检测工程
检测工程 是什么?
检测工程以代码方式设计、测试、部署并维护安全检测的学科,可对对手技术实现可度量的覆盖率。
检测工程把 SIEM 规则、EDR 分析和威胁狩猎查询视作软件:依据威胁模型确定范围,基于遥测契约编写,纳入版本控制、同行评审、单元测试,通过流水线部署。工程师将检测映射到 MITRE ATT&CK 技术,记录误报处置流程,指定负责人,并持续跟踪精确率和召回率。这种做法用严格的变更管理和可复用模块(解析器、查找表、内容包)取代在 SIEM 控制台上的临时改动。成熟的项目还包含回溯测试、BAS 入侵与攻击模拟、遥测缺口分析,以及对低价值规则的下线管理。
● 示例
- 01
把 Sigma 规则存放在 Git 中,通过 CI 将样本日志运行在流水线上进行测试后再发布。
- 02
将每条规则映射到 ATT&CK 技术 ID,并向 SOC 经理汇报覆盖缺口。
● 常见问题
检测工程 是什么?
以代码方式设计、测试、部署并维护安全检测的学科,可对对手技术实现可度量的覆盖率。 它属于网络安全的 防御与运营 分类。
检测工程 是什么意思?
以代码方式设计、测试、部署并维护安全检测的学科,可对对手技术实现可度量的覆盖率。
检测工程 是如何工作的?
检测工程把 SIEM 规则、EDR 分析和威胁狩猎查询视作软件:依据威胁模型确定范围,基于遥测契约编写,纳入版本控制、同行评审、单元测试,通过流水线部署。工程师将检测映射到 MITRE ATT&CK 技术,记录误报处置流程,指定负责人,并持续跟踪精确率和召回率。这种做法用严格的变更管理和可复用模块(解析器、查找表、内容包)取代在 SIEM 控制台上的临时改动。成熟的项目还包含回溯测试、BAS 入侵与攻击模拟、遥测缺口分析,以及对低价值规则的下线管理。
如何防御 检测工程?
针对 检测工程 的防御通常结合技术控制与运营实践,详见上方完整定义。
检测工程 还有哪些其他名称?
常见的别称包括: 检测即代码, DetEng。
● 相关术语
- defense-ops№ 1039
SIEM
聚合、归一并关联企业全网安全遥测数据,以支持检测、调查、合规与报告的平台。
- compliance№ 687
MITRE ATT&CK
由 MITRE 维护、面向全球开放的对手战术与技术知识库,基于真实攻击观察持续更新。
- defense-ops№ 1147
威胁狩猎
基于假设的主动搜索,深入遥测数据,发现绕过现有检测的威胁。
- defense-ops№ 628
日志关联
依据共享字段、时间窗口或事件顺序,将来自多个日志源的事件关联起来,以呈现单条日志无法显示的多阶段活动。
- defense-ops№ 406
误报
将正常活动标记为恶意的安全告警,消耗分析人员时间并削弱对相应检测规则的信任。
● 参见
- № 041告警疲劳
- № 405漏报
- № 1040SIEM 规则调优
- № 070攻击模式
- № 1081Splunk SPL 查询