// soc / detection engineering / telemetry

SOC Research

Отдельный исследовательский поток о том, как строить detection program без самообмана: telemetry contracts, Sigma validation, query budgets, hunt-flow design, KPI шума и нормальная передача lessons learned из пентеста и DFIR обратно в SOC.

stream.map
question -> data contract -> validation dataset -> rule -> analyst feedback -> retest
SOC Research
Синтетическая research-схема для отдельного потока материалов Virusologia.

// updated 05.07.2026

Что должен уметь этот поток

// focused stream

Материалы потока

SOC 05.07.2026

Detection-as-code: Sigma как язык между пентестом и SOC

Хороший пентест должен оставлять после себя не только PDF, но и идеи детектирования. Sigma помогает описать сигнал один раз и затем переводить его в SIEM-запросы.

читать разбор →
VISIBILITY 05.07.2026

Osquery/Fleet: видимость должна быть безопасной для хоста

Visibility-инструменты ценны, пока не начинают вредить целевой машине. Osquery и Fleet хороши там, где есть query budget, ownership, интервал, label targeting и понимание цены каждой таблицы.

читать разбор →
THREAT HUNTING 05.07.2026

Threat hunting: гипотеза должна переживать смену инструментов

Когда hunting завязан на один SIEM-запрос или одну ручную заметку, он не переживает смену источника логов. Намного полезнее описывать hunt как reusable hypothesis flow: сущности, шаги, enrichment и критерий остановки.

читать разбор →
SOC 05.07.2026

Detection engineering: считайте не только правила, но и шум

Количество rule files почти ничего не говорит о зрелости detection program. Намного важнее coverage intent, false positive burn rate, скорость правки и способность превратить red-team/pentest lessons в стабильные сигналы.

читать разбор →
SOC 05.07.2026

SOC telemetry contracts: данные должны отвечать на конкретный вопрос

Security Onion, Fleet, Zeek, Suricata и endpoint-данные сильны не количеством сенсоров, а качеством контракта между ними: кто отвечает за поле, какую гипотезу оно закрывает и сколько стоит собирать его в production.

читать разбор →
SOC 05.07.2026

Sigma rules без validation dataset быстро теряют доверие

Даже хорошая Sigma-идея может утонуть в шуме, если rule не прогоняется на реальных benign-логах и на контролируемых test-events. Validation dataset нужен не для красоты, а для инженерной честности.

читать разбор →

// working logic

Рабочая логика

Хороший SOC stream не начинается с количества rules. Он начинается с вопроса, потом проверяет качество данных, затем валидирует rule на benign/test dataset и только после этого масштабирует покрытие.

logic.flow
question -> data contract -> validation dataset -> rule -> analyst feedback -> retest

// related

Связанные разделы