Diamond Model of Intrusion Analysis

type: entity
title: "Diamond Model of Intrusion Analysis"
aliases: ["Diamond Model", "Caltagirone Diamond"]
tags:
  - topic/cyber-threat-intelligence
  - topic/threat-actors
status: seedling
first_seen: 2026-04-28
last_updated: 2026-04-28
mentions_count: 1

Definicion

Marco analitico para describir eventos de intrusion mediante 4 vertices interconectados: Adversary (quien), Capability (con que), Infrastructure (desde donde), Victim (contra quien). Cada evento se modela como un diamante. Multiples diamantes encadenados forman la "Activity Thread" o campana del actor.

Contexto

Es el modelo mas usado para attribution y profiling de actores. Permite pivoting analitico: si conoces 2 vertices, puedes deducir o investigar los otros 2.

Datos clave

Origen: Sergio Caltagirone, Andrew Pendergast, Christopher Betz (2013)
Paper: "The Diamond Model of Intrusion Analysis" (US Department of Defense)
Conceptos clave: vertice (4), meta-features (timestamp, phase, result, direction, methodology, resources), pivot rules
Combina muy bien con MITRE ATT&CK (Capability vertex = TTPs ATT&CK)

Diamond Model of Intrusion Analysis

Definicion

Contexto

Datos clave

Apariciones

Conexiones

Themes