CyberGlossary

Защита и операции

Детектирующие средства контроля

Также известно как: Средства обнаружения, Контроль мониторинга

Определение

Меры безопасности, предназначенные для выявления вредоносной активности, нарушений политик или аномалий и оповещения о них уже после их возникновения в среде.

Детектирующие средства контроля обнаруживают инциденты безопасности и сигнализируют о них, а не блокируют напрямую. К ним относятся правила корреляции SIEM, датчики IDS, телеметрия EDR, контроль целостности файлов, журналы аудита и аналитика аномалий. Их ценность — сокращение времени присутствия злоумышленника между компрометацией и обнаружением, поддержка реагирования на инциденты и предоставление цифровых доказательств. Они дополняют превентивные меры: когда профилактика не сработала, детекция гарантирует, что инцидент не останется незамеченным. Эффективность оценивается по покрытию MITRE ATT&CK, качеству оповещений и показателям вроде MTTD.

Примеры

  • Правило SIEM, срабатывающее при первом интерактивном входе сервисной учётной записи.
  • EDR, выдающий оповещение о подозрительном запуске PowerShell, инициированном из документа Word.

Связанные термины