人工智能检测工程公司CardinalOps发布了2022年SIEM检测风险状况报告。该公司的第二份年度报告分析了来自生产SIEM实例的聚合和匿名数据，以了解SOC准备情况，以检测MITRE ATT&CK中的最新对手技术，MITRE ATT&CK是基于真实观察的常见对手行为的行业标准目录。这一点很重要，因为在入侵生命周期的早期检测恶意活动是防止对组织产生重大影响的关键因素。

分析表明，实际检测覆盖率仍远低于大多数组织的预期，并且许多组织没有意识到他们假设的理论安全性与他们实际拥有的防御措施之间的差距。

本次分析的数据集涵盖各种 SIEM 解决方案(包括 Splunk、Microsoft Sentinel 和 IBM QRadar)，涵盖 14，000 多个日志源、数千条检测规则和数百种日志源类型，涵盖金融服务、制造、电信和 MSSP/MDR 服务提供商等不同垂直行业。使用MITRE ATT&CK作为基线，CardinalOps 发现，平均而言：

(资料图片仅供参考)

企业 SIEM 包含对野外对手采用的前 14 种 ATT&CK 技术中不到 5种的检测1

SIEM 缺少 190+ ATT&CK 技术完整列表中的80% 的检测

15% 的 SIEM 规则被破坏，永远不会触发，主要是由于字段未正确提取或日志源未发送所需数据

只有25%的组织将Active Directory和Okta等身份日志转发到其SIEM，实际上在其检测规则中使用它们 - 这令人担忧，因为身份监控是加强零信任的最关键数据源之一。

由于检测工程团队遇到的干扰和自定义挑战，SIEM 供应商提供的 75% 的通用开箱即用检测内容被禁用

检测覆盖率的这些主要差距可归因于SOC和检测工程团队面临的许多挑战。排在首位的是威胁态势、组织攻击面和业务优先级的不断变化，以及来自不同数据源(终结点、标识、云等)的日志源类型和遥测数据数量的不断增加导致配置复杂性呈指数级增长。难以征聘和留住熟练的安保人员也是一个主要因素。许多企业仍然依赖手动和容易出错的流程来开发新的检测，这使得工程团队难以有效扩展并减少积压工作。

“组织需要更加有意识地在其SOC中进行检测。我们应该检测什么?我们有这些场景的用例吗?它们真的有效吗?他们是否帮助我的SOC分析师有效地分类和响应?“Google Cloud安全解决方案战略主管Anton Chuvakin博士说。“检测用例是安全监控活动的核心。拥有结构化和可重复的流程对于确定优先级、使监控工作与安全策略保持一致以及最大化从安全监控工具中获得的价值至关重要。

为了帮助组织应对检测挑战，2022 年 CardinalOps 报告包含一系列最佳实践，可帮助 SOC 团队衡量和提高检测覆盖范围的稳健性，以便他们可以随着时间的推移不断改进检测态势。

“我们创建这份报告的目的不是让安全团队感到羞耻，而是以MITRE ATT&CK为基准，提请管理层注意感知安全与实际检测质量和覆盖范围之间的差异，”CardinalOps首席执行官兼联合创始人Michael Mumcuoglu说。“如果我们把这么多时间和金钱花在更多的安全工具上，为什么我们仍然被黑客入侵?我们认为，答案在于需要应用自动化和分析来识别和修复现有工具中的错误配置，并修复风险最高的检测差距，以便检测工程师能够专注于更具战略性的活动，例如调查新的和新颖的攻击场景。

关键词： 安全监控 不断改进 年度报告