SecOps

Da detecção tradicional à engenharia de detecção: qual o caminho?

porMarketing

 

A detecção ganhou outro estatuto dentro do SOC. Agora, ela é prioridade – e o coração do SOC. A percepção é que não se pode mais depender só de detecções de fornecedores ou de triagem manual. É preciso uma engenharia de detecção, construir uma lógica de detecção que identifique IoAs e IoCs no ambiente.

É o que mostra o levantamento da SANS especificamente sobre essa disciplina, o 2025 State of Detection Engineering. Segundo o relatório, as práticas de engenharia de detecção evoluíram ao longo dos anos. A principal razão foi a insuficiência das detecções prontas para uso, dado seu caráter genérico. Além de não levarem a um nível de proteção abrangente, elas podem gerar excesso de falsos positivos e nem sempre alertar sobre o que realmente importa.

Ainda assim, o caminho para fazer uma engenharia de detecção customizadas eficaz continua sendo desafiador para muitas equipes de segurança. Muitas ainda não dispõem de acesso aos dados corretos, necessários para a detecção efetiva de ameaças. Coletar, normalizar e integrar dados de segurança está entre os maiores desafios. 

Para adotarem uma abordagem mais proativa e analítica, as equipes sentem falta de competências em modelagem de ameaças, documentação, enriquecimento de alertas, reports e visualizações, detection-as-code e monitoramento do pipeline de logs – para citar as mencionadas no relatório da SANS. Além disso, as dificuldades também estão relacionadas à má configuração de ferramentas, que leva a excesso de falsos positivos. 

Como sair da detecção tradicional para uma engenharia de detecção propriamente dita?

Primeiro, vamos detalhar o que estamos compreendendo por um conceito e outro.

Engenharia de detecção: além da tradicional detecção de ameaças

De acordo com matéria do CSO, quando se fala em engenharia de detecção, diz-se algo distinto das práticas tradicionais de detecção de ameaças. E isso em questão de abordagem, metodologia e integração com o ciclo de vida de desenvolvimento

Os processos tradicionais de detecção de ameaças são tipicamente reativos, dependente de regras pré-construídas por fornecedores. Ou seja, eles têm baixo nível de personalização. Isso não é um problema por si só. As detecções dos fornecedores são essenciais para acelerar a cobertura da superfície de ataque. O problema é quando se fica só nisso, sem adotar uma engenharia de detecção.

A engenharia de detecção se apropria de técnicas de desenvolvimento de softwares para criar e manter lógicas de detecção personalizadas ao cenário de ameaças de uma organização. 

Isso frequentemente envolve uma ênfase maior em detecções baseadas em comportamento, integração de threat intelligence para criar detecções alinhadas com as táticas reais de adversários, e uso de modelagem de ameaças para antecipar possíveis caminhos de ataque, cita um especialista entrevistado pelo CSO. 

Visto isso, podemos conceituar engenharia de detecção.

Conceito básico de engenharia de detecção

A engenharia de detecção é a criação e implementação de regras inteligentes para identificar possíveis ameaças de segurança dentro do ambiente tecnológico de uma organização, sem gerar uma enxurrada de falsos positivos. 

O processo de engenharia de detecção normalmente envolve modelagem de ameaças, compreensão das táticas, técnicas e procedimentos (TTPs) dos atacantes, redação, testes e validação de regras de detecção, além da adaptação das detecções com base em novas ameaças e técnicas de ataque.

Como fazer engenharia de detecção de maneira sistemática

A maioria das organizações — especialmente de grande porte — pode se beneficiar da implementação de uma abordagem sistemática para desenvolver detecções adaptadas ao seu perfil de ameaças e com alto grau de fidelidade.

Com uma abordagem sistemática, a equipe passa a ver a engenharia de detecção como um processo e não apenas como a escrita de regras de detecção. Existem fluxos de trabalho bem conhecidos, como SIEM Use Cases Development (Alex Teixeira) e Detection-as-code, que servem de referência para a construção de detecções que gerem alertas de alta fidelidade.

Alguns requisitos fundamentais para adotar uma abordagem sistemática em engenharia de detecção:

  • Profissionais qualificados: tudo começa nas pessoas, e na engenharia de detecção não é diferente. Tenha engenheiros de detecção, analistas e pesquisadores de ameaças, para desenvolver e aprimorar as regras.

  • Processos formais de pesquisa sobre ameaças e modelagem de ameaças: pesquise, analise e crie uma representação estruturada de toda informação que afeta a segurança de uma aplicação, qualquer que ela seja. Isso deve incluir a descrição do objeto a ser modelado, potenciais ameaças, ações de contenção e modelos de validação dessas ações. Para aprender mais sobre threat modeling, acesso o Threat Modeling Manifesto. É recomendado o uso de frameworks como o MITRE ATT&CK para mapear a cobertura das detecções frente às técnicas conhecidas de adversários, e o uso de ferramentas de emulação de adversários para validar a eficácia das regras. A integração à threat intelligence, a fim de compreender e prever alvos e comportamentos de atacantes é fundamental para descobrir APTs.

  • Acesso aos dados: as equipes de engenharia de detecção precisam de acesso adequado a logs e eventos de segurança de endpoints, redes, ambientes em nuvem e ferramentas de segurança, além de uma plataforma centralizada de SIEM ou gerenciamento de logs para agregar e normalizar os dados de segurança. A riqueza e diversidade dos dados é crucial para a engenharia de detecção.
     
  • Enriquecimento e contextualização: deve haver um esforço dirigido para ir além da geração de alertas, trazendo informação contextual que ajude o analista de SOC a compreender rapidamente a ameaça e tomar decisões bem informadas.

  • Testes e validação contínuos: uma vez implantadas, as detecções vão precisar de melhoria, seja porque atacantes vão encontrar novas táticas e métodos de ataque, seja porque precisam de refinamento para gerar menos falsos positivos. Red teams devem simular ataques para verificar o funcionamento das detecções. 

  • Feedback da equipe de resposta: considerar o feedback das equipes à frente da resposta a incidentes sobre quaisquer questões relacionadas às detecções existentes ou sobre a criação de novas detecções.
     

Engenharia de detecção: amplie a capacidade de identificar ameaças

Os SOCs precisam de um rol de detecções altamente personalizadas para alcançar o nível de acurácia necessário para seus alertas.

Vimos que a engenharia de detecção é a competência por trás desse amadurecimento e como ela vai além das abordagens tradicionais. Pavimentar o caminho para praticá-la em alto nível requer pessoas, processos e tecnologias.

O resultado, no entanto, vem e é compensador. A DataRunk pode ajudar a acelerar essa jornada na sua organização. Fale conosco!

mãos femininas digitando em laptop a exemplo de engenharia de detecção
DataRunk SOC

Some nossa experiência e conhecimento técnico a cinco frentes do seu SOC

SIEM

SOAR

Detecção e resposta

Threat hunting

Cyber threat intelligence

Quero reforços

Explore conteúdos relacionados:

SecOps

Como ganhar visibilidade sobre um ambiente tecnológico complexo

Leia mais →
SecOps

SIEM: por que os times de segurança escolhem o Splunk Enterprise?

Leia mais →

Endereço: Rua Elesbão Pinto, 460 - sala 705, Mont Blanc Office, Blumenau - SC

Política de Privacidade

Política de Cookies

Termos de uso

trasso

Some nossa experiência e conhecimento técnico a seu SOC em:

SIEM

SOAR

Detecção e resposta

Threat hunting

Cyber threat intelligence

Quero reforços para o SOC