Entry № 341
ディテクションエンジニアリング
ディテクションエンジニアリング とは何ですか?
ディテクションエンジニアリング脅威モデルに基づいて検知をコードとして設計・テスト・展開・運用し、攻撃手法に対する網羅性を測定可能にする実践分野。
ディテクションエンジニアリングは、SIEM ルール、EDR の分析、脅威ハンティングクエリをソフトウェアとして扱います。脅威モデルでスコープを定め、テレメトリ契約に基づいて記述し、バージョン管理・レビュー・ユニットテスト・パイプライン展開を経て本番化します。エンジニアは検知を MITRE ATT&CK のテクニックにマッピングし、誤検知の対応手順を文書化し、所有者を決め、精度と再現率を継続的に計測します。これにより SIEM コンソール上の場当たり的な修正を、厳密な変更管理と再利用可能な部品(パーサー、ルックアップ、コンテンツパック)に置き換えます。成熟した運用にはバックテスト、BAS、テレメトリギャップ分析、低価値ルールの退役管理が含まれます。
● 例
- 01
Sigma ルールを Git で管理し、CI でサンプルログをパイプラインに通してテストしてから展開する。
- 02
各ルールを ATT&CK テクニック ID に紐づけ、SOC マネージャーに網羅性のギャップを報告する。
● よくある質問
ディテクションエンジニアリング とは何ですか?
脅威モデルに基づいて検知をコードとして設計・テスト・展開・運用し、攻撃手法に対する網羅性を測定可能にする実践分野。 サイバーセキュリティの 防御と運用 カテゴリに属します。
ディテクションエンジニアリング とはどういう意味ですか?
脅威モデルに基づいて検知をコードとして設計・テスト・展開・運用し、攻撃手法に対する網羅性を測定可能にする実践分野。
ディテクションエンジニアリング からどのように防御しますか?
ディテクションエンジニアリング に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
ディテクションエンジニアリング の別名は何ですか?
一般的な別名: Detection as Code, DetEng。