测模型

使用MITRE CAR

CAR利用

使用Sigma规则

sigma规则基本分为四个部分

1、元数据

2、日志源

3、检测

4、条件