Arcabouço de avaliação MLL-PDEF-03

PISD-Eval–Telemetria de Segurança

Sobrevivência da Persistência e Degradação de Sinais em Sistemas Distribuídos de Detecção

Resumo

Um arcabouço longitudinal de medição para avaliar sistemas sob mitigação, com métricas para rastrear redistribuição comportamental, decaimento de sinal, adaptação de fronteira e acúmulo de camadas de restrição ao longo do tempo.

Laboratório
Laboratório de Lógica Muda
Autor
Javed Jaghai
ID do relatório
MLL-PDEF-03
Publicado
Tipo
Arcabouço de avaliação
Camada de pesquisa
Arcabouços de Avaliação
Arcabouço
Estrutura de Avaliação Pós-Intervenção (PISD-Eval)
Série
Dinâmica de Sistemas Pós-Intervenção
Domínio
Security · General
Versão
v1.0
Atualizado em
04 de março de 2026

Abstract

Sistemas distribuídos de detecção operam sob atualizações contínuas de regras e mecanismos de contenção em camadas. A avaliação frequentemente se apoia em volume de alertas ou métricas de recall pontuais, que podem falhar em capturar persistência adversarial e degradação de sinal. Este artigo instancia a Estrutura de Avaliação Pós-Intervenção (PISD-Eval) para ambientes de telemetria de segurança. Definimos medidas longitudinais incluindo curvas de sobrevivência de persistência, taxas de adaptação de evasão, índices de divergência detecção–impacto, razões de estabilidade sinal–ruído, índices de deriva de atributos, complexidade de camadas de detecção, inflação de latência e amplificação de alertas. Ambientes de detecção são modelados como sistemas coevolutivos nos quais adversários se adaptam a atualizações de restrições e a separabilidade de atributos decai ao longo do tempo. As métricas são indexadas por intrusão e sensíveis à intervenção, priorizando durabilidade e coerência estrutural sobre desempenho estático. A estrutura permite avaliação sistemática da eficácia de contenção, estabilidade de sinal e fragilidade arquitetural em regimes de segurança pós-intervenção.

1. Definição do Sistema e Lacuna de Avaliação

1.1 Classe de Sistema

Esta estrutura trata de sistemas distribuídos de telemetria e detecção de segurança implantados em ambientes empresariais ou em escala de nuvem. Esses sistemas normalmente incluem:

  • Agentes de detecção e resposta em endpoints (EDR)
  • Sistemas de detecção de intrusão em rede (NIDS)
  • Monitoramento de anomalias de identidade e acesso
  • Telemetria de workloads e APIs em nuvem
  • Pipelines de SIEM (Security Information and Event Management)
  • Fluxos de SOAR (Security Orchestration and Automated Response)

A lógica de detecção é em camadas e heterogênea, combinando:

  • Regras baseadas em assinatura
  • Heurísticas comportamentais
  • Detecção estatística de anomalias
  • Indicadores de inteligência de ameaças
  • Motores de correlação entre fluxos de sensores

O volume de telemetria é alto, ruidoso e heterogêneo. Decisões de detecção devem operar sob restrições de latência enquanto minimizam fadiga de alertas e sobrecarga operacional.

Esses sistemas são implantados em ambientes adversariais caracterizados por atores de ameaça sofisticados, incluindo ameaças persistentes avançadas (APTs), intrusos motivados financeiramente e tooling automatizado de ataque.

1.2 Tipos de Intervenção

A estrutura foca no comportamento do sistema após intervenções defensivas, incluindo:

  • Atualizações de assinatura e adições de regras
  • Modificações de limiar para detecção de anomalias
  • Ingestão de feeds de inteligência de ameaças
  • Retreinamento de modelos ou atualização de atributos
  • Expansão de cobertura de sensores
  • Mudanças de lógica de correlação

Essas intervenções são tipicamente reativas a:

  • Post-mortems de incidentes
  • Vulnerabilidades recém-divulgadas
  • Técnicas de ataque emergentes
  • Padrões de evasão observados
  • Cada intervenção modifica fronteiras de detecção e altera incentivos adversários.

1.3 Contexto de Implantação

Sistemas de telemetria de segurança operam sob condições que complicam avaliação estática:

  • Atacantes se adaptam após observar padrões de detecção ou resposta
  • Técnicas de intrusão low-and-slow evadem alertas baseados em limiar
  • Alto ruído de fundo obscurece sinais fracos
  • Cobertura parcial de sensores cria lacunas de visibilidade
  • Restrições de recursos limitam capacidade de investigação

Importante: detecção não é sinônimo de contenção. Intrusões podem persistir apesar do aumento de volume de alertas, e adversários podem reestruturar atividade para reduzir visibilidade em vez de abandonar objetivos.

1.4 Lacuna de Avaliação

A avaliação tradicional de segurança enfatiza:

Acurácia de detecção (precisão/recall)

Volume de alertas e taxas de redução

Tempo médio para detectar (MTTD)

Tempo médio para responder (MTTR)

Cobertura de assinaturas de indicadores conhecidos

Embora necessárias, essas métricas não caracterizam plenamente:

  • Persistência adversarial após mitigação
  • Evolução de técnicas de evasão após atualizações de regras
  • Divergência entre visibilidade de alertas e impacto operacional
  • Degradação de sinais de detecção ao longo do tempo
  • Fragilidade estrutural introduzida por lógica de detecção em camadas
  • Redução pontual de alertas pode refletir adaptação, e não atividade de intrusão reduzida.

Esta estrutura aborda essa lacuna ao definir métodos de avaliação longitudinais, sensíveis a intrusão, que tratam sistemas de detecção como infraestruturas dinâmicas sob pressão adversarial sustentada.

