Detection engineering
Что такое Detection engineering?
Detection engineeringДисциплина проектирования, тестирования, развертывания и поддержки правил обнаружения как кода с измеримым покрытием техник противника.
Detection engineering относится к правилам SIEM, аналитике EDR и запросам охоты как к программному обеспечению: рамки задаются моделями угроз, опираются на контракты телеметрии, применяются версионирование, code review, юнит-тесты и пайплайны развертывания. Инженеры связывают правила с техниками MITRE ATT&CK, документируют разбор ложных срабатываний, назначают владельцев и отслеживают точность и полноту со временем. Эта практика заменяет «правки в консоли SIEM» строгим управлением изменениями и переиспользуемыми блоками (парсеры, lookup-таблицы, контент-паки). Зрелые программы включают бектесты, BAS, анализ пробелов телеметрии и снятие с эксплуатации малоценных правил.
● Примеры
- 01
Хранение Sigma-правил в Git и запуск CI, прогоняющего тестовые логи через конвейер перед публикацией.
- 02
Связывание каждого правила с ID техник ATT&CK и отчёт о пробелах покрытия руководителю SOC.
● Частые вопросы
Что такое Detection engineering?
Дисциплина проектирования, тестирования, развертывания и поддержки правил обнаружения как кода с измеримым покрытием техник противника. Относится к категории Защита и операции в кибербезопасности.
Что означает Detection engineering?
Дисциплина проектирования, тестирования, развертывания и поддержки правил обнаружения как кода с измеримым покрытием техник противника.
Как работает Detection engineering?
Detection engineering относится к правилам SIEM, аналитике EDR и запросам охоты как к программному обеспечению: рамки задаются моделями угроз, опираются на контракты телеметрии, применяются версионирование, code review, юнит-тесты и пайплайны развертывания. Инженеры связывают правила с техниками MITRE ATT&CK, документируют разбор ложных срабатываний, назначают владельцев и отслеживают точность и полноту со временем. Эта практика заменяет «правки в консоли SIEM» строгим управлением изменениями и переиспользуемыми блоками (парсеры, lookup-таблицы, контент-паки). Зрелые программы включают бектесты, BAS, анализ пробелов телеметрии и снятие с эксплуатации малоценных правил.
Как защититься от Detection engineering?
Защита от Detection engineering обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Detection engineering?
Распространённые альтернативные названия: Detection-as-code, DetEng.
● Связанные термины
- defense-ops№ 1039
SIEM
Платформа, которая агрегирует, нормализует и коррелирует данные безопасности со всей организации для обнаружения угроз, расследований, соответствия требованиям и отчётности.
- compliance№ 687
MITRE ATT&CK
Глобально доступная база знаний о тактиках и техниках противников, наблюдаемых в реальных атаках, поддерживаемая MITRE.
- defense-ops№ 1147
Охота за угрозами
Проактивный поиск по телеметрии на основе гипотез, направленный на обнаружение угроз, проскочивших мимо имеющихся детектов.
- defense-ops№ 628
Корреляция логов
Связывание событий из нескольких источников по общим полям, временным окнам или последовательности, чтобы выявить многошаговую активность, скрытую в отдельных логах.
- defense-ops№ 406
Ложноположительное срабатывание
Оповещение, ошибочно квалифицирующее нормальную активность как вредоносную, расходующее время аналитиков и подрывающее доверие к правилу.