Engenharia de detecao
O que é Engenharia de detecao?
Engenharia de detecaoDisciplina de desenhar, testar, implantar e manter detecoes de seguranca como codigo, com cobertura mensuravel das tecnicas adversarias.
A engenharia de detecao trata regras de SIEM, analytics de EDR e consultas de threat hunting como software: ambito definido por modelos de ameaca, contratos de telemetria, controlo de versoes, revisao por pares, testes unitarios e implantacao por pipeline. Os engenheiros mapeiam detecoes para MITRE ATT&CK, documentam o tratamento de falsos positivos, atribuem responsaveis e acompanham precisao e recall. A pratica substitui ajustes ad hoc na consola por gestao de mudanca rigorosa e blocos reutilizaveis (parsers, lookups, content packs). Programas maduros incluem backtests, simulacao BAS, analise de lacunas de telemetria e retirada de regras de baixo valor.
● Exemplos
- 01
Guardar regras Sigma em Git com testes CI que passam logs de exemplo pelo pipeline antes da implantacao.
- 02
Mapear cada regra a IDs de tecnicas ATT&CK e reportar lacunas de cobertura ao gestor do SOC.
● Perguntas frequentes
O que é Engenharia de detecao?
Disciplina de desenhar, testar, implantar e manter detecoes de seguranca como codigo, com cobertura mensuravel das tecnicas adversarias. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Engenharia de detecao?
Disciplina de desenhar, testar, implantar e manter detecoes de seguranca como codigo, com cobertura mensuravel das tecnicas adversarias.
Como funciona Engenharia de detecao?
A engenharia de detecao trata regras de SIEM, analytics de EDR e consultas de threat hunting como software: ambito definido por modelos de ameaca, contratos de telemetria, controlo de versoes, revisao por pares, testes unitarios e implantacao por pipeline. Os engenheiros mapeiam detecoes para MITRE ATT&CK, documentam o tratamento de falsos positivos, atribuem responsaveis e acompanham precisao e recall. A pratica substitui ajustes ad hoc na consola por gestao de mudanca rigorosa e blocos reutilizaveis (parsers, lookups, content packs). Programas maduros incluem backtests, simulacao BAS, analise de lacunas de telemetria e retirada de regras de baixo valor.
Como se defender contra Engenharia de detecao?
As defesas contra Engenharia de detecao costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Engenharia de detecao?
Nomes alternativos comuns: Detection-as-code, DetEng.
● Termos relacionados
- defense-ops№ 1039
SIEM
Plataforma que agrega, normaliza e correlaciona telemetria de segurança em toda a organização para deteção, investigação, conformidade e reporting.
- compliance№ 687
MITRE ATT&CK
Base de conhecimento global e aberta sobre táticas e técnicas de adversários observadas em ataques reais, mantida pela MITRE.
- defense-ops№ 1147
Caça a Ameaças
Busca proativa e orientada por hipóteses na telemetria para encontrar ameaças que escaparam das detecções existentes.
- defense-ops№ 628
Correlacao de logs
Unir eventos de varias fontes de logs por campos comuns, janelas temporais ou sequencia para revelar atividade em varias fases que um unico log nao mostra.
- defense-ops№ 406
Falso positivo
Alerta de seguranca que classifica atividade legitima como maliciosa, consumindo tempo dos analistas e degradando a confianca na detecao.
● Veja também
- № 041Fadiga de alertas
- № 405Falso negativo
- № 1040Tuning de regras SIEM
- № 070Padrao de ataque
- № 1081Consulta SPL do Splunk