2. Dinâmicas Centrais Pós-Intervenção

2.1 Persistência sob Pressão de Monitoramento

A. Descrição Estrutural

Sistemas de detecção de segurança são projetados para identificar, gerar alertas e facilitar resposta a atividade maliciosa. No entanto, em ambientes adversariais, a detecção não necessariamente elimina a intrusão. Atacantes frequentemente adaptam táticas para manter acesso enquanto reduzem visibilidade.

Persistência sob pressão de monitoramento refere-se à presença ou progressão contínua de atividade maliciosa após intervenções defensivas como atualizações de regras, implantação de assinaturas ou expansão de monitoramento. Em vez de terminar a atividade, intervenções podem levar atacantes a:

  • Reduzir frequência de atividade (comportamento low-and-slow)
  • Migrar para canais de comando e controle mais furtivos
  • Modificar toolchains para evadir assinaturas atualizadas
  • Aumentar tempo de permanência enquanto reduz volume de alertas
  • Fragmentar atividade entre hosts ou identidades

Essa dinâmica enfatiza que redução de alertas ou aumento de cobertura de assinaturas não garantem redução do foothold adversário ou do impacto operacional.

B. Sinais Observáveis

A persistência pode ser detectada por meio de:

  • Tempo de permanência estável ou crescente apesar de taxas de alerta mais altas
  • Movimento lateral contínuo após atualizações de assinatura
  • Padrões recorrentes de comprometimento entre hosts após contenção
  • Explosões de alertas seguidas de longos períodos de silêncio com impacto subsequente
  • Explosões de alertas seguidas por longos períodos de silêncio com impacto subsequente
  • Reemergência de indicadores relacionados sob artefatos modificados

A detecção exige correlacionar alertas com linhas do tempo de intrusão confirmadas, em vez de tratar alertas como eventos isolados.

C. Hipóteses Testáveis

  • H1: Após grandes atualizações de regras de detecção, o tempo de permanência adversário diminui temporariamente, mas se estabiliza em um novo equilíbrio em vez de colapsar.

  • H2: O volume de alertas aumenta imediatamente após a implantação de assinaturas, mas se desacopla de métricas de impacto de intrusão ao longo do tempo.

  • H3: Adversários mudam para padrões de atividade de menor frequência após expansão da lógica de detecção.

  • H4: Cadeias de intrusão pós-intervenção exibem intervalos mais longos entre eventos detectáveis enquanto mantêm objetivos operacionais semelhantes.

D. Protocolo de Avaliação

Construa linhas do tempo de intrusão para incidentes confirmados:

Timestamp de acesso inicial

Timestamp(s) de detecção

Timestamp de contenção

Marcadores de impacto operacional

Para cada evento de intervenção:

  • Compare distribuições de tempo de permanência antes e depois da atualização.
  • Acompanhe taxas de recorrência de padrões de intrusão relacionados.
  • Analise densidade de alertas em relação a impacto confirmado.

Implemente análise de sobrevivência:

  • Estime curvas de sobrevivência de persistência adversarial.
  • Calcule a taxa de risco de contenção após intervenção.

Calcule:

  • Curva de Sobrevivência de Persistência (PSC)
  • Delta de Tempo de Permanência Pós-Intervenção
  • Distribuição de Defasagem entre Alerta e Impacto

E. Modos de Falha se Não Medido

Se a persistência não for acompanhada:

  • Redução de volume de alertas pode ser interpretada erroneamente como melhoria de segurança.
  • Atualizações de assinatura podem criar supressão temporária sem melhoria de contenção de longo prazo.
  • Comportamento de intrusão de baixa frequência pode permanecer indetectado por períodos prolongados.

Equipes de detecção podem superestimar a eficácia de adições de regras.

Métricas centradas em alertas obscurecem dinâmicas de sobrevivência adversarial.

F. Implicações para Assurance

A análise de persistência permite:

  • Medição direta da eficácia de contenção, e não apenas do volume de detecção.
  • Avaliação baseada em evidência de se intervenções encurtam o tempo de permanência adversário.
  • Identificação precoce de persistência em equilíbrio sob pressão de monitoramento.
  • Melhor priorização de controles que reduzem materialmente a duração da intrusão.

Para assurance de segurança, o sucesso deve ser definido não apenas por capacidade de detecção, mas por redução mensurável da persistência adversarial e do tempo de permanência sob monitoramento sustentado.

2.2 Evasão Adaptativa da Lógica de Detecção

A. Descrição Estrutural

Quando novas regras de detecção, assinaturas ou limiares de anomalia são implantados, adversários observam efeitos de aplicação e modificam comportamento de acordo. Ao contrário da persistência (Seção 2.1), que trata de presença contínua, a evasão adaptativa foca na evolução tática em resposta a mudanças na lógica de detecção.

A evasão pode envolver:

  • Modificar assinaturas de malware ou codificações de payload
  • Rotacionar infraestrutura (domínios, IPs, certificados)
  • Criptografar ou ofuscar tráfego de comando e controle
  • Dividir atividade maliciosa em múltiplos eventos de baixo sinal
  • Mimetizar baselines comportamentais benignos
  • Explorar pontos cegos entre tipos de sensores

A evasão adaptativa é iterativa. Cada atualização defensiva altera a estrutura de custos do comportamento de ataque, incentivando novas estratégias que reduzem a probabilidade de detecção enquanto preservam objetivos operacionais.

Essa dinâmica implica que o desempenho de detecção é coevolutivo, e não estático.

