Το παρακάτω σενάριο είναι ανώνυμο και βασίζεται σε ελεγχόμενη, εξουσιοδοτημένη αξιολόγηση ασφαλείας. Δεν περιλαμβάνει πραγματικά στοιχεία πελάτη, πραγματικές διευθύνσεις, domains, credentials ή ευαίσθητες τεχνικές λεπτομέρειες — μόνο μοτίβα έκθεσης που συναντά συχνά η Audax σε έργα υπό NDA.
Κάθε σύστημα ανίχνευσης — SIEM, threat hunting, detection engineering — στηρίζεται σε μια θεμελιώδη παραδοχή: ότι τα σωστά logs συλλέγονται. Αν ένα κρίσιμο log source δεν τροφοδοτεί το SIEM, τότε καμία ανίχνευση, κανένας κανόνας και κανένας hunter δεν μπορεί να δει τι συμβαίνει εκεί. Η ανίχνευση χωρίς τα κατάλληλα δεδομένα είναι, κυριολεκτικά, αδύνατη.
Το πρόβλημα είναι ότι τα κενά καταγραφής είναι από τα πιο συχνά και πιο υποτιμημένα τυφλά σημεία. Ένα log source μπορεί να μην έχει ρυθμιστεί ποτέ να στέλνει στο SIEM· μπορεί να σταμάτησε σιωπηλά μετά από μια αλλαγή· μπορεί να στέλνει ελλιπή δεδομένα· ή το σημαντικό γεγονός να μην καταγράφεται καθόλου. Σε κάθε περίπτωση, ο οργανισμός νομίζει ότι έχει ορατότητα ενώ δεν έχει.
Η επικύρωση κάλυψης logs δεν αποδεικνύεται από το πλήθος των log sources ή τον όγκο των δεδομένων. Αποδεικνύεται όταν εκτελεστεί ελεγχόμενα δραστηριότητα που πρέπει να παράγει συγκεκριμένα logs, και επιβεβαιωθεί ότι αυτά φτάνουν πραγματικά στο SIEM. Η Audax, με υποστήριξη του Erevos AI, χαρτογραφεί τα πραγματικά τυφλά σημεία καταγραφής.
Το επιχειρησιακό πρόβλημα
Τα κενά καταγραφής είναι κρίσιμα γιατί υπονομεύουν αθόρυβα κάθε επίπεδο ανίχνευσης.
- Λείποντα log sources: κρίσιμα συστήματα που δεν στέλνουν καθόλου στο SIEM.
- Σιωπηλές αστοχίες: πηγές που σταμάτησαν να στέλνουν χωρίς ειδοποίηση.
- Ελλιπή δεδομένα: logs που λείπουν τα πεδία που χρειάζεται η ανίχνευση.
- Ψευδής αίσθηση κάλυψης: «έχουμε SIEM» χωρίς να συλλέγονται τα σωστά γεγονότα.
Η ουσία: χωρίς επικύρωση, μπορεί να επενδύετε σε κανόνες και hunters πάνω σε δεδομένα που απλώς δεν υπάρχουν — και να μην το γνωρίζετε μέχρι να είναι αργά.
Το σενάριο που πρέπει να ελεγχθεί
Το ερώτημα δεν είναι «έχουμε SIEM και logs;» αλλά: «όταν συμβεί μια συγκεκριμένη κρίσιμη ενέργεια σε ένα σύστημα, φτάνει πραγματικά το αντίστοιχο log στο SIEM, με τα πεδία που χρειάζεται η ανίχνευση;»
Σε υψηλό επίπεδο, η ελεγχόμενη και εξουσιοδοτημένη αξιολόγηση εκτελεί ρεαλιστικές, μη καταστροφικές ενέργειες που θα έπρεπε να παράγουν συγκεκριμένα logs (π.χ. συγκεκριμένα events ταυτότητας, δικτύου ή endpoint) και στη συνέχεια επαληθεύει αν αυτά τα logs έφτασαν στο SIEM, πλήρη και έγκαιρα. Χαρτογραφεί τα log sources έναντι των τεχνικών MITRE ATT&CK που χρειάζονται για να ανιχνευθούν. Δεν εκτελούνται επιθέσεις στην παραγωγή.

| Τακτική (Tactic) | ATT&CK ID | Τεχνική | Τι σημαίνει στο σενάριο |
|---|---|---|---|
| Initial Access | T1078 | Valid Accounts | Έλεγχος αν events σύνδεσης καταγράφονται (synthetic). |
| Execution | T1059 | Command and Scripting Interpreter | Έλεγχος logging εκτέλεσης σε endpoint. |
| Persistence | T1098 | Account Manipulation | Έλεγχος logging αλλαγών ταυτότητας. |
| Discovery | T1018 | Remote System Discovery | Έλεγχος logging δικτυακής δραστηριότητας. |
| Defense Evasion | T1562.002 | Disable Windows Event Logging | Έλεγχος ανθεκτικότητας καταγραφής (synthetic). |
Τι επικυρώνει το Erevos AI
Η πλατφόρμα Erevos AI μετράει την κάλυψη καταγραφής ως χάρτη ορατότητας, όχι ως όγκο δεδομένων. Επικυρώνει:
- Κάλυψη log sources έναντι κρίσιμων συστημάτων & τεχνικών ATT&CK.
