Woo

Er is een gewoonte in detection engineering management die een organisatie tijd kost om af te leren. Een team kijkt naar de waarschuwingen, de dashboards, de dekkingsrapporten en behandelt ze als de plek waar detectie gebeurt. Dat is niet zo. Het is de plek waar detectie zichtbaar wordt. Het werk dat bepaalt of er überhaupt iets te zien valt, gebeurde veel eerder en veel stiller toen iemand koos wat er gelogd werd. Op een event dat nooit is vastgelegd valt geen alert te schrijven. De detectie aan de uitgang reikt niet verder dan de telemetrie die iemand aan de ingang heeft ingericht en niemand voelt de prijs van een ontbrekende log entry op het moment dat de log niet wordt geschreven. Die prijs komt later, tijdens een incident, wanneer blijkt dat het te reconstrueren spoor nooit heeft bestaan. ...