B. Sinais Observáveis

A evasão adaptativa pode ser detectada por meio de:

  • Queda rápida na eficácia de detecção de assinaturas recém-implantadas
  • Emergência de artefatos quase variantes após publicação de regras
  • Aumento de polimorfismo em amostras de malware
  • Taxas crescentes de falsos negativos em análise retrospectiva
  • Mudanças de táticas de alto sinal para baixo sinal (por exemplo, scans ruidosos para abuso de credenciais)
  • Redução de frequência de alertas com severidade de impacto semelhante

A detecção exige agrupamento de variantes e rastreamento de linhagem de artefatos, e não correspondências isoladas de assinatura.

C. Hipóteses Testáveis

  • H1: A eficácia de detecção de novas assinaturas decai em taxa acelerada em categorias de ameaça de alta atividade.

  • H2: Clusters de similaridade de artefatos mostram padrões sistemáticos de mutação após atualizações defensivas.

  • H3: O intervalo entre implantação de regra e emergência de variante de evasão encurta ao longo do tempo para atores de ameaça maduros.

  • H4: Anomalias comportamentais se deslocam para mimetismo de baseline após o aperto de limiares.

D. Protocolo de Avaliação

Mantenha um registro de ciclo de vida de assinaturas:

  • Timestamp de implantação
  • Classe de artefato alvo
  • Volume de detecção observado

Implemente rastreamento de linhagem de artefatos:

  • Agrupe amostras de malware ou artefatos de intrusão por similaridade.
  • Identifique variantes derivadas emergindo pós-intervenção.

Meça tempo até evasão:

  • Intervalo entre implantação de regra e primeiro bypass confirmado.
  • Taxa de degradação de detecção em janelas definidas.

Analise mudanças de táticas:

  • Compare distribuição de táticas (por exemplo, categorias MITRE ATT&CK) antes e depois da intervenção.
  • Acompanhe transições de táticas de alta visibilidade para furtivas.
  • Acompanhe transições de táticas de alta visibilidade para furtivas.

Calcule:

  • Taxa de Adaptação de Evasão (EAR)
  • Meia-Vida de Assinatura (SHL)
  • Densidade de Mutação de Variantes (VMD)

E. Modos de Falha se Não Medido

Se a evasão adaptativa não for avaliada sistematicamente:

  • Implantações de assinaturas podem criar picos temporários de detecção sem cobertura durável.
  • Taxas de alerta decrescentes podem ocultar mutação adversarial em vez de redução de ameaça.
  • Equipes defensivas podem subestimar a velocidade de aprendizado do adversário.
  • Alocação de recursos pode superinvestir em assinaturas frágeis em vez de detecção comportamental resiliente.
  • Métricas estáticas de eficácia de regras não revelam dinâmicas de adaptação coevolutiva.

F. Implicações para Assurance

O monitoramento de evasão adaptativa permite:

  • Quantificação da durabilidade de detecção.
  • Priorização baseada em evidências de indicadores comportamentais sobre indicadores estáticos.
  • Identificação da sofisticação do ator de ameaça com base na velocidade de adaptação.
  • Expectativas mais realistas para longevidade de assinaturas.

Para assurance de segurança, a qualidade de detecção deve ser medida não apenas pela eficácia inicial, mas pela resiliência frente à mutação adversarial iterativa.

2.3 Colapso de Visibilidade antes da Redução de Impacto

A. Descrição Estrutural

Sistemas de detecção de segurança frequentemente interpretam reduções no volume de alertas ou em correspondências de indicadores como melhoria. No entanto, sistemas adversariais frequentemente se adaptam de formas que reduzem a visibilidade de detecção antes de reduzir o impacto operacional.

Colapso de visibilidade refere-se a uma queda em artefatos detectáveis ou sinais de alerta após intervenção defensiva, enquanto objetivos adversários — exfiltração de dados, persistência, movimento lateral ou escalonamento de privilégio — continuam em níveis comparáveis.

Esse colapso pode ocorrer quando atacantes:

  • Transicionam de técnicas de alto sinal (por exemplo, implantação de malware) para abuso de credenciais
  • Substituem indicadores conhecidos por tooling customizado
  • Exploram canais criptografados ou obscurecidos
  • Operam dentro de fluxos administrativos legítimos
  • Reduzem artefatos observáveis enquanto mantêm foothold

A dinâmica-chave é o desacoplamento entre superfície de alertas e progressão real da intrusão.

B. Sinais Observáveis

O colapso de visibilidade pode ser detectado por meio de:

  • Queda no volume de alertas ao lado de impacto confirmado estável ou crescente
  • Aumento da detecção de eventos de impacto em estágio tardio em relação a sinais de intrusão em estágio inicial
  • Discrepância crescente entre alertas baseados em telemetria e linhas do tempo de reconstrução forense
  • Redução de alertas de alta confiança acompanhada de aumento de descobertas pós-incidente
  • Aumento da severidade de incidentes apesar de menor contagem geral de alertas

Esses sinais exigem correlacionar telemetria com dados de resposta a incidentes e forense.

C. Hipóteses Testáveis

  • H1: Após grandes atualizações de detecção, o volume de alertas cai mais rápido do que o impacto confirmado de intrusão.

  • H2: A razão de alertas em estágio inicial (por exemplo, reconhecimento, acesso inicial) para alertas de impacto em estágio tardio diminui pós-intervenção.

  • H3: Análise forense pós-incidente revela cadeias de intrusão com menos sinais precursores detectáveis.

  • H4: O colapso de visibilidade é mais pronunciado em ambientes com cobertura parcial de sensores.

