Tactics, Techniques, and Procedures (TTP) beschreiben Taktik und Verhalten von realen Angreifern. Tactics beschreiben die Ziele des Angreifers und bieten eine allgemeine Beschreibung. Der technologische Ansatz einschließlich des wie ist in den Techniques beschrieben. Schließlich stellen Procedures die spezifische Implementierung dar, die ein Angreifer verwendet.
Angreifer müssen entweder eine bekannte Technique anwenden oder mit viel Aufwand neuartige Techniques oder Procedures zu entwickeln. In Abhängigkeit von Angriffsziel und Zielsetzung können jedoch bestimmte Techniken nicht vermieden werden. Aus der Perspektive des Verteidigers hilft diese Tatsache ungemein dabei die Kill-Chain zu unterbrechen.
MITRE ATT&CK® stellt eine Wissensdatenbank für TTPs dar. ATT&CK deckt die beiden Domänen Enterprise, Mobile und ICS ab. Enterprise beschreibt das Verhalten gegenüber Unternehmens-IT-Netzwerken und der Cloud ab. Mobile konzentriert sich auf das Angreiferverhalten gegenüber mobilen Geräten. ATT&CK für ICS fasst beobachtetes Angreiferverhalten für Industriesysteme zusammen.