A engenharia de detecção ganhou outro estatuto dentro do SOC. Ela é prioridade – e o coração da operação. Nessa esteira, as práticas de engenharia de detecção estão amadurecendo.
O State of Detection Engineering 2026 da SANS, traz um bom quadro dessas mudanças.
A principal é uma realidade dura: 80% dos profissionais ainda estão apenas nadando contra a corrente ou ficando ativamente para trás em relação às ameaças emergentes. Apenas 18% dos profissionais relatam estar à frente das ameaças.
O relatório, no entanto, também descreve que a maioria expressa alta confiança na capacidade de executar seus processos de engenharia de detecção.
Os dois dados são contraditórios, e revelam que as equipes podem ser altamente eficientes na execução das tarefas que definiram como engenharia de detecção, porém esse trabalho pode não ser suficiente diante do que os adversários estão fazendo no momento.
Essa análise é confirmada por outro dado: o excesso de falsos positivos. As regras fornecidas pelos fornecedores geram uma quantidade massiva de ruído (citado como sua principal fonte por 66% dos entrevistados). As equipes veem o ruído, porém continuam sem criar recursos para reduzi-lo.
Parte dessa incapacidade de acompanhar o ritmo está fora do controle, porque envolve o ambiente externo de ameaças. Mas outra parte é uma condição estrutural. E é essa que queremos tratar.
Como ter uma engenharia de detecção adequada?
Primeiro, vamos detalhar o que estamos compreendendo por engenharia de detecção.
Engenharia de detecção além da tradicional detecção de ameaças
De acordo com matéria do CSO, quando se fala em engenharia de detecção, diz-se algo distinto das práticas tradicionais de detecção de ameaças. E isso em questão de abordagem, metodologia e integração com o ciclo de vida de desenvolvimento.
Os processos tradicionais de detecção de ameaças são tipicamente reativos, dependente de regras pré-construídas por fornecedores. Ou seja, eles têm baixo nível de personalização. Isso não é um problema por si só. As detecções dos fornecedores são essenciais para acelerar a cobertura da superfície de ataque. O problema é quando se fica só nisso, sem adotar uma engenharia de detecção.
A engenharia de detecção se apropria de técnicas de desenvolvimento de softwares para criar e manter lógicas de detecção personalizadas ao cenário de ameaças de uma organização.
Isso frequentemente envolve uma ênfase maior em detecções baseadas em comportamento, integração de threat intelligence para criar detecções alinhadas com as táticas reais de adversários, e uso de modelagem de ameaças para antecipar possíveis caminhos de ataque, cita um especialista entrevistado pelo CSO.
Visto isso, podemos conceituar engenharia de detecção.
Conceito básico de engenharia de detecção
A engenharia de detecção é a criação e implementação de regras inteligentes para identificar possíveis ameaças de segurança dentro do ambiente tecnológico de uma organização, sem gerar uma enxurrada de falsos positivos.
O processo de engenharia de detecção normalmente envolve modelagem de ameaças, compreensão das táticas, técnicas e procedimentos (TTPs) dos atacantes, redação, testes e validação de regras de detecção, além da adaptação das detecções com base em novas ameaças e técnicas de ataque.
Ferramentas mais adotadas para engenharia de detecção
SIEM e EDR/XDR são adotadas de forma quase universal para engenharia de detecção, segundo o relatório da SANS citado acima, posicionando-se como as ferramentas dominantes na infraestrutura tecnológica, com 97% e 96% de adoção, respectivamente.
Mas o relatório também traz alguns insights sobre como o setor está tentando gerenciar sua superfície de ataque a partir desse centro:
-
Expansão em direção a modelos híbridos: Embora o SIEM continue sendo a âncora, o cenário de ferramentas está se expandindo gradualmente em direção a data lakes e plataformas nativas em nuvem. Essa mudança arquitetônica é necessária porque os ambientes nativos em nuvem representam atualmente a lacuna de cobertura mais significativa do setor, citada por 43% dos entrevistados como um grande ponto cego.
-
Colisão entre ferramentas e habilidades: Essa mudança arquitetônica, no entanto, tem criado uma nova lacuna de habilidades técnicas. À medida que os programas de detecção estão amadurecendo para modelos híbridos SIEM + data lake, a falta de proficiência em engenharia de software e de dados torna-se um obstáculo direto para o uso eficaz dessas ferramentas.
-
Complexidade de infraestrutura em vez de cobertura: O relatório emite um alerta sobre a confiando exesseiva na aquisição de ferramentas para resolver problemas. Se uma organização adota plataformas de dados modernas sem a capacidade interna de engenharia para criar detecções para elas, isso “não fecha as lacunas de cobertura; apenas adiciona complexidade de infraestrutura”.
Em última análise, tecnologia por si só não vem com engenharia de detecção embutida. Pessoas dedicadas, habilidades de engenharia, conexão com o negócio precisam acompanhar a aquisição dessas ferramentas.
Como fazer engenharia de detecção de maneira sistemática
A maioria das organizações — especialmente de grande porte — pode se beneficiar da implementação de uma abordagem sistemática para desenvolver detecções adaptadas ao seu perfil de ameaças e com alto grau de fidelidade.
Com uma abordagem sistemática, a equipe passa a ver a engenharia de detecção como um processo. Existem fluxos de trabalho bem conhecidos, como SIEM Use Cases Development (Alex Teixeira) e Detection as Code, que servem de referência para a construção de detecções que gerem alertas de alta fidelidade.