D. Protocolo de Avaliação

Defina indicadores de impacto:

  • Confirmação de exfiltração de dados
  • Implantação de ransomware
  • Persistência de escalonamento de privilégio
  • Marcadores de disrupção de negócio

Construa mapeamento de fases de intrusão:

  • Sinais de estágio inicial (recon, acesso inicial)
  • Sinais de estágio intermediário (movimento lateral)
  • Eventos de impacto em estágio tardio

Acompanhe:

  • Contagens de alerta por fase de intrusão ao longo do tempo
  • Eventos de impacto confirmados por janela temporal
  • Tendências de razão alerta–impacto

Calcule:

  • Índice de Divergência Detecção–Impacto (DIDI)
  • 𝐷𝐼𝐷𝐼 = ΔVolume de Alertas/ΔImpacto Confirmado
  • Razão de Alertas de Início-para-Fim (ELAR)
  • Lacuna de Reconstrução Forense (FRG)

Analise a divergência ao longo de timestamps de intervenção.

E. Modos de Falha se Não Medido

Se o colapso de visibilidade não for acompanhado:

  • Redução de volume de alertas pode ser interpretada erroneamente como melhoria da postura defensiva.
  • Equipes defensivas podem priorizar redução de ruído em vez de supressão de intrusão.
  • Descoberta de incidentes pode ocorrer cada vez mais por relato externo ou realização de impacto.
  • Avaliações de risco estratégico podem subestimar capacidade adversarial.
  • Painéis centrados em alertas, por si só, não capturam essa divergência.

F. Implicações para Assurance

O alinhamento visibilidade–impacto permite:

  • Medição direta de se melhorias de detecção se traduzem em redução de dano operacional.
  • Identificação precoce de mudanças táticas adversariais em direção à furtividade.
  • Melhor priorização de investimento em detecção de estágio inicial.
  • Representação mais precisa da postura de segurança para liderança e auditores.

Para assurance de segurança, a eficácia defensiva deve ser medida contra redução de impacto confirmado, não apenas supressão de alertas.

2.4 Degradação de Sinal em Ambientes de Alto Ruído

A. Descrição Estrutural

Ambientes de telemetria de segurança são inerentemente ruidosos. Grandes volumes de atividade benigna coexistem com sinais maliciosos relativamente raros. Sistemas de detecção devem separar indicadores adversariais fracos de comportamento de fundo de alta variância.

A degradação de sinal ocorre quando atributos de detecção perdem poder discriminativo devido a:

  • Mudanças ambientais (novas implantações de software, escalonamento de infraestrutura)
  • Mudanças de comportamento de usuários (trabalho remoto, novos padrões de autenticação)
  • Aumento de criptografia e normalização de protocolo
  • Mimetismo de atacantes em baselines benignos
  • Amostragem de telemetria ou lacunas de logging
  • Sobrecarga de sensores ou perda parcial de dados

Em ambientes de alto ruído, mesmo comportamento adversário estável pode se tornar mais difícil de detectar porque o contraste entre padrões maliciosos e benignos diminui.

Essa dinâmica difere de evasão adaptativa (Seção 2.2): a degradação pode ocorrer mesmo sem mutação deliberada do adversário, impulsionada por deriva ambiental e diluição de telemetria.

B. Sinais Observáveis

A degradação de sinal pode ser observada por meio de:

  • Queda de taxas de verdadeiro positivo apesar de táticas adversárias estáveis
  • Aumento de falsos positivos sob mudanças ambientais
  • Redução da separação entre distribuições de atributos benignos e maliciosos
  • Crescimento de sobreposição no espaço de embeddings entre entidades limpas e comprometidas
  • Maior dependência de aperto de limiar para manter precisão
  • Taxas mais altas de supressão de alertas devido à inflação de ruído

Esses sinais exigem análise longitudinal em nível de atributos.

C. Hipóteses Testáveis

  • H1: A discriminabilidade de atributos (por exemplo, divergência KL entre distribuições benignas e maliciosas) diminui ao longo do tempo em ambientes de alta mudança.

  • H2: Deriva ambiental correlaciona-se com aumento de volatilidade de falsos positivos.

  • H3: Expansão de telemetria (novas fontes de logging) inicialmente aumenta ruído mais rápido do que sinal, degradando temporariamente a estabilidade do classificador.

  • H4: Sistemas de detecção que dependem de baselines estáticos exibem maior degradação do que modelos de baseline adaptativo.

D. Protocolo de Avaliação

Acompanhe deriva de distribuição de atributos:

  • Calcule métricas de divergência de distribuição (por exemplo, divergência KL, PSI).
  • Monitore métricas de separação entre clusters benignos e maliciosos.

Realize avaliação fatiada no tempo:

  • Treine na janela 𝑡0.
  • Avalie em 𝑡1, 𝑡2, 𝑡3.
  • Meça a inclinação de desempenho.

Monitore integridade de telemetria:

  • Taxas de completude de logging.
  • Uptime e cobertura de sensores.
  • Variância de latência de ingestão de eventos.

Calcule:

  • Razão de Estabilidade Sinal–Ruído (SNSR)
  • Razão de Estabilidade Sinal–Ruído (SNSR)
  • SNSR = Variância de Ruído / Métrica de Separação
  • Índice de Deriva de Atributos (FDI)
  • Pontuação de Volatilidade Ambiental (EVS)

Correlacione desempenho de detecção com eventos de mudança ambiental.

E. Modos de Falha se Não Medido

Se a degradação de sinal não for acompanhada:

O declínio de detecção pode ser atribuído erroneamente apenas à adaptação adversarial.

Mudanças ambientais podem corroer silenciosamente a qualidade de detecção.

Aperto de limiar pode mascarar queda de discriminabilidade.

A fadiga de alertas pode aumentar devido à inflação de ruído.

A validação offline pode falhar em refletir instabilidade em produção.

A postura de segurança pode degradar gradualmente sem disparar alarmes óbvios de desempenho.

F. Implicações para Assurance

O monitoramento de degradação de sinal permite:

  • Detecção precoce de obsolescência de atributos.
  • Decisões de cadência de retreinamento sensíveis ao ambiente.
  • Controles melhorados de qualidade de telemetria.
  • Separação entre adaptação adversarial e deriva ambiental.

