15 procent van alle SIEM-regels werken zelfs helemaal niet door foute configuratie van databronnen en lege velden.
In een nieuw rapport door CardinalOps blijkt dat enterprise SIEM-oplossingen 80 procent van de MITRE ATT&CK technieken niet detecteren. Die laatste is een industriestandaard catalogus met online gedrag gebaseerd op levensechte observaties bij onder andere Splunk, Microsoft Sentinel en IBM QRadar. Het cijfer is significant omdat het essentieel is om malafide activiteiten zo snel mogelijk te herkennen voor er een materiële impact is.
Volgens CardinalOps is hun onderzoek gebaseerd op analyses van echte SIEM-configuraties in productie binnen de enterprisemarkt in moderne Security Operations Centers (SOC’s). Door de bijna 200 aanvalstechnieken van MITRE ATT&CK te gebruiken als basis, blijkt dat de detectie veel lager ligt dan SOC’s verwachten.
De drie belangrijkste logbronnen die worden ingeslikt door een SIEM maar waar niets mee wordt gedaan, zijn identiteitsbronnen, SaaS-suites zoals Microsoft 365 en Google Workspace, en cloudinfrastructuur logs.
Vooral rond identiteit (bv Active Directory of Okta) merkt CardinalOps een groot probleem op. Drie op vier organisaties die daarmee werken, gebruiken ze voor geen enkele detectie-project. Dit biedt heel wat opportuniteiten voor organisaties om richting zero trust te evolueren.
Het onderzoek sluit af met een heleboel best practices en voorstellen om een SIEM-configuratie beter en efficiënter te configureren.