Engenharia de Detecção
A disciplina de projetar, construir e validar regras de detecção e sistemas para identificar atividade maliciosa em redes e sistemas.
Definição
Engenharia de Detecção é o processo sistemático de criar regras de detecção que identificam atividade maliciosa ou suspeita. Em vez de responder manualmente a alertas, engenheiros de detecção escrevem queries e regras que automaticamente sinalizam ameaças.
A engenharia de detecção moderna é impulsionada por MITRE ATT&CK, criando regras para táticas e técnicas específicas que atacantes usam.
Princípios-Chave
Mentalidade Primeira-Prevenção
- Assuma que atacantes entrarão
- Focar em detectar o que eles fazem depois da entrada
- Projetar regras para T1021 (movimento lateral), T1005 (coleta de dados), etc.
Baseado em Evidências
- Construir regras ao redor de indicadores observáveis de comprometimento
- Regras devem ser testáveis contra logs reais de segurança
- Validar regras contra incidentes históricos
Gerenciamento de Falsos Positivos
- Regras que disparam muito frequentemente são ignoradas
- Equilibrar sensibilidade de detecção com falsos positivos
- Ajustar regras continuamente
Metodologia
- Mapear ameaças para técnicas ATT&CK
- Identificar como cada técnica se manifesta em logs
- Escrever regras visando técnicas específicas
- Validar contra dados históricos
- Implantar e monitorar
Exemplo de Regra de Detecção
Técnica: T1087 (Account Discovery)
Observável: Múltiplos comandos falhados de descoberta de conta de um único usuário
Regra: Alerta quando um único sistema envia >10 net user queries em 5 minutos
Isso detecta a fase de reconhecimento de ataques antes de movimento lateral ou roubo de dados ocorrerem.