Para assurance de segurança, sistemas de detecção devem ser avaliados como funções tanto da evolução adversarial quanto da volatilidade ambiental. Estabilidade sob ruído é uma propriedade central de resiliência.

2.5 Acúmulo de Camadas de Detecção e Latência de Resposta

A. Descrição Estrutural

Infraestruturas de detecção de segurança evoluem incrementalmente. Novas assinaturas são adicionadas, modelos de anomalia são retreinados, regras de correlação são expandidas, feeds de inteligência de ameaças são integrados e fluxos automatizados de resposta são empilhados ao longo do tempo. Cada adição pode abordar um vetor de ameaça específico, mas o empilhamento cumulativo introduz complexidade estrutural.

Acúmulo de camadas de detecção refere-se ao crescimento de componentes de detecção interdependentes dentro de pipelines de telemetria. À medida que camadas se acumulam:

  • Caminhos de roteamento de alertas se tornam mais complexos
  • Correlações entre sensores aumentam em profundidade
  • Cadeias de lógica de decisão se alongam
  • Respostas automatizadas interagem com detecções upstream
  • Fluxos de investigação se tornam mais ramificados

Esse crescimento estrutural pode aumentar latência de resposta, criar conflitos de regras e introduzir efeitos de amplificação ou supressão de alertas não intencionais.

Diferentemente da degradação de sinal (Seção 2.4), que trata da separabilidade de atributos, o acúmulo trata da complexidade arquitetural e seu impacto na estabilidade e no tempo de resposta da detecção.

B. Sinais Observáveis

Acúmulo de camadas e efeitos de latência podem ser observados por meio de:

  • Aumento do tempo médio para detectar (MTTD) apesar de latência de sensores estável
  • Crescimento de variância nos tempos de processamento de alertas
  • Conflitos entre regras ou alertas duplicados
  • Gargalos de escalonamento em pipelines SOAR
  • Aumento de taxas de rollback ou override de respostas automatizadas
  • Saturação de motores de correlação sob carga máxima de telemetria

Esses sinais frequentemente emergem gradualmente à medida que sistemas defensivos escalam.

C. Hipóteses Testáveis

  • H1: A latência média de detecção aumenta conforme o número de componentes de detecção em camadas cresce além de um limiar de complexidade.

  • H2: Taxas de conflito entre regras aumentam de forma não linear com o número de camadas de detecção ativas.

  • H3: Pipelines de resposta automatizada exibem taxas maiores de rollback ou override após grandes expansões de detecção.

  • H4: A amplificação de alertas (múltiplos alertas para uma única causa raiz) aumenta com a profundidade de correlação.

D. Protocolo de Avaliação

Mantenha um registro de camadas de detecção com registro temporal de:

  • Adições de assinatura
  • Implantações de modelos
  • Mudanças de regras de correlação
  • Expansões de fluxos de automação

Meça métricas de latência:

  • Latência de ingestão de sensores
  • Tempo de processamento de correlação
  • Atraso na geração de alertas
  • Distribuição de tempo até contenção

Acompanhe conflito e amplificação:

  • Agrupamento de alertas duplicados
  • Mapeamento de sobreposição de regras
  • Taxa de reversão de ações automatizadas

Conduza testes de estresse periódicos:

  • Cadeias de intrusão simuladas através de lógica em camadas
  • Testes de carga sob volume máximo de telemetria
  • Experimentos de ablação isolando camadas específicas Calcule:
  • Índice de Complexidade de Camadas de Detecção (DLCI)
  • Fator de Inflação de Latência de Resposta (RLIF)
  • Razão de Amplificação de Alertas (AAR)

E. Modos de Falha se Não Medido

Se acúmulo e latência não forem acompanhados:

  • Sistemas de detecção podem ficar mais lentos apesar de cobertura adicional.
  • Conflitos de camadas podem gerar respostas inconsistentes ou contraditórias.
  • Ações automatizadas de contenção podem introduzir instabilidade.
  • A fadiga de alertas pode aumentar por amplificação, e não por maior volume de ameaça.
  • A complexidade pode ultrapassar documentação e manutenibilidade.
  • Melhorias defensivas incrementais podem degradar a coerência sistêmica.

F. Implicações para Assurance

Monitorar o acúmulo de camadas permite:

  • Crescimento controlado da arquitetura de detecção.
  • Detecção precoce de retornos decrescentes de assinaturas adicionais.
  • Identificação de inflação de latência antes de impacto operacional.
  • Descontinuação baseada em evidência de regras redundantes ou conflitantes.
  • Melhor interpretabilidade e auditabilidade da lógica de detecção.

Para assurance de segurança, resiliência requer não apenas expandir cobertura, mas manter coerência estrutural e latência de resposta limitada sob intervenção cumulativa.

3. Arquitetura Longitudinal de Detecção

As dinâmicas pós-intervenção definidas na Seção 2 exigem versionamento coordenado de telemetria, indexação de intrusões e governança de camadas de detecção. Avaliar persistência, evasão, colapso de visibilidade, degradação de sinal e acúmulo de forma independente é insuficiente; essas dinâmicas interagem ao longo do tempo, sensores e ciclos de intervenção.

Esta seção define uma arquitetura integrada para avaliação contínua pós-mitigação em ambientes distribuídos de segurança.

3.1 Camada de Indexação de Linha do Tempo de Intrusão

A qualidade de detecção deve ser indexada contra progressão de intrusão confirmada, e não alertas isolados.

