Detection Engineering
Was ist Detection Engineering?
Detection EngineeringDisziplin, Sicherheits-Detections wie Code zu entwerfen, zu testen, auszurollen und zu pflegen, mit messbarer Abdeckung gegnerischer Techniken.
Detection Engineering behandelt SIEM-Regeln, EDR-Analytics und Hunting-Queries wie Software: Scope durch Threat-Models, Telemetrie-Vertraege, Versionierung, Peer-Review, Unit-Tests und Pipeline-Deployments. Engineers mappen Detections auf MITRE ATT&CK-Techniken, dokumentieren das Triage-Vorgehen fuer Falsch-Positive, definieren Owner und verfolgen Precision und Recall ueber die Zeit. Die Praxis ersetzt Ad-hoc-Anpassungen in der SIEM-Konsole durch striktes Change Management und wiederverwendbare Bausteine (Parser, Lookups, Content Packs). Reife Programme umfassen Backtests, Breach-and-Attack-Simulation, Telemetrie-Gap-Analysen und das Stilllegen geringwertiger Regeln.
● Beispiele
- 01
Sigma-Regeln in Git ablegen und vor dem Deployment per CI Beispiel-Logs durch die Pipeline laufen lassen.
- 02
Jede Regel auf ATT&CK-Technik-IDs mappen und Coverage-Luecken an den SOC-Leiter berichten.
● Häufige Fragen
Was ist Detection Engineering?
Disziplin, Sicherheits-Detections wie Code zu entwerfen, zu testen, auszurollen und zu pflegen, mit messbarer Abdeckung gegnerischer Techniken. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Detection Engineering?
Disziplin, Sicherheits-Detections wie Code zu entwerfen, zu testen, auszurollen und zu pflegen, mit messbarer Abdeckung gegnerischer Techniken.
Wie funktioniert Detection Engineering?
Detection Engineering behandelt SIEM-Regeln, EDR-Analytics und Hunting-Queries wie Software: Scope durch Threat-Models, Telemetrie-Vertraege, Versionierung, Peer-Review, Unit-Tests und Pipeline-Deployments. Engineers mappen Detections auf MITRE ATT&CK-Techniken, dokumentieren das Triage-Vorgehen fuer Falsch-Positive, definieren Owner und verfolgen Precision und Recall ueber die Zeit. Die Praxis ersetzt Ad-hoc-Anpassungen in der SIEM-Konsole durch striktes Change Management und wiederverwendbare Bausteine (Parser, Lookups, Content Packs). Reife Programme umfassen Backtests, Breach-and-Attack-Simulation, Telemetrie-Gap-Analysen und das Stilllegen geringwertiger Regeln.
Wie schützt man sich gegen Detection Engineering?
Schutzmaßnahmen gegen Detection Engineering kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Detection Engineering?
Übliche alternative Bezeichnungen: Detection-as-Code, DetEng.
● Verwandte Begriffe
- defense-ops№ 1039
SIEM
Plattform, die Sicherheits-Telemetrie aus dem gesamten Unternehmen aggregiert, normalisiert und korreliert, um Erkennung, Untersuchung, Compliance und Reporting zu ermöglichen.
- compliance№ 687
MITRE ATT&CK
Global zugängliche, von MITRE gepflegte Wissensdatenbank über Taktiken und Techniken realer Angreifer.
- defense-ops№ 1147
Threat Hunting
Proaktive, hypothesengetriebene Suche in der Telemetrie nach Bedrohungen, die bestehenden Detektionen entgangen sind.
- defense-ops№ 628
Log-Korrelation
Verknuepfung von Ereignissen aus mehreren Log-Quellen ueber gemeinsame Felder, Zeitfenster oder Sequenzen, um mehrstufige Aktivitaeten sichtbar zu machen.
- defense-ops№ 406
False Positive
Sicherheitsalarm, der harmlose Aktivitaeten als boesartig kennzeichnet, Analystenzeit kostet und das Vertrauen in die Detection schwaecht.
● Siehe auch
- № 041Alert-Fatigue
- № 405False Negative
- № 1040SIEM-Regel-Tuning
- № 070Angriffsmuster (Attack Pattern)
- № 1081Splunk-SPL-Abfrage