Content last updated 2026-03-04

シグナルエンジニアリングチーム (SET)

シグナルエンジニアリングへのエンゲージ

チームは #signals-engineering Slack チャンネルにアクセスすることでシグナルエンジニアリングにエンゲージできます。SIRT も、GUARD で「report a bug」機能を選択することで、検知やアラートチューニングのニーズについてシグナルエンジニアリングにエンゲージできます。

私たちのビジョン

クラス最高のシグナル開発および検知エンジニアリングプログラムを構築・維持することで、サイバーセキュリティインシデントが検知漏れに陥らないようにすること。

私たちのミッションステートメント

クラス最高の検知エンジニアリングプログラムの構築と成熟化

  • 検知カバレッジ、検知精度と感度、検知までの時間など、KPI の目標を絶えず追跡し追求する
  • 脅威インテリジェンスおよびレッドチームと自動化を構築・維持し、検知能力をプログラム的に評価し、脅威耐性を向上させる

検知までの時間の短縮

  • 検知のコンテキストと品質の改善
  • 包括的な検知カバレッジを通じた検知までの時間の短縮

セキュリティ可観測性の向上

  • プロダクト、エンジニアリング、インフラストラクチャチームと連携して GitLab のセキュリティシグナルを改善
  • CorpSec および ProdSec と連携してコーポレート、クラウド、アイデンティティインフラストラクチャのセキュリティシグナルを改善

顧客価値の提供

  • 顧客向けの検知能力と提供物の改善
  • 顧客の可観測性ニーズを実装するためのステークホルダーの特定とパートナーシップ

チームと優先事項

チームメンバー

チームメンバー役割
Matt CoonsSecurity Manager
Harjeet SharmaStaff Security Engineer, Signals Engineering
Evan BaltmanSecurity Engineer, Signals Engineering

私たちのステークホルダー

シグナルエンジニアリングにはプロジェクトを推進し運用業務を遂行することに専念するエンジニアがいますが、Security Division 内およびそれを超えて、シグナルエンジニアリングが結果を生み出すために連携するステークホルダーが多数います。

ステークホルダー共有責任/依存関係
SIRT検知のチューニング、新しい検知、GUARD DaC フレームワーク
T&SOmamori 統合
Security Loggingセキュリティロギング能力とコラボレーション
Threat Intel脅威主導の検知、トップ脅威アクター検知
GitLab Customers顧客向け検知の利用者
Product teamセキュリティシグナル能力を改善するためのコラボレーション
CorpSec購入したツーリングからのシグナル収集のコラボレーション
Security Identity Team購入したツーリングからのシグナル収集のコラボレーション
Red Team購入したツーリングからのシグナル収集のコラボレーション
Product Security購入したツーリングからのシグナル収集のコラボレーション

現在の優先事項

最初の 6 か月間 (FY25Q4 - FY26Q1) は、「ローハンギングフルーツ」とシグナルエンジニアリングプログラムの確立に焦点を当てます。

ハイライトには以下が含まれます。

  1. アラートの誤検知の削減と FP アラート/対処ワークフローの改善
  2. 初期メトリクス作成とラベルの標準化
  3. 顧客向け検知の作成と共有プロセスの改善
  4. 特定された検知ギャップを埋める新しい検知の作成

プログラムが成熟するにつれて、自動化と成熟度を向上させ、顧客向け検知能力を強化することにフォーカスを拡大します。

私たちが構築したものと提供するサービス

GUARD

GUARD (GitLab Universal Automated Response and Detection) は、セキュリティチームの Detections as Code (DaC) パイプラインおよびアラート自動化フレームワークです。GUARD はアラートが SIRT インシデントに変換されたときに、SIRT インシデント処理プロセスにアラートを引き継いで停止します。

GUARD はシグナルエンジニアリングと SIRT 間の共有責任モデルです — SIRT とシグナルエンジニアリングの両方が脅威検知を構築し、GUARD で新しい検知をコミットし既存のものを維持する能力を持っています。

脅威検知のチューニング

SIRT がチューニングが必要な脅威検知を特定すると、改善のためにシグナルエンジニアリングチームにチューニングリクエストが提出されます。

脅威検知の作成

シグナルエンジニアリングチームは検知カバレッジを追跡し、いくつかのニーズに基づいて新しい脅威検知を構築します。

  1. SIRT またはシグナルエンジニアリングが特定した検知能力のギャップ
  2. GitLab プラットフォーム上の潜在的な不正利用を特定する能力を改善するための T&S とのコラボレーション
  3. GitLab の SIEM でクエリできる新しいログソース用の新しい検知
  4. 新しい攻撃者の TTP
  5. パープルチームまたはステルスエンゲージメントの一環としてのレッドチームとのコラボレーション

シグナルおよび検知のリサーチ

シグナルエンジニアは、GitLab プロダクトおよび GitLab が使用するサードパーティツールで特定された潜在的な可観測性ギャップとシグナル強化機会の深掘り研究を実施します。このような研究の課題は、新しい検知および可観測性能力の改善という成果物を目標としています。

成功の測定方法

シグナルエンジニアリングの成功は、MR、Issue、アラートメトリクスから収集したメトリクスを通じて、主要パフォーマンスインジケーターを収集・報告することで測定します。

私たちが報告する初期メトリクスは以下のとおりです。

アラートとチューニング

  1. TP/FP 比率とトレンド
  2. アラートバグ報告数

インシデント

  1. シグナルギャップのある S1 インシデントの数

顧客への価値

  1. パブリック検知の数

検知カバレッジ

  1. MITRE カバレッジ
  2. ログソース別カバレッジ
  3. MTTDC (Mean time to detection creation: 検知作成までの平均時間)
  4. 脅威アクター別カバレッジ

メトリクスラベル

  • SET::Detection-New
  • SET::Detection-Maintenance
  • SET::Research
  • SET::Signals-Improvement
  • SET::Cross-Functional
  • SET::Signal-Gap
最終更新 June 14, 2026: Merge pull request #403 from kyama0/claude/cool-turing-ls6eck (bfd74782)
ページのソースコードを見る - ページの編集 - please contribute. Creative Commons License