本文讨论了安全监控活动的核心——用例，并提出了一些挑战和最佳实践建议。最新报告显示，企业SIEM中的检测覆盖和用例管理存在问题，实际检测覆盖率低于预期，部分规则破损。文章强调了MITRE ATT&CK框架的重要性，可帮助组织衡量和改进威胁覆盖范围。最后，提出了审查SIEM流程、有意识开发和管理检测内容，以及衡量和改进检测工程流程等最佳实践建议。