SIEMs在MITRE ATT&CK技术覆盖中的差距

重点摘要

• 近25%的MITRE ATT&CK技术尚未被主要的安全信息和事件管理系统（SIEM）识别。
• SIEM系统如Microsoft Sentinel、IBM QRadar、Splunk和Sumo Logic存在显著的威胁检测漏洞。
• CardinalOps的报告显示，SIEM系统在建立新检测时的手动方式容易出错，且近12%的SIEM规则已损坏，未能通知用户数据配置错误。

近年来，安全信息和事件管理系统（SIEM）在网络安全中的作用越来越重要。然而，根据的一项报告，近25%的MITRE ATT&CK技术并未被包括Microsoft Sentinel、IBM QRadar、Splunk和SumoLogic等主要SIEM系统识别。这一现象表明，在威胁检测方面，SIEM系统存在显著的盲点。

尽管大多数MITREATT&CK技术可以通过SIEM所收集的数据得到覆盖，但CardinalOps的报告指出，这些系统在设置新的检测机制时，手动处理的方式容易导致错误。研究人员还发现，接近12%的SIEM规则毁坏，这可能导致用户无法获得数据配置错误的通知，从而增加了未检测到入侵的风险。

“这些发现展示了一个简单的事实：大多数组织并不了解他们在MITRE ATT&CK覆盖方面的情况，并且在充分利用现有 SIEM
的过程中挣扎。防止数据泄露的关键在于根据对手技术的相关性，确保在SIEM中实现正确的检测并确保它们能如预期工作。”
CardinalOps的联合创始人兼首席执行官Michael Mumcuoglu表示。

SIEM 系统 | 识别的 MITRE ATT &CK 技术比例
—|—
Microsoft Sentinel | 约 25%
IBM QRadar | 约 25%
Splunk | 约 25%
Sumo Logic | 约 25%

随着网络攻击手段日益复杂，组织们亟需加强对MITREATT&CK框架的理解，以提升其安全防御能力。通过提升SIEM的检测能力，能够更有效地阻挡潜在威胁，确保数据安全。