1. 定义威胁：这里不是泛泛而谈，如竞争对手、脚本小子等，需要确定针对具体组织的具体威胁。它应该是“发生什么样糟糕的事情，会影响到组织的生存”这样的问题，并且答案应该来自领导层或者是被其认可。一旦关键业务安全需求确定了，就需要深入挖掘可能的威胁，通过研究网络基础设施及相关的业务流程，明确相关研究、生产、存储、加工、访问等相关环节，进而明确可能的入侵及破坏方法。

 2.量化风险：一旦潜在的威胁名单确定，就需要考虑优先级，一般实现的方式是通过计算威胁影响和概率的乘积，得到每个潜在威胁的风险。虽然这种方法可以提供和威胁相关的量化指标，但毕竟是主观的。为保障评估确实符合实际，往往需要一组人来参与量化风险的过程，有些机构还会在这个过程中引入第三方的网络渗透测试人员，共同参与完成这个过程。

3.确定数据源：在这个阶段确定可以提供检测和分析价值的主要数据元，从具有最高风险权重的技术威胁开始，考虑可以从哪里看到威胁相应的线索、证据。比如考虑关键文件服务器的数据泄露威胁，应该确定服务器的架构、网络位置、具有访问权的用户，以及可以获得数据的其它途径。根据这些信息，得到相应的数据源清单。 

4.筛选聚焦：在最后的阶段你需要选择最需要的数据源，这是技术上最深入的步骤，需要评估每个数据源以评估其价值。往往有一些数据源需要很高的存储空间，它提供的价值和处理管理的开销相比，可能不值得收藏。组织必须考虑成本/效益关系，从成本的角度看，这种分析应该考虑到硬件和软件的资源，例如维护产生的人员组织成本，数据存储资源等。可以评估有问题的数据源在分析过程中可能出现的几率。考虑需要到类似这样的程度：哪些类型（源目的地址、端口协议）的PACP包需要捕获，那种windows日志（如登录成功、登录失败、账号创建、文件权限变更等）是最重要的需要保留。

 通过这样的方法，你可以通过直接和业务目标挂钩，以及对业务连续性的威胁来证明需求的合理性，这样也可以较大限度保证之后在基础设施建设上的投入。 

正如之上曾经提到的，威胁为中心的方法强调周期性的过程，需要明白，永远不会完成数据收集的工作，当你做了更多的检测和分析的工作，当网络逐步扩展，需要重新评估你的收集计划。 

七、基于威胁情报和攻击链的方法

ACF虽然是一个经过实践验证的方法，但是也有自身的不足，特别是缺乏实践经验情况下，往往集中在入侵的后期阶段相关数据收集，存在检测纵深不足，缺少冗余的响应时间等风险。这时可以参照一种基于威胁情报和攻击链的方法，用来验证、完善数据收集计划，此方法来源于David J. Bianco的关于情报驱动的企业安全监控的讲演（PPT、视频）。

 

这种方法大体步骤如下，对更详细内容感兴趣的可以去参考他的PPT及视频： 

1.以攻击链为横轴，检测指标（参考之前的《小议威胁情报》）为纵轴，完成对应的表格，体现在攻击的各个阶段可以利用的相关数据；

2.基于不同检测指标对黑客攻击的影响程度，给出评估；

3.基于有效检测APT类型攻击而不被大量报警淹没，给出评估；

4.基于现实中可达的工具能够实现，给出评估；

5.综合以上3项评估的数据，确定数据收集计划。