ディテクションエンジニアリング
ディテクションエンジニアリング とは何ですか?
ディテクションエンジニアリング脅威モデルに基づいて検知をコードとして設計・テスト・展開・運用し、攻撃手法に対する網羅性を測定可能にする実践分野。
ディテクションエンジニアリングは、SIEM ルール、EDR の分析、脅威ハンティングクエリをソフトウェアとして扱います。脅威モデルでスコープを定め、テレメトリ契約に基づいて記述し、バージョン管理・レビュー・ユニットテスト・パイプライン展開を経て本番化します。エンジニアは検知を MITRE ATT&CK のテクニックにマッピングし、誤検知の対応手順を文書化し、所有者を決め、精度と再現率を継続的に計測します。これにより SIEM コンソール上の場当たり的な修正を、厳密な変更管理と再利用可能な部品(パーサー、ルックアップ、コンテンツパック)に置き換えます。成熟した運用にはバックテスト、BAS、テレメトリギャップ分析、低価値ルールの退役管理が含まれます。
● 例
- 01
Sigma ルールを Git で管理し、CI でサンプルログをパイプラインに通してテストしてから展開する。
- 02
各ルールを ATT&CK テクニック ID に紐づけ、SOC マネージャーに網羅性のギャップを報告する。
● よくある質問
ディテクションエンジニアリング とは何ですか?
脅威モデルに基づいて検知をコードとして設計・テスト・展開・運用し、攻撃手法に対する網羅性を測定可能にする実践分野。 サイバーセキュリティの 防御と運用 カテゴリに属します。
ディテクションエンジニアリング とはどういう意味ですか?
脅威モデルに基づいて検知をコードとして設計・テスト・展開・運用し、攻撃手法に対する網羅性を測定可能にする実践分野。
ディテクションエンジニアリング はどのように機能しますか?
ディテクションエンジニアリングは、SIEM ルール、EDR の分析、脅威ハンティングクエリをソフトウェアとして扱います。脅威モデルでスコープを定め、テレメトリ契約に基づいて記述し、バージョン管理・レビュー・ユニットテスト・パイプライン展開を経て本番化します。エンジニアは検知を MITRE ATT&CK のテクニックにマッピングし、誤検知の対応手順を文書化し、所有者を決め、精度と再現率を継続的に計測します。これにより SIEM コンソール上の場当たり的な修正を、厳密な変更管理と再利用可能な部品(パーサー、ルックアップ、コンテンツパック)に置き換えます。成熟した運用にはバックテスト、BAS、テレメトリギャップ分析、低価値ルールの退役管理が含まれます。
ディテクションエンジニアリング からどのように防御しますか?
ディテクションエンジニアリング に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
ディテクションエンジニアリング の別名は何ですか?
一般的な別名: Detection as Code, DetEng。
● 関連用語
- defense-ops№ 1039
SIEM
企業全体のセキュリティテレメトリを集約・正規化・相関分析し、検知・調査・コンプライアンス・レポートを支援するプラットフォーム。
- compliance№ 687
MITRE ATT&CK
MITRE が維持する、実際の攻撃で観測された攻撃者の戦術・技術に関するグローバルな公開ナレッジベース。
- defense-ops№ 1147
スレットハンティング
既存検知をすり抜けた脅威を見つけ出すため、テレメトリを仮説駆動で能動的に探索する取り組み。
- defense-ops№ 628
ログ相関
共通フィールド・時間窓・順序にもとづいて複数のログソースのイベントを結び付け、単一ログでは分からない多段階の活動を可視化する手法。
- defense-ops№ 406
誤検知
正常な活動を悪性として検知してしまうセキュリティアラート。アナリストの時間を消費し、検知ルールへの信頼を損なう。
● 関連項目
- № 041アラート疲れ
- № 405見逃し
- № 1040SIEM ルールチューニング
- № 070攻撃パターン
- № 1081Splunk SPL クエリ