DE 偵測
DE 指尋找並分析可能發生的資安攻擊和危害事件
ID 識別資產與優先處理風險
PR 保護這些資產的能力
DE 識別和分析可能正在發生資安攻擊事件異常、入侵指標和其他潛在不利事件的能力
持續監控 (DE.CM)
異常與事件 (DE.AE)
持續監控 (DE.CM)
DE.CM-01
監控網路和網路服務
以發現潛在的不利事件
目的
核心
措施
監控 DNS、BGP、其他協定是否有不利事件
網路攻擊
系統漏洞
設備故障
監控有線和無線網路是否有未經授權端點連線
監控設施中是否有未經授權或惡意的無線網路
將實際網路流量與基準進行比較,以偵測偏差
監控網路通訊以識別安全狀態變化實現零信任
例子
DE.CM-02
監控實體環境
以發現潛在的不利事件
目的
核心
措施
監控實體控制系統日誌找異常或失敗進出紀錄
審查和監控實體存取記錄
監控實體存取控制是否有被竄改的蹤跡
鎖
保全系統
監視器
使用保全系統、攝影機和警衛監控實體安全
例子
DE.CM-03
監控人員活動和技術使用情況
以發現潛在的不利事件
目的
核心
措施
使用行為分析軟體來偵測異常的使用者活動,以減輕內部威脅
監控員工的網路瀏覽記錄
以發現是否瀏覽可疑網站或下載惡意軟體的行為
監控員工的郵件收發情況
以發現是否有發送或接收釣魚郵件的行為
監控員工使用可移動儲存設備的情況
以防止資料洩漏
對員工進行安全意識培訓
提高其安全意識和防範能力
監控邏輯存取控制系統的日誌
以找出異常的存取模式和失敗的存取嘗試
持續監控社交工程技術,包括使用者帳戶密碼
以發現任何使用情況
例子
DE.CM-06
監控外部服務供應商的服務
以發現潛在的不利事件
目的
核心
措施
監控外部供應商對組織系統
執行的遠端和現場管理和維護行為
監控基於雲端服務、網際網路服務供應商
其他服務供應商行為,去發現與預期不符行為
例子
DE.CM-09
監控運算硬體和軟體、
執行時環境及其資料
以發現潛在的不利事件
目的
核心
措施
監控電子郵件、網路、檔案共用、協作服務
以偵測惡意軟體、網路釣魚、資料洩漏和外洩
監控身份驗證嘗試
以識別針對憑證攻擊和未經授權憑證重複使用
監控軟體設定與安全基準的誤差
監控硬體和軟體是否有被竄改的蹤跡
使用端點上存在技術來偵測網路健康問題
並在授權存取之前將端點重新導向到修復環境
缺少修補程式
惡意軟體感染
未經授權軟體
例子
以下關於 DE.CM-09「監控運算硬體和軟體、執行時環境及其資料,以發現潛在的不利事件」的敘述,何者為錯誤?
A) 目的是為了全面監控系統各個層面,及時發現異常和攻擊跡象,確保資訊系統和資料的安全。
B) 其核心概念是系統安全是一個持續的過程,需要全面監控硬體、軟體、資料等各個方面。
C) 其措施包括監控電子郵件、網路、檔案共用、協作服務等,以偵測惡意軟體、網路釣魚、資料洩漏和外洩等。
D) 根據 DE.CM-09,針對授權硬體貼上識別標籤的主要目的是為了防止資料外洩。
答案
D
DE.CM-01 強調監控網路和網路服務以發現潛在的不利事件。以下哪一項措施最能體現 DE.CM-01 的核心概念?
A) 使用入侵偵測系統 (IDS) 來偵測和阻止網路攻擊。
B) 定期對網路設備進行漏洞掃描和修補。
C) 持續監控網路流量,並利用 SIEM 系統進行關聯分析,以及時發現異常行為。
D) 對網路設備進行安全加強,例如禁用不必要的服務和端口。
答案
C
以下哪一組監控目標最符合 DE.CM-03「監控人員活動和技術使用情況,以發現潛在的不利事件」的原則?
A) 網路流量、防火牆日誌
B) 員工電子郵件、網際網路瀏覽記錄
C) 伺服器 CPU 使用率、資料庫連線數
D) 實體門禁系統日誌、監視攝影機畫面
答案
B
以下哪個情境最能說明 DE.CM-06「監控外部服務供應商活動和服務,以發現潛在的不利事件」的重要性?
A) 公司內部員工因為操作失誤,導致重要資料被刪除。
B) 公司網站遭受 DDoS 攻擊,導致服務中斷。
C) 公司使用的雲端服務供應商出現安全漏洞,導致客戶資料外洩。
D) 公司內部員工因為不滿公司政策,將機密資料洩露給競爭對手。
答案
C
根據 DE.CM 的定義,以下哪一項設定不屬於設定持續監控的範疇?
A) 監控網路流量以發現異常行為。
B) 監控系統日誌以發現入侵跡象。
C) 制定安全事件應急預案。
D) 監控員工行為以發現潛在威脅。
答案
C