Entry № 405
漏报
漏报 是什么?
漏报检测未能识别的恶意活动,使威胁悄然进行,防御者无法察觉并响应。
漏报是检测的静默失效:真实攻击发生却没有触发告警,分析人员根本没机会响应。常见原因有日志来源缺失、攻击者绕过签名、检测覆盖太窄、采集流水线故障、时间窗口空隙,以及对手使用 living-off-the-land、加密 C2 等手法。漏报比误报更难度量,因为它们本质上不可见。减少漏报的方法包括紫队演练、入侵与攻击模拟(BAS)、按 MITRE ATT&CK 评估覆盖、为检测编写单元测试,以及持续进行遥测数据缺口分析。
● 示例
- 01
攻击者使用已签名的 Windows 二进制(LOLBins)执行命令,任何签名都未告警。
- 02
新的恶意软件家族因其 TLS C2 流量未在代理处被解密检查而漏检。
● 常见问题
漏报 是什么?
检测未能识别的恶意活动,使威胁悄然进行,防御者无法察觉并响应。 它属于网络安全的 防御与运营 分类。
漏报 是什么意思?
检测未能识别的恶意活动,使威胁悄然进行,防御者无法察觉并响应。
漏报 是如何工作的?
漏报是检测的静默失效:真实攻击发生却没有触发告警,分析人员根本没机会响应。常见原因有日志来源缺失、攻击者绕过签名、检测覆盖太窄、采集流水线故障、时间窗口空隙,以及对手使用 living-off-the-land、加密 C2 等手法。漏报比误报更难度量,因为它们本质上不可见。减少漏报的方法包括紫队演练、入侵与攻击模拟(BAS)、按 MITRE ATT&CK 评估覆盖、为检测编写单元测试,以及持续进行遥测数据缺口分析。
如何防御 漏报?
针对 漏报 的防御通常结合技术控制与运营实践,详见上方完整定义。
漏报 还有哪些其他名称?
常见的别称包括: FN, 漏检。
● 相关术语
● 参见
- № 041告警疲劳