暹粒假阴性

Question

我工作的公司有一个暹粒，当你试图在任何工作站上安装任何软件时，它都能检测到。如果其中一名员工试图安装不良软件，则SIEM将触发警报。为了避免这种情况，我在职场的朋友们通常从他们的个人笔记本电脑上下载软件。

暹粒在这种情况下做了假否定吗？

Answer 1

我认为你只是误解了你的暹粒应该做什么，或者它是如何运作的。

SIEM很可能通过OS的审计日志或类似的方法，在安装“坏软件”时发出警告。由于个人笔记本电脑不是公司管理的客户，他们很可能不会向暹粒提交这些审计记录，也不会以其他方式与之沟通。因此，它们不会触发警报。您的SIEM显然不检查下载/流量是否恶意，只检查员工是否试图在公司设备上安装任何软件，并报告未经批准/“坏”软件的安装尝试。

所以简单地说:不，你的暹粒没有报告虚假的底片。你的暹粒只是在力所能及的范围内完成它的任务。