Componentes Centrais

1. Registro de Eventos de Intrusão

Linhas do tempo de incidentes confirmados incluindo:

  • Acesso inicial
  • Movimento lateral
  • Escalonamento de privilégio
  • Evento de impacto
  • Timestamp de contenção
  • Estado de detecção indexado por versão no momento do incidente

2. Motor de Acompanhamento de Tempo de Permanência

Cálculo automático de tempo de permanência por intrusão.

Estratificação por:

  • Cluster de ator de ameaça
  • Categoria de tática
  • Tipo de ambiente

3. Sobreposição de Timestamps de Intervenção

Sobrepor atualizações de regras de detecção, implantações de assinaturas e mudanças de limiar nas linhas do tempo de intrusão.

Saída:

  • Curvas de Sobrevivência de Persistência (PSC)
  • Relatórios de Delta de Tempo de Permanência Pós-Intervenção
  • Taxas de Risco de Alerta até Contenção

Essa camada garante que a eficácia de detecção seja medida contra a duração de sobrevivência adversarial.

3.2 Acompanhamento de Ciclo de Vida de Assinaturas e Regras

Acompanhamento estático de implantação é insuficiente; monitoramento de ciclo de vida é necessário.

Componentes Centrais

1. Registro de Assinaturas

Data de implantação

Classe de artefato alvo

Mapeamento MITRE ATT&CK associado

Taxa de detecção inicial

2. Monitor de Degradação

Acompanhamento de meia-vida de detecção

Acompanhamento de tempo até primeira evasão

Agrupamento de linhagem de variantes

3. Acompanhamento de Mutação

Agrupamento de similaridade de artefatos

Pontuação de densidade de mutação

Taxa de emergência de indicadores derivados

Saída:

  • Taxa de Adaptação de Evasão (EAR)
  • Meia-Vida de Assinatura (SHL)
  • Densidade de Mutação de Variantes (VMD)

Essa camada captura coevolução adversarial.

3.3 Camada de Correlação Detecção–Impacto

Contagens de alertas devem ser continuamente reconciliadas com resultados operacionais.

Contagens de alertas devem ser continuamente reconciliadas com resultados operacionais.

Componentes Centrais

1. Mapeamento de Fases de Alertas

Classificar alertas por fase de intrusão:

  • Reconhecimento
  • Acesso inicial
  • Movimento lateral
  • Persistência
  • Impacto

2. Registro de Impacto

Eventos confirmados de exfiltração

Implantação de ransomware

Comprometimento de privilégio

Indicadores de disrupção de negócio

3. Motor de Correlação

Análise de defasagem temporal entre alertas e impacto confirmado.

Detecção de divergência ao longo de ciclos de intervenção.

Saída:

  • Índice de Divergência Detecção–Impacto (DIDI)
  • Razão de Alertas de Início-para-Fim (ELAR)
  • Lacuna de Reconstrução Forense (FRG)

Essa camada evita confundir redução de alertas com redução de risco.

3.4 Monitoramento de Estabilidade de Telemetria e Ruído

A telemetria de segurança está sujeita a volatilidade ambiental e operacional.

Componentes Centrais

1. Monitor de Integridade de Sensores

Completude de logging

Latência de ingestão

Acompanhamento de taxa de perda

Métricas de uptime de sensores

2. Motor de Estabilidade de Atributos

Acompanhamento de divergência de distribuição

Métricas de separação (benigno vs. malicioso)

Análise de deriva de espaço de embeddings (quando aplicável)

3. Log de Mudanças Ambientais

Mudanças de infraestrutura

Implantações de software

Mudanças de modelo de autenticação

Atualizações de topologia de rede

Saída:

  • Razão de Estabilidade Sinal–Ruído (SNSR)
  • Índice de Deriva de Atributos (FDI)
  • Pontuação de Volatilidade Ambiental (EVS)

Essa camada separa adaptação adversarial de degradação ambiental.

3.5 Monitor de Governança de Camadas de Detecção

Camadas de detecção acumuladas exigem supervisão estruturada.

Componentes Centrais

1. Registro de Arquitetura de Detecção

Assinaturas ativas

Modelos ativos

Regras de correlação

Fluxos de automação

Mapeamento de grafo de dependências

2. Motor de Acompanhamento de Latência

Latência de sensor até alerta

Atraso de processamento de correlação

Tempo de resposta de contenção automatizada

3. Monitor de Conflito e Amplificação

Detecção de conflito entre regras:

  • Agrupamento de duplicação de alertas
  • Acompanhamento de rollback de ações automatizadas

Saída:

  • Índice de Complexidade de Camadas de Detecção (DLCI)
  • Fator de Inflação de Latência de Resposta (RLIF)
  • Razão de Amplificação de Alertas (AAR)

Essa camada mantém coerência estrutural à medida que defesas se acumulam.

Modelo de Arquitetura Integrada

Todas as camadas de monitoramento devem ser:

  • Indexadas por intervenção (sensíveis a regra/versão)
  • Indexadas no tempo (longitudinais)
  • Indexadas por sensor (entre telemetrias)
  • Indexadas por impacto (ligadas a resultados confirmados)

Painéis devem integrar:

  • Curvas de persistência
  • Tendências de meia-vida de evasão
  • Métricas de divergência
  • Pontuações de estabilidade de sinal
  • Indicadores de complexidade e latência

Sem indexação unificada, a adaptação pós-mitigação permanece fragmentada entre equipes isoladas.

Princípio Arquitetural

A detecção de segurança é um sistema de controle dinâmico sob feedback adversarial.

Intervenções defensivas alteram incentivos adversários e ambientes de sinal. A assurance eficaz, portanto, requer:

  • Monitoramento sensível à persistência
  • Acompanhamento de coevolução
  • Avaliação alinhada a impacto
  • Modelagem de estabilidade sob ruído
  • Governança de complexidade estrutural

A detecção deve ser avaliada como uma infraestrutura em evolução, não como uma ferramenta de alertas estática.

