Explícame el ciclo de vida de una detección, desde la idea hasta la regla mantenida.
Respuesta breve
La ingeniería de detección trata las detecciones como un producto de software con un ciclo de vida: identificar una amenaza o técnica que cubrir, investigar la telemetría y el comportamiento, desarrollar la regla, probarla contra datos de verdaderos positivos y benignos, desplegarla (a menudo por fases), validarla con emulación de adversario y luego ajustarla continuamente para los falsos positivos y retirar las reglas que ya no se justifican. Cada etapa se documenta y se versiona, y la cobertura se rastrea frente a un marco como ATT&CK.
Una detección no es un entregable de una sola vez; es un producto que debe construirse, validarse, operarse y finalmente retirarse. El ciclo de vida de la ingeniería de detección toma prestado directamente de la disciplina de la ingeniería de software.
Las etapas
- Identificar — elige qué detectar. Impúlsalo desde la threat intel, una técnica de ATT&CK sin cobertura, un incidente reciente o un hallazgo de caza. Prioriza según la relevancia para tu entorno y modelo de amenazas.
- Investigar — comprende el comportamiento y qué telemetría lo revela realmente. Una técnica que no puedes ver en tus registros aún no es detectable.
- Desarrollar — escribe la lógica (p. ej. una regla Sigma), con metadatos, severidad y etiquetas ATT&CK.
- Probar — ejecútala contra datos de verdaderos positivos conocidos (reproducción en laboratorio o salida de emulación) y una porción de datos benignos parecidos a producción para calibrar el ruido.
- Desplegar — lánzala, idealmente por fases: solo monitoreo primero, luego alertas una vez que la tasa de falsos positivos sea aceptable.
- Validar — confirma que realmente se dispara mediante emulación de adversario (Atomic Red Team, ejercicios purple-team), no solo por esperanza.
- Ajustar y mantener — rastrea los falsos positivos, refina y retira las reglas que sean redundantes, perpetuamente ruidosas o que cubran una técnica que ya no aplica.
Detecciones como código
Almacena las reglas en control de versiones, revísalas en pull requests y pásalas por una CI que comprueba sintaxis y esquema. La cobertura se mapea a ATT&CK para que las brechas y solapamientos sean visibles.
Por qué importa
Los entrevistadores senior sondean el pensamiento de ciclo de vida y la disposición a retirar y validar, no solo a escribir. Cualquiera que despliega una regla y se marcha acabará ahogando al SOC en ruido y puntos ciegos.
Posibles preguntas de seguimiento
- ¿Cómo pruebas una detección antes de que llegue a producción?
- ¿Cuándo y por qué retirarías una detección?
- ¿Cómo encaja la emulación de adversario en la validación?