Проблема
Пентест часто заканчивается задачами для разработчиков, но SOC остаётся без новых use cases. В следующий раз похожая активность снова пройдет незамеченной.
Сырые правила без контекста быстро шумят: нет baseline, источника логов, severity, false positive rationale и критерия проверки.
Решение
Для каждого подтвержденного finding стоит писать detection idea: log source, selection, condition, false positives, severity и ATT&CK mapping.
Правило должно проходить тест на sample logs и иметь владельца. Иначе это не detection-as-code, а заметка в отчёте.
Что проверить руками
- Спросить, где живёт нужный лог: nginx, auth.log, EDR, cloud audit, application log.
- Собрать benign baseline за 7-14 дней.
- Проверить правило на тестовых событиях и на обычном трафике.
- Привязать rule id к finding и retest certificate.
Безопасный пример кода
Sigma-style правило для всплеска 404 на edge. Пример рассчитан на owned/lab-среду и не выполняет вредоносных действий.
title: Edge 404 Burst From Single Source
id: virusologia-edge-404-burst
status: experimental
description: Detects repeated requests to non-existing paths from one source IP.
logsource:
product: nginx
service: access
detection:
selection:
status: 404
condition: selection
fields:
- src_ip
- request_uri
- user_agent
falsepositives:
- Search engine crawlers after site migration
level: medium
Как это должно попасть в отчёт
- SOC handoff: rule, sample event, expected alert, owner.
- Quality: false positive notes and known benign crawlers.
- Retest: controlled request burst creates exactly one alert.