4. Taxonomia de Métricas

Esta seção define medidas quantitativas para avaliar dinâmicas pós-intervenção em ambientes distribuídos de detecção de segurança. Todas as métricas são indexadas por intervenção e acompanhadas longitudinalmente.

Todas as métricas são definidas em janelas indexadas por intervenção e por tempo.

4.1 Curva de Sobrevivência de Persistência (PSC)

Propósito:
Medir duração de sobrevivência adversarial sob pressão de monitoramento.

Definição:
Seja TT o tempo de permanência desde o acesso inicial até a contenção.

A Curva de Sobrevivência de Persistência é:

PSC(t)  =  P(T>t)\mathrm{PSC}(t) \;=\; P(T > t)

Estimado usando análise de sobrevivência de Kaplan–Meier em intrusões confirmadas.

Medidas derivadas:

  • Tempo de Permanência Mediano
  • Taxa de Risco Pós-Intervenção
  • Razão de Redução de Tempo de Permanência

Interpretação:

  • Deslocamento descendente da PSC \rightarrow melhoria da eficácia de contenção
  • PSC estável apesar de alertas aumentados \rightarrow monitoramento sem supressão
  • Comportamento de platô \rightarrow persistência em equilíbrio sob pressão de detecção

4.2 Taxa de Adaptação de Evasão (EAR)

Propósito:
Quantificar velocidade de mutação adversarial após atualizações de detecção.

Definição:

EAR  =  NvariantsΔt\mathrm{EAR} \;=\; \frac{N_{\mathrm{variants}}}{\Delta t}

Onde NvariantsN_{\mathrm{variants}} é o número de variantes de bypass confirmadas na janela Δt\Delta t.

Métricas de apoio:

  • Meia-Vida de Assinatura (SHL): tempo até a eficácia de detecção cair abaixo de um limiar definido
  • Densidade de Mutação de Variantes (VMD): taxa de expansão de clusters de similaridade de artefatos

Interpretação:

  • EAR alto \rightarrow adaptação adversarial rápida
  • SHL decrescente ao longo do tempo \rightarrow durabilidade de assinatura diminuindo
  • EAR estável ao longo de ciclos \rightarrow padrão de coevolução previsível

4.3 Índice de Divergência Detecção–Impacto (DIDI)

Propósito:
Medir desacoplamento entre volume de alertas e impacto operacional confirmado.

Definição:

DIDI  =  ΔtAΔtI\mathrm{DIDI} \;=\; \frac{\Delta_t A}{\Delta_t I}

Onde AA é o volume de alertas e II são eventos de impacto confirmados. Defina ΔtA=AtAt1\Delta_t A = A_t - A_{t-1} e ΔtI=ItIt1\Delta_t I = I_t - I_{t-1}. Calculado em janelas de tempo correspondentes.

Interpretação:

  • DIDI 1\approx 1 \rightarrow alinhamento entre detecção e impacto
  • DIDI 1\gg 1 \rightarrow aumento de alertas sem mudança de impacto
  • DIDI 1\ll 1 \rightarrow persistência de impacto apesar de redução de alertas

Variantes ajustadas por defasagem e ponderadas por severidade devem ser calculadas.

4.4 Razão de Estabilidade Sinal–Ruído (SNSR)

Propósito:
Quantificar estabilidade de discriminabilidade sob volatilidade ambiental.

Definição:

SNSR  =  Sσ2\mathrm{SNSR} \;=\; \frac{S}{\sigma^2}

Onde SS é uma métrica de separação (malicioso vs benigno) e σ2\sigma^2 é a variância de ruído.

Métricas de separação podem incluir:

  • Divergência KL
  • Separação AUROC
  • Margem de clusters em embeddings

A variância de ruído inclui volatilidade de volume de telemetria e deriva de distribuição benigna.

Interpretação:

  • SNSR alto \rightarrow sinal de detecção estável
  • SNSR decrescente \rightarrow diluição de atributos ou deriva ambiental
  • Colapso de SNSR \rightarrow ajuste de limiar provavelmente mascarando degradação

4.5 Índice de Deriva de Atributos (FDI)

Propósito:
Medir instabilidade temporal em distribuições de atributos de detecção.

Definição:

FDI  =  DKL ⁣(Pt0(X)Pt1(X))\mathrm{FDI} \;=\; D_{\mathrm{KL}}\!\left(P_{t_0}(X) \,\|\, P_{t_1}(X)\right)

onde XX representa distribuições de atributos.

Interpretação:

  • FDI alto sem mudança tática \rightarrow deriva ambiental
  • FDI alto + EAR crescente \rightarrow mutação adversarial
  • FDI estável \rightarrow estabilidade de atributos

4.6 Índice de Complexidade de Camadas de Detecção (DLCI)

Propósito:
Quantificar crescimento arquitetural e interdependência de regras.

Definição:

DLCI  =  i=1nwi  +αD\mathrm{DLCI} \;=\; \sum_{i=1}^{n} w_i \;+ \alpha D

Onde:

  • wiw_i = camada de detecção ponderada
  • DD = densidade de dependências (contagem média de interações entre regras)

Interpretação:

  • DLCI crescente com latência estável \rightarrow crescimento gerenciável
  • DLCI crescente + RLIF crescente \rightarrow sobrecarga estrutural

4.7 Fator de Inflação de Latência de Resposta (RLIF)

Propósito:
Medir aumento de latência atribuível ao empilhamento de detecção.

Definição:

RLIF  =  LcurrentLbaseline\mathrm{RLIF} \;=\; \frac{L_{\mathrm{current}}}{L_{\mathrm{baseline}}}

Onde LcurrentL_{\mathrm{current}} é a latência média atual de detecção e LbaselineL_{\mathrm{baseline}} é a latência de linha de base em um estado arquitetural anterior.

