Ingenierie de detection
Qu'est-ce que Ingenierie de detection ?
Ingenierie de detectionDiscipline consistant a concevoir, tester, deployer et maintenir des detections de securite comme du code, avec une couverture mesurable des techniques adverses.
L'ingenierie de detection traite les regles SIEM, les analytics EDR et les requetes de threat hunting comme du logiciel : perimetre defini par des modeles de menace, contrats de telemetrie, versionnage, revue par les pairs, tests unitaires et deploiement par pipeline. Les ingenieurs cartographient les detections sur MITRE ATT&CK, documentent le triage des faux positifs, designent des proprietaires et suivent precision et rappel. Cette pratique remplace les modifications ad hoc dans la console par une gestion de changement rigoureuse et des briques reutilisables (parsers, lookups, content packs). Les programmes matures incluent backtests, simulation BAS, analyse des lacunes de telemetrie et retrait des regles peu utiles.
● Exemples
- 01
Stocker les regles Sigma dans Git avec des tests CI qui font passer des logs d'echantillon dans le pipeline avant deploiement.
- 02
Cartographier chaque regle sur des IDs de techniques ATT&CK et rapporter les lacunes de couverture au responsable SOC.
● Questions fréquentes
Qu'est-ce que Ingenierie de detection ?
Discipline consistant a concevoir, tester, deployer et maintenir des detections de securite comme du code, avec une couverture mesurable des techniques adverses. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Ingenierie de detection ?
Discipline consistant a concevoir, tester, deployer et maintenir des detections de securite comme du code, avec une couverture mesurable des techniques adverses.
Comment fonctionne Ingenierie de detection ?
L'ingenierie de detection traite les regles SIEM, les analytics EDR et les requetes de threat hunting comme du logiciel : perimetre defini par des modeles de menace, contrats de telemetrie, versionnage, revue par les pairs, tests unitaires et deploiement par pipeline. Les ingenieurs cartographient les detections sur MITRE ATT&CK, documentent le triage des faux positifs, designent des proprietaires et suivent precision et rappel. Cette pratique remplace les modifications ad hoc dans la console par une gestion de changement rigoureuse et des briques reutilisables (parsers, lookups, content packs). Les programmes matures incluent backtests, simulation BAS, analyse des lacunes de telemetrie et retrait des regles peu utiles.
Comment se défendre contre Ingenierie de detection ?
Les défenses contre Ingenierie de detection combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Ingenierie de detection ?
Noms alternatifs courants : Detection-as-code, DetEng.
● Termes liés
- defense-ops№ 1039
SIEM
Plateforme qui agrège, normalise et corrèle la télémétrie de sécurité de toute l'entreprise pour la détection, l'investigation, la conformité et le reporting.
- compliance№ 687
MITRE ATT&CK
Base de connaissances mondiale et ouverte sur les tactiques et techniques d'attaque observées dans la réalité, maintenue par MITRE.
- defense-ops№ 1147
Threat Hunting
Recherche proactive et fondée sur des hypothèses dans la télémétrie pour identifier des menaces ayant échappé aux détections existantes.
- defense-ops№ 628
Correlation de logs
Joindre des evenements provenant de plusieurs sources par champs partages, fenetres temporelles ou sequences pour reveler une activite multietape qu'un seul log ne montrerait pas.
- defense-ops№ 406
Faux positif
Alerte de securite qui classe une activite benigne comme malveillante, ce qui coute du temps aux analystes et erode la confiance dans la detection.
● Voir aussi
- № 041Fatigue d'alertes
- № 405Faux negatif
- № 1040Tuning des regles SIEM
- № 070Pattern d'attaque
- № 1081Requete SPL Splunk