- Τυφλά σημεία καταγραφής όπου δεν φτάνουν logs στο SIEM.
- Πληρότητα & ποιότητα των logs (απαραίτητα πεδία).
- Σιωπηλές αστοχίες και καθυστερήσεις (latency) στη ροή logs.
- Επιχειρησιακή επίπτωση & προτεραιότητα διόρθωσης ανά κενό.
Έτσι ο οργανισμός βλέπει ποια ανίχνευση είναι θεμελιωδώς αδύνατη λόγω έλλειψης δεδομένων — και διορθώνει την αιτία, όχι το σύμπτωμα.

| Δείκτης (Erevos AI) | Τιμή | Σοβαρότητα | Τι σημαίνει για τη διοίκηση |
|---|---|---|---|
| Log Source Coverage | 66% | Υψηλή | Κρίσιμα συστήματα χωρίς καταγραφή στο SIEM. |
| Silent Failures | 3 | Κρίσιμη | Πηγές που σταμάτησαν να στέλνουν. |
| Field Completeness | Μερική | Υψηλή | Logs χωρίς απαραίτητα πεδία. |
| ATT&CK Visibility | Μερική | Υψηλή | Τεχνικές μη ανιχνεύσιμες λόγω δεδομένων. |
| Remediation Priority | P1 | Υψηλή | Onboarding πηγών, monitoring ροής, πληρότητα. |
Πώς εκτελείται η αξιολόγηση από την Audax
Η Audax εκτελεί την αξιολόγηση με δομημένη, εξουσιοδοτημένη μεθοδολογία:
- Scoping & authorization: ορισμός συστημάτων, log sources και ορίων, με γραπτή εξουσιοδότηση.
- Discovery: καταγραφή των δηλωμένων log sources και της ροής τους προς το SIEM.
- Validation: ελεγχόμενη παραγωγή events & επαλήθευση ως μέρος SOC, SIEM & EDR effectiveness και purple teaming & detection validation.
- Mapping: αντιστοίχιση log sources με τεχνικές ATT&CK που χρειάζονται για ανίχνευση.
- Risk scoring & evidence: βαθμολόγηση και αποδείξεις μέσω Erevos AI.
- Executive reporting & roadmap: αναφορά διοίκησης και πλάνο διόρθωσης (onboarding πηγών, monitoring ροής, πληρότητα πεδίων).
- Retesting: επανέλεγχος μετά τις διορθώσεις.
Η λογική εντάσσεται στο Continuous Exposure Management: κάθε νέο σύστημα ή αλλαγή μπορεί να δημιουργήσει νέο τυφλό σημείο καταγραφής.
Τι αποδείξεις λαμβάνει ο οργανισμός
Ο οργανισμός λαμβάνει μετρήσιμες αποδείξεις για το ποια logs φτάνουν πραγματικά στο SIEM και ποια λείπουν — όχι μια εκτίμηση κάλυψης.
| Παραδοτέο | Περιεχόμενο | Παραλήπτης |
|---|---|---|
| Επικυρωμένα ευρήματα | Logs που έφτασαν ή όχι, ανά source, με στιγμιότυπα | SIEM / SOC team |
| Χάρτης κάλυψης | Log sources έναντι ATT&CK τεχνικών | CISO / SOC |
| Risk scoring | Βαθμολόγηση κάλυψης & τυφλών σημείων | Διοίκηση |
| MITRE ATT&CK mapping | Ποιες τεχνικές είναι/δεν είναι ανιχνεύσιμες | SOC / Purple Team |
| Executive summary | Μη-τεχνική σύνοψη ορατότητας καταγραφής | CEO / Board |
| Remediation roadmap | Onboarding, flow monitoring, πληρότητα, retest | SIEM / SOC |
Γιατί έχει αξία για NIS2, DORA ή executive cyber risk
Η αξιόπιστη καταγραφή και παρακολούθηση γεγονότων είναι θεμέλιο των υποχρεώσεων ανίχνευσης και αναφοράς της NIS2 και της επιχειρησιακής ανθεκτικότητας του DORA. Χωρίς επαληθευμένη κάλυψη logs, οι σχετικές δυνατότητες ανίχνευσης και η ικανότητα διερεύνησης περιστατικών υπονομεύονται στη βάση τους.
Σε επίπεδο executive cyber risk, η αξία είναι η μετάφραση: από «έχουμε SIEM» σε «το SIEM καλύπτει το 66% των κρίσιμων log sources και τρεις πηγές έχουν σταματήσει σιωπηλά — εδώ διορθώνουμε». Έτσι η διοίκηση κατανοεί ότι η ανίχνευση είναι τόσο καλή όσο τα δεδομένα της.
