🔎 DetectFlow — инструмент для автоматизации разработки detection-правил

DetectFlow — open source-инструмент от SOC Prime, предназначенный для автоматизации процессов Detection Engineering. Он помогает создавать, тестировать и поддерживать правила обнаружения угроз для SIEM, EDR и других систем мониторинга безопасности.

🕸 Основные возможности DetectFlow
📉 Автоматизация разработки detection-правил — упрощает создание и поддержку правил обнаружения.
📉 Поддержка Sigma — интеграция с популярным форматом правил Sigma.
📉 Workflow-подход — управление жизненным циклом detection-правил: разработка, тестирование, обновление.
📉 Интеграция с CI/CD — правила можно автоматически проверять и развёртывать.
🖱 Стандартизация Detection Engineering — помогает командам SOC структурировать процессы создания детектов.

💻Пример workflow разработки детекта
DetectFlow помогает выстроить pipeline создания detection-правил.

Типичный процесс может выглядеть так:
1️⃣ Анализ угрозы или техники из MITRE ATT&CK
2️⃣ Создание detection-правила (например, Sigma)
3️⃣ Тестирование на логах
4️⃣ Проверка корректности правила
5️⃣ Развёртывание в SIEM
Такой workflow позволяет SOC-командам быстрее внедрять новые детекты и уменьшать количество ошибок.

⬇️ Базовый запуск
Клонирование репозитория и запуск

git clone https://github.com/socprime/detectflow-one-click-local-deployment.git
cd detectflow-one-click-local-deployment
chmod +x deploy-detectflow-minikube.sh
./deploy-detectflow-minikube.sh

После запуска можно создавать и тестировать detection-правила в рамках workflow.

#soc #detectionengineering #sigma #threathunting #security #tool

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером