Detection-as-code: Sigma как язык между пентестом и SOC
Хороший пентест должен оставлять после себя не только PDF, но и идеи детектирования. Sigma помогает описать сигнал один раз и затем переводить его в SIEM-запросы.
читать разбор →// soc / detection engineering / telemetry
Отдельный исследовательский поток о том, как строить detection program без самообмана: telemetry contracts, Sigma validation, query budgets, hunt-flow design, KPI шума и нормальная передача lessons learned из пентеста и DFIR обратно в SOC.
question -> data contract -> validation dataset -> rule -> analyst feedback -> retest
// updated 05.07.2026
// focused stream
Хороший пентест должен оставлять после себя не только PDF, но и идеи детектирования. Sigma помогает описать сигнал один раз и затем переводить его в SIEM-запросы.
читать разбор →Visibility-инструменты ценны, пока не начинают вредить целевой машине. Osquery и Fleet хороши там, где есть query budget, ownership, интервал, label targeting и понимание цены каждой таблицы.
читать разбор →Когда hunting завязан на один SIEM-запрос или одну ручную заметку, он не переживает смену источника логов. Намного полезнее описывать hunt как reusable hypothesis flow: сущности, шаги, enrichment и критерий остановки.
читать разбор →Количество rule files почти ничего не говорит о зрелости detection program. Намного важнее coverage intent, false positive burn rate, скорость правки и способность превратить red-team/pentest lessons в стабильные сигналы.
читать разбор →Security Onion, Fleet, Zeek, Suricata и endpoint-данные сильны не количеством сенсоров, а качеством контракта между ними: кто отвечает за поле, какую гипотезу оно закрывает и сколько стоит собирать его в production.
читать разбор →Даже хорошая Sigma-идея может утонуть в шуме, если rule не прогоняется на реальных benign-логах и на контролируемых test-events. Validation dataset нужен не для красоты, а для инженерной честности.
читать разбор →// working logic
Хороший SOC stream не начинается с количества rules. Он начинается с вопроса, потом проверяет качество данных, затем валидирует rule на benign/test dataset и только после этого масштабирует покрытие.
question -> data contract -> validation dataset -> rule -> analyst feedback -> retest
// related