一般而言企业可以同时在外部防御和内部防控两大维度开展威胁用例建设。
内部威胁用例一般而言参考行内的规范制度、操作规程等,凡事违反的即为威胁,这样可以不断完善内部的技术和风险控制措施,也可以不断优化流程,优化制度。比如,自动发现并报警绕过堡垒机行为(单纯这一块如果做出来,其实前期需要很多技术和日志的积累的)。
外部威胁用例一般结合安全设备事件日志、服务端安全日志进行综合分析,常发现的比如外部扫描攻击行为、攻击探测行为等等,这块如果负责建设、运维的企业人员之前做过攻防会比较容易出用例,如果没做过的话就以外部渗透测试为契机,进行日志全量梳理,匹配规则,迭代2到3轮,基本的用例就已经出来了。