Ingenieria de deteccion
¿Qué es Ingenieria de deteccion?
Ingenieria de deteccionDisciplina de disenar, probar, desplegar y mantener detecciones de seguridad como codigo, con cobertura medible sobre tecnicas adversarias.
La ingenieria de deteccion trata las reglas de SIEM, las analiticas de EDR y las consultas de threat hunting como software: alcance segun modelos de amenaza, contratos de telemetria, control de versiones, revision por pares, tests unitarios y despliegue por pipelines. Los ingenieros mapean detecciones a MITRE ATT&CK, documentan el triage de falsos positivos, asignan propietarios y siguen precision y recall. Esta practica sustituye los ajustes ad hoc en la consola por una gestion de cambios rigurosa y bloques reutilizables (parsers, lookups, content packs). Los programas maduros incluyen backtesting, simulacion BAS, analisis de huecos de telemetria y retirada de reglas sin valor.
● Ejemplos
- 01
Almacenar reglas Sigma en Git con tests de CI que pasan registros de muestra por el pipeline antes del despliegue.
- 02
Mapear cada regla a IDs de tecnicas ATT&CK e informar al manager del SOC los huecos de cobertura.
● Preguntas frecuentes
¿Qué es Ingenieria de deteccion?
Disciplina de disenar, probar, desplegar y mantener detecciones de seguridad como codigo, con cobertura medible sobre tecnicas adversarias. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Ingenieria de deteccion?
Disciplina de disenar, probar, desplegar y mantener detecciones de seguridad como codigo, con cobertura medible sobre tecnicas adversarias.
¿Cómo funciona Ingenieria de deteccion?
La ingenieria de deteccion trata las reglas de SIEM, las analiticas de EDR y las consultas de threat hunting como software: alcance segun modelos de amenaza, contratos de telemetria, control de versiones, revision por pares, tests unitarios y despliegue por pipelines. Los ingenieros mapean detecciones a MITRE ATT&CK, documentan el triage de falsos positivos, asignan propietarios y siguen precision y recall. Esta practica sustituye los ajustes ad hoc en la consola por una gestion de cambios rigurosa y bloques reutilizables (parsers, lookups, content packs). Los programas maduros incluyen backtesting, simulacion BAS, analisis de huecos de telemetria y retirada de reglas sin valor.
¿Cómo defenderse de Ingenieria de deteccion?
Las defensas contra Ingenieria de deteccion combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Ingenieria de deteccion?
Nombres alternativos comunes: Detection-as-code, DetEng.
● Términos relacionados
- defense-ops№ 1039
SIEM
Plataforma que agrega, normaliza y correlaciona telemetría de seguridad de toda la organización para detectar, investigar, cumplir y reportar.
- compliance№ 687
MITRE ATT&CK
Base de conocimiento global y abierta de tácticas y técnicas de adversarios observadas en ataques reales, mantenida por MITRE.
- defense-ops№ 1147
Caza de Amenazas
Búsqueda proactiva basada en hipótesis sobre la telemetría para descubrir amenazas que han eludido las detecciones existentes.
- defense-ops№ 628
Correlacion de logs
Vincular eventos de varias fuentes de logs por campos comunes, ventanas de tiempo o secuencia para revelar actividad multietapa que un solo log no muestra.
- defense-ops№ 406
Falso positivo
Alerta que clasifica como maliciosa una actividad legitima, gastando tiempo de los analistas y erosionando la confianza en la deteccion que la produjo.
● Véase también
- № 041Fatiga de alertas
- № 405Falso negativo
- № 1040Ajuste de reglas SIEM
- № 070Patrón de ataque
- № 1081Consulta SPL de Splunk