Day27 ATT&CK for ICS - Collection(3)

T0861 Point & Tag Identification

攻击者收集环境内部的 point (输入、储存位置、输出、生产过程中特定的变数)、标签(操作人员辨别而使用的标签)，收集这些资讯可以更了解目前环境内部的架构，也可以知道可能的制造过程，因此攻击者会特别收集这些资讯。

T0845 Program Upload

攻击者为了收集工控设备制作过程的资讯，可能从 PLC 上传档案，许多厂商提供上传功能，可以用来读取 PLC 正在执行的程序与流程，或是这些厂商提供的软件也可以上传档案到工程人员的工作站或是等设备。

T0852 Screen Capture

攻击者收集正在执行中设备的萤幕截图，如 HMI、工作站、有关於显示环境内部的资讯，都可以帮助攻击者了解目前内部场域的过程与控制，也有可能针对目前告警、报告、设备状态等资料，许多後门包含萤幕截图的功能。

T0887 Wireless Sniffing

如同 discover 阶段，在收集阶段也有可能透过无线网路收集重要的资讯。