Detection-as-code: Sigma как язык между пентестом и SOC
Схема лабораторной проверки: от проблемы к доказательству, решению и ретесту.
Коротко: Detection-as-code превращает finding в защитный контроль: что логировать, какую аномалию искать, как тестировать правило и как не утонуть в false positive.

Проблема

Пентест часто заканчивается задачами для разработчиков, но SOC остаётся без новых use cases. В следующий раз похожая активность снова пройдет незамеченной.

Сырые правила без контекста быстро шумят: нет baseline, источника логов, severity, false positive rationale и критерия проверки.

Решение

Для каждого подтвержденного finding стоит писать detection idea: log source, selection, condition, false positives, severity и ATT&CK mapping.

Правило должно проходить тест на sample logs и иметь владельца. Иначе это не detection-as-code, а заметка в отчёте.

Что проверить руками

  • Спросить, где живёт нужный лог: nginx, auth.log, EDR, cloud audit, application log.
  • Собрать benign baseline за 7-14 дней.
  • Проверить правило на тестовых событиях и на обычном трафике.
  • Привязать rule id к finding и retest certificate.

Безопасный пример кода

Sigma-style правило для всплеска 404 на edge. Пример рассчитан на owned/lab-среду и не выполняет вредоносных действий.

title: Edge 404 Burst From Single Source
id: virusologia-edge-404-burst
status: experimental
description: Detects repeated requests to non-existing paths from one source IP.
logsource:
  product: nginx
  service: access
detection:
  selection:
    status: 404
  condition: selection
fields:
  - src_ip
  - request_uri
  - user_agent
falsepositives:
  - Search engine crawlers after site migration
level: medium

Как это должно попасть в отчёт

  • SOC handoff: rule, sample event, expected alert, owner.
  • Quality: false positive notes and known benign crawlers.
  • Retest: controlled request burst creates exactly one alert.
Этическая рамка: материал предназначен для defensive security, аудита собственных систем, обучения и подготовки remediation. Он не содержит инструкций для несанкционированного доступа, закрепления, обхода защит или эксфильтрации.