Controles detectivos

Também conhecido como: Controles de detecção, Controles de monitoramento

Medidas de segurança concebidas para identificar e alertar sobre atividades maliciosas, violações de política ou anomalias depois de ocorrerem no ambiente.

Os controles detectivos são salvaguardas que descobrem e sinalizam incidentes de segurança em vez de bloqueá-los. Incluem regras de correlação de SIEM, sensores IDS, telemetria EDR, monitoramento de integridade de arquivos, registros de auditoria e análise de anomalias. Seu valor está em reduzir o tempo entre o comprometimento e a descoberta, alimentar a resposta a incidentes e fornecer evidências forenses. Complementam os preventivos: quando a prevenção falha, a detecção garante que a falha não passe despercebida. Sua eficácia é medida pela cobertura do MITRE ATT&CK, pela fidelidade dos alertas e por métricas como o MTTD.

Exemplos

Regra SIEM que dispara quando uma conta de serviço efetua login interativo pela primeira vez.
EDR alertando sobre execução suspeita de PowerShell encadeada a partir de um documento do Word.

Controles detectivos

Exemplos

Termos relacionados

Controles preventivos

Controles corretivos

Compensating Controls

SIEM

EDR (Endpoint Detection and Response)

Mean Time to Detect (MTTD)

Definição

Exemplos

Termos relacionados

Controles preventivos

Controles corretivos

Compensating Controls

SIEM

EDR (Endpoint Detection and Response)

Mean Time to Detect (MTTD)