Alguns requisitos fundamentais para adotar uma abordagem sistemática em engenharia de detecção:
Ter um time de profissionais dedicados
Em muitos casos, os times de engenharia de detecção têm de uma ou duas pessoas ou estão atrelados ao SOC.
A despeito da especificidade de cada cenário, verdade seja dita: uma função crítica de segurança não pode estar atrelada a uma equipe tão reduzida ou com outra atividade primária. Nesse tipo de cenário, o trabalho fica dependente da estabilidade do pessoal, e os efeitos recaem sobre a continuidade da cobertura, a retenção de conhecimento e a velocidade de detecção da organização.
Investir em uma equipe dedicada de engenharia de detecção é um passo fundamental para resolver problemas estruturais que a excelência de um indivíduo não consegue superar. É o que fazemos aqui na DataRunk, com a squad de SIEM. Nos clientes em que operamos o SOC, sempre parte do trabalho será executado em cima das detecções vai ser executado pelo time. Porém, criação ou modificações em detecções complexas serão desenvolvidas por um time dedicado.
Para construir um programa resiliente, os líderes devem estabelecer uma função de engenharia de detecção definida e com pessoal suficiente para manter a cobertura contínua — recomendando um mínimo de três profissionais.
Além disso, essa equipe precisa de um estatuto documentado que separe explicitamente o seu trabalho especializado de detecção das tarefas gerais de operações de segurança.
Construir as competências necessárias
Fechar lacunas de habilidades técnicas é o segundo passo crítico, logo após estabelecer uma equipe de detecção dedicada. Não subestime esse passo. A falta das competências adequadas é uma das principais razões que impedem o amadurecimento da engenharia de detecção.
De acordo com a SANS, skills como engenharia de software e engenharia de dados “são requisitos absolutos para a análise moderna de ameaças” – que faz uso intensivo de dados – e para a transição do setor em direção à detecção como código (DaC). Além disso, sem essas capacidades centrais de engenharia, a adoção de data lakes modernos ou plataformas nativas em nuvem apenas adiciona complexidade, em vez de realmente fechar as lacunas de cobertura de segurança.
Aqui, o remédio é financiar treinamentos especializados em engenharia de software e de dados para a equipe de detecção atual.
Se desenvolver essas habilidades internamente não for viável, as organizações podem recrutar deliberadamente profissionais que já possuam um forte histórico em engenharia, seja por meio de contratações de profissionais, seja por professional services.
Adotar os fundamentos de detecção como código
Essa recomendação toca o trabalho estrutural, traduzindo em prática operacional.
Segundo a SANS, “embora as equipes tenham adotado as etapas iniciais do rigor de engenharia, como controle de versão e revisão por pares, elas estagnam antes de alcançar a verdadeira automação“. A integração de pipelines de CI/CD fica significativamente atrás em adoção no relatório, por exemplo.
Sem pipelines automatizados, as equipes não conseguem alcançar práticas maduras de engenharia.
A recomendação é: tratar o controle de versão e a revisão por pares como requisitos mínimos, implementando-os em até 90 dias caso ainda não estejam em vigor. A partir daí, direcionar esforços para a integração de pipelines de CI/CD, com o objetivo de alcançar a cobertura total do pipeline em até 12 meses.
Adotar os fundamentos do DaC é o principal mecanismo para se manter à frente das ameaças. Os profissionais reconhecem que as abordagens manuais não conseguem acompanhar a velocidade do cenário moderno.
Conectar detecção a gestão de riscos
Garantir que os esforços de engenharia de detecção estejam alinhados com as prioridades de proteção do negócio é essencial para manter o foco no que não pode ser ignorado. A engenharia precisa conectar o seu trabalho ao que realmente deve proteger. Aqui está o direcionamento do trabalho.
Mas esse é um dos desafios estruturais mais significativos da área. A SANS levanta que apenas 16% dos entrevistados relatam total integração entre a engenharia de detecção e a gestão de riscos, enquanto 28% relatam nenhuma integração.
A SANS recomenda a formalização da conexão entre prioridades de detecção e riscos organizacionais, transformando gestão de riscos em participante ativa na priorização do backlog de detecção por meio de pontuações de escores de risco nos itens, avaliação de porcentagem de prioridades de cobertura etc.
Incorporar IA em tarefas de detecção
A confiança dos profissionais de segurança na IA aplicada à engenharia de detecção ainda é baixa.
Os profissionais estão usando a IA apenas onde ela entrega resultados confiáveis até o momento, deixando as aplicações de maior valor agregado ainda intocadas. Como a SANS observa, “os profissionais confiam na IA para escrever o relatório, mas não para escrever a detecção”.
Além de continuar a focar na automação secundária e na documentação, os investimentos em IA podem – e devem – visar o trabalho central de detecção: criação de detecções, triagem de alertas e investigação de fontes cruzadas.
Para ganhar confiança, o setor deve desenvolver seus próprios frameworks de validação para detecções assistidas por IA.
Engenharia de detecção: amplie a capacidade de identificar ameaças
Os SOC precisa de uma engenharia de detecção madura e escalável para acompanhar o ambiente de ameaças protegendo o que interessa para a continuidade do negócio.
Vimos os passos que você pode dar para evoluir essa competência. Pavimentar o caminho para praticar engenharia de detecção em alto nível requer pessoas dedicadas, com as competências adequadas, direcionamento alinhado ao risco para o negócio e capacidade de incorporar IA e automação – em cima da estrutura tecnologia que você já tem.
Você quer acelerar esse caminho? A DataRunk pode ajudar a acelerar essa jornada na sua organização. Fale conosco!
