Neste artigo

O que é Detection Engineering

Detection Engineering é a disciplina de criar, testar, implantar e manter lógica de detecção de ameaças de forma sistemática e escalável. Aplica princípios de engenharia de software - versionamento, code review, testes automatizados, CI/CD - ao desenvolvimento de regras de detecção para SIEM, EDR e outras ferramentas de segurança.

3%
das regras de SIEM são responsáveis por 90% dos alertas úteis em SOCs típicos

Tradicionalmente, regras de detecção eram criadas de forma ad-hoc, sem processo formal, documentação ou testes. O resultado: acúmulo de regras desatualizadas, altas taxas de falsos positivos, e gaps de cobertura desconhecidos. Detection Engineering traz rigor a esse processo.

Detection Engineering vs tradicional

Tradicional: "Vamos criar uma regra para detectar isso" → cria no SIEM → deploya → esquece

Engineering: Threat model → escreve regra em formato padrão → testa com dados simulados → code review → merge → CI/CD deploya → monitora performance → itera

SIGMA Rules

SIGMA é um formato genérico e aberto para descrever regras de detecção. É o "YARA para logs" - permite escrever regras uma vez e convertê-las para múltiplas plataformas.

Por que SIGMA?

  • Portabilidade: Mesma regra funciona em Splunk, Elastic, Sentinel, QRadar
  • Comunidade: Repositório público com 3000+ regras contribuídas
  • Padrão: Formato YAML legível e versionável
  • Integração: Suportado por ferramentas de threat intel e TIPs

Estrutura de uma regra SIGMA

title: Suspicious PowerShell Download Cradle
id: 3b6ab547-8ec2-4991-b9d2-2b06702a48d7
status: experimental
description: Detects PowerShell download cradles commonly used by malware
references:
    - https://attack.mitre.org/techniques/T1059/001/
author: Inteligência Brasil
date: 2026/01/31
modified: 2026/01/31
tags:
    - attack.execution
    - attack.t1059.001
logsource:
    category: process_creation
    product: windows
detection:
    selection_img:
        Image|endswith:
            - '\powershell.exe'
            - '\pwsh.exe'
    selection_commands:
        CommandLine|contains:
            - 'IEX'
            - 'Invoke-Expression'
            - 'Invoke-WebRequest'
            - 'Net.WebClient'
            - 'DownloadString'
            - 'DownloadFile'
    condition: selection_img and selection_commands
falsepositives:
    - Legitimate administrative scripts
    - Software deployment tools
level: medium

Conversão para plataformas

# Instalar sigma-cli
pip install sigma-cli

# Converter para Splunk
sigma convert -t splunk -p sysmon rule.yml

# Converter para Elastic
sigma convert -t elasticsearch rule.yml

# Converter para Microsoft Sentinel
sigma convert -t microsoft365defender rule.yml

SIGMA Rule Repository

O repositório SigmaHQ/sigma no GitHub contém milhares de regras prontas para uso:

  • rules/windows/: Regras para eventos Windows, Sysmon, etc.
  • rules/linux/: Detecções para sistemas Linux
  • rules/cloud/: AWS, Azure, GCP
  • rules/network/: Zeek, Suricata
  • rules/application/: Web apps, databases

Usando MITRE ATT&CK

MITRE ATT&CK fornece a taxonomia para organizar e medir cobertura de detecção.

Mapeamento de regras

Cada regra deve ser mapeada para técnicas ATT&CK relevantes. Isso permite:

  • Medir cobertura: Visualizar quais técnicas têm detecção
  • Identificar gaps: Técnicas sem cobertura são prioridade
  • Priorizar desenvolvimento: Focar em técnicas mais usadas por threat actors relevantes
  • Comunicar: Linguagem comum com red team, threat intel, liderança

ATT&CK Navigator

Ferramenta visual para mapear e visualizar cobertura:

  • Criar layer com técnicas cobertas (verde), parcialmente cobertas (amarelo), sem cobertura (vermelho)
  • Comparar cobertura atual vs threat profile de adversários relevantes
  • Exportar para reports executivos

Priorização baseada em threat intel

  1. Identificar threat actors relevantes para seu setor/região
  2. Mapear TTPs usadas por esses atores
  3. Priorizar desenvolvimento de detecções para essas TTPs
  4. Validar com red team/purple team

Ciclo de Vida de Regras

1. Ideação

  • Threat intel sobre novas técnicas
  • Gap analysis de cobertura ATT&CK
  • Post-mortem de incidentes
  • Requests do SOC ou IR team
  • Red team findings

2. Desenvolvimento

  • Escrever regra em formato SIGMA
  • Documentar: descrição, referências, falsos positivos esperados
  • Definir severidade e tags ATT&CK
  • Criar testes unitários

3. Teste

  • Unit tests: Regra detecta evento sintético esperado?
  • Backtest: Rodar contra logs históricos - quantos hits? Falsos positivos?
  • Attack simulation: Atomic Red Team, Caldera para gerar atividade real
  • Tuning: Ajustar para reduzir FPs antes de produção

4. Revisão

  • Code review por outro detection engineer
  • Verificar lógica, performance, documentação
  • Aprovar merge para branch principal

5. Deploy

  • CI/CD converte SIGMA para formato do SIEM
  • Deploy automático ou com aprovação
  • Período de observação com severidade reduzida

