Controles detectivos
O que é Controles detectivos?
Controles detectivosMedidas de segurança concebidas para identificar e alertar sobre atividades maliciosas, violações de política ou anomalias depois de ocorrerem no ambiente.
Os controles detectivos são salvaguardas que descobrem e sinalizam incidentes de segurança em vez de bloqueá-los. Incluem regras de correlação de SIEM, sensores IDS, telemetria EDR, monitoramento de integridade de arquivos, registros de auditoria e análise de anomalias. Seu valor está em reduzir o tempo entre o comprometimento e a descoberta, alimentar a resposta a incidentes e fornecer evidências forenses. Complementam os preventivos: quando a prevenção falha, a detecção garante que a falha não passe despercebida. Sua eficácia é medida pela cobertura do MITRE ATT&CK, pela fidelidade dos alertas e por métricas como o MTTD.
● Exemplos
- 01
Regra SIEM que dispara quando uma conta de serviço efetua login interativo pela primeira vez.
- 02
EDR alertando sobre execução suspeita de PowerShell encadeada a partir de um documento do Word.
● Perguntas frequentes
O que é Controles detectivos?
Medidas de segurança concebidas para identificar e alertar sobre atividades maliciosas, violações de política ou anomalias depois de ocorrerem no ambiente. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Controles detectivos?
Medidas de segurança concebidas para identificar e alertar sobre atividades maliciosas, violações de política ou anomalias depois de ocorrerem no ambiente.
Como se defender contra Controles detectivos?
As defesas contra Controles detectivos costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Controles detectivos?
Nomes alternativos comuns: Controles de detecção, Controles de monitoramento.