Detection Engineering

定義

• 「ソフトウェア開発におけるベストプラクティスを脅威検知に取り入れる取り組み」
• 明確な定義はない
• 類義語・関連用語
  • Detection as Code
  • Policy as Code （参考：Policy as Code 入門）
  • Monitoring as Code
  • Autonomic Security Operations
  • SecOps

The core idea of detection engineering is to approach threat detection in the same way we approach developing software. This means writing detection rules and processes in a programming language, adopting test-driven development, utilizing a version control system, peer-review of changes, and automation of deployments using a CI/CD workflow.

https://engineering.mercari.com/en/blog/entry/20220513-detection-engineering-and-soar-at-mercari/

One of the important concepts of detection engineering is Detection-as-Code (DaC). Essentially, DaC means that detection will involve the best implementation practices of software engineering by using the modern agile CI/CD (continuous integration and continuous delivery) pipeline.

https://socprime.com/blog/what-is-detection-engineering/

その他参考資料

• Autonomic Security Operations https://services.google.com/fh/files/misc/googlecloud_autonomicsecurityoperations_soc10x.pdf
• https://www.splunk.com/en_us/blog/learn/detection-as-code.html
• https://www.splunk.com/en_us/blog/learn/detection-engineering.html

なぜ Detection Engineering が必要か

1) 分析・対応・改善などのプロセスが属人化してしまう

分析やトリアージだけでなく、検知ルールの改善などにおいても人に依存してしまう形になることで、スケールが難しくなる

• 手動対応をすることで暗黙知が蓄積されてしまう
  • 継承にも手間がかかる
  • “職人技” になってしまい他のメンバーが真似しづらくなる
  • 作業に関する知識だけでなく、なぜそうなったかという歴史的経緯の情報も個人に蓄積されていき、十分に共有されない
    • 改善に取り組む際の不明点になったり、変更してはいけないものを変更して事故になる
    • 特に知識が複数人にばらけると経緯確認などが著しく困難になる