T0861 Point & Tag Identification

攻擊者收集環境內部的 point (輸入、儲存位置、輸出、生產過程中特定的變數)、標籤(操作人員辨別而使用的標籤)，收集這些資訊可以更了解目前環境內部的架構，也可以知道可能的製造過程，因此攻擊者會特別收集這些資訊。

T0845 Program Upload

攻擊者為了收集工控設備製作過程的資訊，可能從 PLC 上傳檔案，許多廠商提供上傳功能，可以用來讀取 PLC 正在執行的程式與流程，或是這些廠商提供的軟體也可以上傳檔案到工程人員的工作站或是等設備。

T0852 Screen Capture

攻擊者收集正在執行中設備的螢幕截圖，如 HMI、工作站、有關於顯示環境內部的資訊，都可以幫助攻擊者了解目前內部場域的過程與控制，也有可能針對目前告警、報告、設備狀態等資料，許多後門包含螢幕截圖的功能。

T0887 Wireless Sniffing

如同 discover 階段，在收集階段也有可能透過無線網路收集重要的資訊。