安全检测工程框架
各维度得分依据公开资料与字段推算,加权后即综合评分,仅供参考。
detectionengineering.io是安全从业者Kyle Bailey推出的检测工程成熟度矩阵工具,核心定位是为全球安全运营团队提供体系化的检测能力量化标准与建设路线图。近年来检测工程正从事件响应团队的附属职能,转变为安全运营的独立核心岗位,但行业内缺乏统一的能力衡量框架,该矩阵正是为填补这一空白推出,帮助企业快速定位自身检测工程能力所处阶段,明确从0搭建或升级团队的落地方向。
该矩阵的框架逻辑非常清晰,覆盖了检测工程的全链路能力,拆分为3大核心维度、6个子项、3个成熟度等级:
维度分为人员、流程、技术三大类:人员维度包含团队配置、管理层支持两个子项;流程维度覆盖检测工作流、能力指标两个子项;技术维度则对应环境日志可见性、SIEM(安全信息与事件管理)运行能力两个子项。
成熟度从低到高分为Defined(基础级)、Managed(规范化级)、Optimized(优化级)三个层级,每个子项都有明确的阶段判定标准——比如人员维度的基础级是「检测工作由事件响应人员兼职完成,无细分领域专家」,优化级则要求「拥有专职团队,覆盖主机、网络、云、应用等全检测领域的专属专家」。
此外矩阵还对齐了行业通用的MITRE ATT&CK攻击框架,支持企业量化评估自身检测规则的攻击覆盖度,同时配套了SANS蓝队峰会、BSidesSF的相关主题演讲作为补充参考资源。
该工具完全免费开源,无任何付费套餐。V1版本已正式发布在GitHub,所有企业和个人均可免费获取、自定义调整框架内容,不存在使用门槛。
优势非常突出:首先是分级标准清晰,无需专业背景即可快速完成团队能力自评;其次维度覆盖全面,从管理层认知到技术细节的全链路能力都有明确衡量标准,避免了评估的片面性;同时完全开源免费,适合预算有限的中小团队使用,且配套的行业权威资源大幅提升了实践参考价值。
不足也较为明显:当前仅发布V1版本,技术模块下的部分子项内容尚未展示完整;仅提供静态框架,没有在线交互评估工具,需要企业手动对照完成评估;另外暂未针对不同规模、不同行业的企业给出适配调整建议,通用场景的落地指引有待完善。
该工具最适合三类用户:一是刚成立的安全运营团队,用来搭建检测工程的能力框架;二是成熟安全团队,用来定位现有能力缺口,制定升级路线;三是安全团队管理者,用来向上对齐资源需求,清晰展示检测工程的价值与建设优先级。
中国用户可直接访问该网站,无需代理,GitHub开源仓库也可正常获取,不存在访问障碍。
本测评基于公开资料整理,不构成购买建议,请以 detectionengineering.io 官网实际信息为准。
免费安全检测工程方法论,适合蓝队学习。
评分明细(分布与用户短评)接入中。当前展示 TG4G 综合评分,数据源自公开测评与用户反馈。