检测性控制

Q: 检测性控制 是什么?

用于在环境中发生恶意活动、违规行为或异常后进行识别和告警的安全措施。 它属于网络安全的 防御与运营 分类。

Q: 如何防御 检测性控制?

针对 检测性控制 的防御通常结合技术控制与运营实践,详见上方完整定义。

审核人Florian AmetteCybersecurity entrepreneur & security researcher

检测性控制是什么?

检测性控制用于在环境中发生恶意活动、违规行为或异常后进行识别和告警的安全措施。

检测性控制是一类用于发现并通报安全事件的安全保障措施,而非直接阻断。它包括 SIEM 关联规则、IDS 传感器、EDR 遥测、文件完整性监控、审计日志和异常分析。其核心价值在于缩短从入侵到被发现之间的驻留时间,为事件响应提供输入,并保留取证证据。检测性控制与预防性控制互为补充:当预防失败时,检测确保失败不会被忽视。其有效性通常通过 MITRE ATT&CK 覆盖率、告警准确度以及 MTTD 等指标来衡量。

● 示例

01
当服务账户首次以交互方式登录时触发的 SIEM 规则。
02
EDR 对从 Word 文档发起的可疑 PowerShell 执行链进行告警。

● 常见问题

检测性控制是什么?

用于在环境中发生恶意活动、违规行为或异常后进行识别和告警的安全措施。它属于网络安全的防御与运营分类。

检测性控制是什么意思?

用于在环境中发生恶意活动、违规行为或异常后进行识别和告警的安全措施。

如何防御检测性控制?

针对检测性控制的防御通常结合技术控制与运营实践,详见上方完整定义。

检测性控制还有哪些其他名称?

常见的别称包括: 检测控制, 监控控制。

检测性控制

检测性控制是什么?

● 示例

● 常见问题

● 相关术语

● 另见

检测性控制 是什么?

● 示例

● 常见问题

● 相关术语

● 另见

检测性控制是什么?