6. Monitoramento

  • Métricas de performance: volume de alertas, FP rate
  • Feedback do SOC sobre qualidade
  • Decay detection: regra parou de disparar? (pode indicar evasão)

7. Manutenção

  • Tuning contínuo baseado em feedback
  • Atualização quando técnica evolui
  • Deprecação de regras obsoletas

Detection as Code

Detection as Code aplica práticas de engenharia de software ao conteúdo de detecção:

Repositório Git

  • Todas as regras versionadas em Git
  • Histórico de mudanças auditável
  • Branches para desenvolvimento, staging, produção
  • Pull requests para revisão

CI/CD Pipeline

# Exemplo GitHub Actions
name: Detection CI/CD
on:
  push:
    paths: 'rules/**'
jobs:
  test:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v3
      - name: Validate SIGMA syntax
        run: sigma check rules/
      - name: Run unit tests
        run: python test_rules.py
      - name: Convert to Splunk
        run: sigma convert -t splunk rules/ -o output/
      - name: Deploy to SIEM
        run: ./deploy_rules.sh
        if: github.ref == 'refs/heads/main'

Testes automatizados

  • Syntax validation: SIGMA valida estrutura da regra
  • Unit tests: Eventos de teste que devem/não devem disparar
  • Backtest automation: Rodar novas regras contra logs históricos
  • Performance tests: Medir impacto em recursos do SIEM

Ferramentas úteis

  • sigma-cli: CLI oficial para validação e conversão
  • Uncoder.io: Conversor web para múltiplas plataformas
  • DeTT&CT: Ferramenta para mapear e visualizar cobertura ATT&CK
  • Atomic Red Team: Biblioteca de testes para validar detecções
  • Chainsaw: Ferramenta para testar regras contra logs Windows

Métricas e Melhoria Contínua

Métricas de qualidade

  • True Positive Rate: Alertas que eram ameaças reais
  • False Positive Rate: Alertas incorretos / total de alertas
  • Mean Time to Detect (MTTD): Tempo entre atividade e alerta
  • Detection Coverage: % de técnicas ATT&CK com detecção

Métricas operacionais

  • Alertas por regra: Identificar regras muito barulhentas
  • Regras nunca disparadas: Podem indicar problema ou ameaça inexistente
  • Tempo de tuning: Quanto tempo para estabilizar nova regra
  • Feedback do SOC: NPS ou rating das regras pelos analistas

Validação contínua

  • Purple team exercises: Validar que detecções funcionam contra ataques reais
  • BAS (Breach and Attack Simulation): Testes automatizados contínuos
  • Atomic tests: Executar técnicas específicas para validar regras

Detection Coverage vs Depth

Não basta ter uma regra por técnica (coverage). Avalie a profundidade: a regra detecta todas as variantes da técnica? Atacantes frequentemente modificam TTPs ligeiramente para evadir detecções superficiais.

Perguntas Frequentes

O que é Detection Engineering?

Detection Engineering é a disciplina de criar, testar, implantar e manter regras de detecção de ameaças de forma sistemática e escalável. Aplica princípios de engenharia de software (versionamento, testes, CI/CD) ao desenvolvimento de conteúdo de detecção para SIEM, EDR e outras ferramentas de segurança.

O que são SIGMA rules?

SIGMA é um formato genérico e aberto para descrever regras de detecção. Regras escritas em SIGMA podem ser convertidas para múltiplas plataformas (Splunk, Elastic, Microsoft Sentinel, QRadar, etc.) usando conversores. Isso permite compartilhar detecções entre a comunidade e evitar vendor lock-in.

Como medir a eficácia de regras de detecção?

Métricas incluem: taxa de falsos positivos (alertas incorretos / total de alertas), taxa de detecção (ameaças detectadas / total de ameaças no período), cobertura MITRE ATT&CK (% de técnicas cobertas), tempo médio de detecção (MTTD), e operational relevance (alertas que levaram a ações). Testes com red team e BAS validam eficácia real.

Por onde começar com Detection Engineering?

Comece organizando regras existentes em repositório Git. Adote SIGMA como formato padrão para novas regras. Implemente validação básica no CI. Mapeie cobertura atual contra MITRE ATT&CK para identificar gaps. Estabeleça métricas de qualidade (FP rate, alertas por regra). Evolua para testes automatizados e purple team validation.

Conclusão

Detection Engineering transforma a criação de regras de detecção de arte em ciência. Ao aplicar princípios de engenharia - versionamento, testes, CI/CD, métricas - organizações conseguem manter conteúdo de detecção de alta qualidade de forma escalável.

A adoção de SIGMA como formato padrão liberta as regras de vendor lock-in e permite aproveitar o conhecimento da comunidade. O mapeamento para MITRE ATT&CK fornece linguagem comum e visibilidade sobre gaps de cobertura.

O resultado é um SOC mais eficaz: menos falsos positivos, mais ameaças detectadas, e capacidade de evoluir a detecção continuamente conforme o cenário de ameaças muda.

Evolua sua Capacidade de Detecção

Precisa de ajuda para implementar Detection Engineering no seu SOC ou melhorar sua cobertura de detecção? Entre em contato para uma consultoria especializada.

Falar com Especialista