报告：企业SIEM提供的威胁检测不足 媒体

SIEMs在MITRE ATTampCK技术覆盖中的差距

重点摘要

近25的MITRE ATTampCK技术尚未被主要的安全信息和事件管理系统SIEM识别。SIEM系统如Microsoft Sentinel、IBM QRadar、Splunk和Sumo Logic存在显著的威胁检测漏洞。CardinalOps的报告显示，SIEM系统在建立新检测时的手动方式容易出错，且近12的SIEM规则已损坏，未能通知用户数据配置错误。

近年来，安全信息和事件管理系统SIEM在网络安全中的作用越来越重要。然而，根据SiliconAngle的一项报告，近25的MITRE ATTampCK技术并未被包括Microsoft Sentinel、IBM QRadar、Splunk和Sumo Logic等主要SIEM系统识别。这一现象表明，在威胁检测方面，SIEM系统存在显著的盲点。

尽管大多数MITRE ATTampCK技术可以通过SIEM所收集的数据得到覆盖，但CardinalOps的报告指出，这些系统在设置新的检测机制时，手动处理的方式容易导致错误。研究人员还发现，接近12的SIEM规则毁坏，这可能导致用户无法获得数据配置错误的通知，从而增加了未检测到入侵的风险。

这些发现展示了一个简单的事实：大多数组织并不了解他们在MITRE ATTampCK覆盖方面的情况，并且在充分利用现有 SIEM 的过程中挣扎。防止数据泄露的关键在于根据对手技术的相关性，确保在SIEM中实现正确的检测并确保它们能如预期工作。 CardinalOps的联合创始人兼首席执行官Michael Mumcuoglu表示。

SIEM 系统识别的 MITRE ATTampCK 技术比例Microsoft Sentinel约 25IBM QRadar约 25Splunk约 25Sumo Logic约 25

随着网络攻击手段日益复杂，组织们亟需加强对MITRE ATTampCK框架的理解，以提升其安全防御能力。通过提升SIEM的检测能力，能够更有效地阻挡潜在威胁，确保数据安全。

xfuspw旋风加速