企业安全信息管理工具的检测能力不足

关键要点

只有 19 的 MITRE ATTampCK 技术可以被主要企业安全信息和事件管理SIEM工具检测到。尽管有 87 的数据可以识别这些技术，但由于数据源配置不当和信息不完整，仍然存在检测盲点。安全操作中心面临着显著的挑战，建议企业使用专用的检测系统。

根据 SiliconAngle 的报告，主要的企业安全信息和事件管理工具如来自微软、Splunk、IBM 和 Sumo Logic 的工具，仅能够检测到 19 的 MITRE ATTampCK 技术。尽管有数据可以支持识别 87 的这些技术，但现实却是检测能力远远低于预期。

来自 CardinalOps 的一项研究显示，分析的 SIEM 规则中有 18 的功能受到数据源配置不当和字段不完整的影响。研究还指出，SIEM 检测能力的不足与日益扩大的攻击面、更加复杂的攻击技术以及持续使用的手动处理过程有关。DoControl 的高级产品总监 Tamir Passi 指出，这些发现强调了 SIEM 系统的能力与检测覆盖范围之间存在显著差距。

“这种差距凸显了全球安全操作中心面临的基本挑战。实际上，SIEM 过于像一把瑞士军刀。因此，公司应该使用专门构建的检测系统，如 SaaS 安全态势管理和云安全态势管理，”Passi 补充道。

闪电加速器怎么用关键问题描述检测能力仅 19 的技术被识别数据使用87 的技术有数据支持识别配置问题18 的检测规则因不当配置失效挑战专用检测系统亟需被重视

该报告的结果促使企业重新审视其安全工具，并考虑投资于更具针对性的解决方案，以提升对复杂网络威胁的检测能力。