防御与运营
检测性控制
别称: 检测控制, 监控控制
定义
用于在环境中发生恶意活动、违规行为或异常后进行识别和告警的安全措施。
检测性控制是一类用于发现并通报安全事件的安全保障措施,而非直接阻断。它包括 SIEM 关联规则、IDS 传感器、EDR 遥测、文件完整性监控、审计日志和异常分析。其核心价值在于缩短从入侵到被发现之间的驻留时间,为事件响应提供输入,并保留取证证据。检测性控制与预防性控制互为补充:当预防失败时,检测确保失败不会被忽视。其有效性通常通过 MITRE ATT&CK 覆盖率、告警准确度以及 MTTD 等指标来衡量。
示例
- 当服务账户首次以交互方式登录时触发的 SIEM 规则。
- EDR 对从 Word 文档发起的可疑 PowerShell 执行链进行告警。
相关术语
预防性控制
旨在从源头上阻止安全事件发生的控制措施,通过消除机会或行为能力来实现。
纠正性控制
在事件发生后采取行动以限制损害、消除威胁并将系统恢复到已知正常状态的安全措施。
Compensating Controls
Compensating Controls — definition coming soon.
SIEM
聚合、归一并关联企业全网安全遥测数据,以支持检测、调查、合规与报告的平台。
EDR(端点检测与响应)
持续记录端点进程、文件、注册表与网络活动,以检测、调查并响应主机层威胁的端点安全技术。
Mean Time to Detect (MTTD)
Mean Time to Detect (MTTD) — definition coming soon.