通过测试结果发现,大多数产品具备基本的告警功能,但自动化编排响应能力有待提高。根据测试用例要求,受测产品在告警能力方面,可进行实时有效告警,告警方式包括界面、邮件、短信、站内信等,并且告警信息在系统中有详细记录。
在联动能力方面,具备与其他设备API/Syslog/SNMP等接口的配置,并且可以与企业其他产品和其他企业或开源组件实现数据联动,以满足风险通知等。
KillChain、ATT&CK技术落地仍需完善。通过测试结果发现,仅有不足8款产品实现了基于各类攻击链的告警分析,以ATT&CK为例,包括初始访问、执行、持久化、授权、防御规避、凭证访问等全过程告警功能。但是在风险告警与攻击链构成防御策略方面仍需不断完善。随着各企业在国家APT网络攻击对抗领域的不断深入研究与实践,应持续完善产品能力,以在网络安全防御与应急响应工作中起到实际效果。
