Для эффективной системы оповещения операционного центра безопасности требуется не только тонкая настройка ложных срабатываний, но и обеспечение работоспособности критически важных, но редко срабатывающих обнаружений. Команда Signals Engineering в GitLab разработала фреймворк WATCH (Weekly Attack Testing for Continuous Health – Еженедельное тестирование атак для непрерывного здоровья) для устранения этого пробела. WATCH автоматизирует проверку обнаружений безопасности, имитируя реальное вредоносное поведение в их инфраструктуре. Этот процесс проверяет сквозной конвейер оповещения, от источника журналов до SIEM и оркестровки безопасности.WATCH работает путем планирования скриптовых симуляций атак в тестовой среде, за которыми следует проверка того, что ожидаемые оповещения проходят через стек мониторинга. Перед запуском теста WATCH уведомляет систему SOAR об ожидаемых обнаружениях, создавая отслеживаемые записи. Затем выполняется имитация вредоносного поведения, и SIEM обрабатывает журналы для срабатывания правил обнаружения. Оповещения, поступающие в SOAR, коррелируются с зарегистрированными тестами для предотвращения ложных эскалаций.Этап проверки определяет, были ли активированы все ожидаемые обнаружения, обновляет метаданные статуса обнаружения и развертывает результаты на панели мониторинга GitLab Pages. Сбои немедленно уведомляют команду. WATCH оркестрируется с использованием GitLab CI/CD в три этапа: планирование, выполнение тестов и проверка/отчетность. Фреймворк разработан для простоты использования, позволяя членам команды создавать новые тесты путем наследования от базового класса и определения процедур настройки, выполнения и очистки.Ключевым аспектом является настройка ожидаемых обнаружений, сопоставление имен правил SIEM с ожидаемым временем поступления оповещений. Тесты WATCH могут быть легко созданы с помощью GitLab Duo, AI-ассистента, путем предоставления запросов на конкретное вредоносное поведение. Это значительно снижает порог входа для создания новых тестов. Duo Agent Skills дополнительно повышают согласованность, предоставляя подробные описания лучших практик тестирования и вспомогательных функций.WATCH также предоставляет две интерактивные панели мониторинга, развернутые через GitLab Pages, обеспечивающие видимость состояния обнаружений в реальном времени. Одна панель, "Detection Status Dashboard" (Панель состояния обнаружений), обобщает текущий статус тестирования всех правил обнаружения. Другая, "Detection Test Results Dashboard" (Панель результатов тестов обнаружения), предлагает углубленный анализ результатов отдельных тестов. Этот комплексный подход обеспечивает надежность и эффективность системы оповещения безопасности.