Detection engineering
Что такое Detection engineering?
Detection engineeringДисциплина проектирования, тестирования, развертывания и поддержки правил обнаружения как кода с измеримым покрытием техник противника.
Detection engineering относится к правилам SIEM, аналитике EDR и запросам охоты как к программному обеспечению: рамки задаются моделями угроз, опираются на контракты телеметрии, применяются версионирование, code review, юнит-тесты и пайплайны развертывания. Инженеры связывают правила с техниками MITRE ATT&CK, документируют разбор ложных срабатываний, назначают владельцев и отслеживают точность и полноту со временем. Эта практика заменяет «правки в консоли SIEM» строгим управлением изменениями и переиспользуемыми блоками (парсеры, lookup-таблицы, контент-паки). Зрелые программы включают бектесты, BAS, анализ пробелов телеметрии и снятие с эксплуатации малоценных правил.
● Примеры
- 01
Хранение Sigma-правил в Git и запуск CI, прогоняющего тестовые логи через конвейер перед публикацией.
- 02
Связывание каждого правила с ID техник ATT&CK и отчёт о пробелах покрытия руководителю SOC.
● Частые вопросы
Что такое Detection engineering?
Дисциплина проектирования, тестирования, развертывания и поддержки правил обнаружения как кода с измеримым покрытием техник противника. Относится к категории Защита и операции в кибербезопасности.
Что означает Detection engineering?
Дисциплина проектирования, тестирования, развертывания и поддержки правил обнаружения как кода с измеримым покрытием техник противника.
Как защититься от Detection engineering?
Защита от Detection engineering обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Detection engineering?
Распространённые альтернативные названия: Detection-as-code, DetEng.