Ενδεικτικά ανώνυμα αποτελέσματα
Σε ένα ανώνυμο σενάριο αξιολόγησης, ένας οργανισμός μπορεί να ανακαλύψει ότι αρκετά κρίσιμα events ταυτότητας και endpoint δεν έφταναν ποτέ στο SIEM — επειδή ορισμένα log sources δεν είχαν ρυθμιστεί ποτέ σωστά, ενώ άλλα είχαν σταματήσει σιωπηλά μετά από μια αλλαγή, χωρίς να υπάρξει καμία ειδοποίηση.
Μετά το onboarding των ελλειπόντων log sources, την προσθήκη monitoring που ανιχνεύει σιωπηλές αστοχίες ροής και τη διασφάλιση της πληρότητας των πεδίων, ο επανέλεγχος μπορεί να δείξει σημαντική αύξηση της κάλυψης και της ανιχνευσιμότητας — μια μετρήσιμη βελτίωση ορατότητας, όχι μια υπόσχεση.
Πότε πρέπει να εφαρμοστεί αυτό το use case
Το συγκεκριμένο use case έχει τη μεγαλύτερη αξία:
- Μετά από deployment ή migration SIEM.
- Μετά από αλλαγές υποδομής, νέα συστήματα ή cloud onboarding.
- Πριν από επένδυση σε νέους κανόνες ή threat hunting.
- Πριν από έλεγχο NIS2/DORA για ανίχνευση & αναφορά.
- Περιοδικά, ως συνεχής επικύρωση κάλυψης καταγραφής.
Συμπέρασμα
Η ανίχνευση είναι τόσο καλή όσο τα δεδομένα στα οποία στηρίζεται. Ένα τυφλό σημείο καταγραφής ακυρώνει κάθε κανόνα και κάθε hunter που εξαρτάται από αυτό. Το Erevos AI — η πλατφόρμα συνεχούς διαχείρισης έκθεσης (Continuous Threat Exposure Management, CTEM) — μετατρέπουν την κάλυψη logs από παραδοχή σε επαληθευμένο, μετρήσιμο μέγεθος. Η Audax Cybersecurity μπορεί να εκτελέσει αυτή την επικύρωση ελεγχόμενα και να σας παραδώσει σαφές roadmap — ώστε να επενδύετε σε ανίχνευση πάνω σε δεδομένα που πραγματικά υπάρχουν.
Συχνές ερωτήσεις
Σε τι διαφέρει από την επικύρωση EDR/SIEM ανίχνευσης;
Η επικύρωση ανίχνευσης ρωτά «παράγεται alert;». Εδώ ρωτάμε ένα βήμα πιο πίσω: «φτάνουν καν τα logs που χρειάζεται ο κανόνας;». Πολλές αποτυχίες ανίχνευσης οφείλονται όχι σε κακούς κανόνες, αλλά σε δεδομένα που λείπουν.
Θα κάνετε επίθεση στα συστήματα παραγωγής μας;
Όχι. Εκτελούμε ελεγχόμενες, μη καταστροφικές ενέργειες που απλώς πρέπει να παράγουν συγκεκριμένα logs, και επαληθεύουμε αν αυτά φτάνουν στο SIEM. Δεν προκαλούμε ζημιά ούτε διακοπή.
Καλύπτετε cloud, identity και endpoint log sources;
Ναι, εφόσον περιλαμβάνονται στο scope. Αξιολογούμε log sources σε endpoint, ταυτότητα, δίκτυο και cloud, και τα αντιστοιχίζουμε με τις τεχνικές ATT&CK που χρειάζονται για ανίχνευση.
Γιατί να μην εμπιστευτώ τα dashboards του SIEM;
Τα dashboards δείχνουν τι συλλέγεται, όχι τι λείπει. Μια πηγή που δεν ρυθμίστηκε ποτέ ή σταμάτησε σιωπηλά απλώς δεν εμφανίζεται. Η ενεργή επικύρωση αποκαλύπτει ακριβώς αυτά τα τυφλά σημεία.
Δείτε αν αυτό το σενάριο ισχύει στο δικό σας περιβάλλον
Θέλετε να μάθετε αν το συγκεκριμένο σενάριο μπορεί να συμβεί και στον δικό σας οργανισμό; Η Audax Cybersecurity εκτελεί ελεγχόμενη αξιολόγηση exposure με Erevos AI, Adversary Validation και Attack Path Validation με τεχνικές αποδείξεις, επιχειρησιακή ανάλυση ρίσκου και σαφές remediation roadmap — με υποστήριξη της πλατφόρμας Erevos AI για συνεχή επικύρωση έκθεσης.
Θέλετε να επικυρώσετε την ασφάλειά σας στην πράξη;
Η Audax αποδεικνύει το ρίσκο με πραγματικά σενάρια επίθεσης — όχι απλώς λίστες ελέγχου.
Ζητήστε δωρεάν αξιολόγηση →