Interpretação:

  • RLIF 1\approx 1 \rightarrow latência estável
  • RLIF >1> 1 com DLCI crescente \rightarrow desaceleração induzida por acúmulo

4.8 Razão de Amplificação de Alertas (AAR)

Propósito:
Detectar multiplicação excessiva de alertas por lógica de correlação.

Definição:

AAR  =  AtotalEunique\mathrm{AAR} \;=\; \frac{A_{\mathrm{total}}}{E_{\mathrm{unique}}}

Onde AtotalA_{\mathrm{total}} é o total de alertas gerados e EuniqueE_{\mathrm{unique}} são eventos de causa raiz únicos.

Interpretação:

  • AAR >> linha de base esperada \rightarrow duplicação ou cascata de correlação
  • AAR crescente sem aumento de impacto \rightarrow ineficiência estrutural

4.9 Requisitos de Design de Métricas

Todas as métricas PISD-Eval de telemetria devem ser:

  • Indexadas por intrusão (ligadas a casos confirmados)
  • Indexadas por intervenção (sensíveis a regra/versão)
  • Sensíveis ao tempo (longitudinais)
  • Sensíveis a sensores (normalizadas entre telemetrias)
  • Alinhadas a impacto (ligadas a resultados operacionais)

Contagens de alertas de instantâneo único são insuficientes.

4.10 Estrutura de Relato

Cada atualização principal de detecção deve produzir um relatório estruturado de estabilidade incluindo:

  • Análise de deslocamento de PSC
  • Tendências de EAR e SHL
  • Trajetória de DIDI
  • Curvas de SNSR e FDI
  • Progressão de DLCI
  • Diagnósticos de RLIF e AAR

Juntas, essas métricas caracterizam não apenas capacidade de detecção, mas durabilidade, estabilidade e coerência estrutural.

5. Implicações para Implantação e Assurance

Sistemas distribuídos de telemetria de segurança são frequentemente avaliados por métricas de alerta, declarações de cobertura e indicadores de tempo de resposta. No entanto, dinâmicas pós-intervenção — persistência, evasão adaptativa, colapso de visibilidade, degradação de sinal e acúmulo arquitetural — implicam que estruturas tradicionais de relato são incompletas para avaliar resiliência defensiva.

5.1 Indo Além do Volume de Alertas como Proxy de Segurança

A redução de alertas é frequentemente interpretada como melhoria de segurança. Sob pressão adversarial, essa suposição é pouco confiável.

O volume de alertas pode diminuir porque:

  • Adversários adaptam táticas.
  • A degradação de sinal obscurece indicadores fracos.
  • Limiar são apertados para reduzir ruído.
  • Lógica em camadas suprime alertas redundantes.

A assurance operacional deve, portanto, exigir:

  • Deslocamentos na Curva de Sobrevivência de Persistência (não apenas contagens de alertas).
  • Alinhamento detecção–impacto (DIDI próximo da unidade).
  • Cobertura estável de detecção em estágios iniciais.

Painéis de alertas, por si só, não podem caracterizar resiliência.

5.2 Tempo de Permanência como Indicador Primário de Segurança

A duração da persistência adversarial é uma medida mais significativa da eficácia defensiva do que contagens de detecção.

Programas de segurança devem monitorar:

  • Tendências de tempo de permanência mediano.
  • Taxa de risco de contenção após intervenção.
  • Deslocamentos de equilíbrio de persistência entre categorias de ameaça.

Intervenções que não reduzem o tempo de permanência podem melhorar visibilidade sem reduzir capacidade adversarial.

Relatos de assurance devem elevar a redução de tempo de permanência como indicador primário de resiliência.

5.3 Durabilidade de Detecção sob Mutação Adversarial

A eficácia de assinaturas decai sob coevolução. Sistemas de detecção duráveis devem medir:

  • Meia-vida de assinatura (SHL).
  • Taxa de Adaptação de Evasão (EAR).
  • Densidade de mutação de variantes.

Equipes de segurança devem distinguir entre:

  • Supressão temporária de artefatos conhecidos.
  • Redução estrutural no espaço de manobra adversário.

A durabilidade de detecção, e não a eficácia inicial, define a força defensiva de longo prazo. A durabilidade de detecção, e não a eficácia inicial, define a força defensiva de longo prazo.

5.4 Separando Deriva Ambiental de Evolução Adversarial

A degradação de sinal pode resultar de mudança ambiental, e não de sofisticação do atacante.

Estruturas de assurance devem incorporar:

  • Acompanhamento do Índice de Deriva de Atributos.
  • Monitoramento da Razão de Estabilidade Sinal–Ruído.
  • Métricas de integridade de telemetria.

Essa separação evita atribuições incorretas e sustenta remediação direcionada (por exemplo, correção de telemetria vs. redesign de detecção).

5.5 Governando a Complexidade de Camadas de Detecção

O crescimento de detecção em camadas aumenta cobertura, mas arrisca instabilidade estrutural.

Acúmulo sem controle pode:

  • Inflar latência de resposta.
  • Gerar cascatas de amplificação de alertas.
  • Aumentar conflito entre regras.
  • Reduzir interpretabilidade para analistas e auditores.

Monitoramento de DLCI e RLIF sustenta:

  • Expansão arquitetural controlada.
  • Descontinuação periódica de regras redundantes.
  • Crescimento de complexidade limitado.

Coerência estrutural é uma propriedade de segurança.

5.6 Padrões Evidenciais para Alegações de Postura de Segurança

Sob esta estrutura, alegações como:

  • “A cobertura de detecção melhorou.”
  • “A resiliência a ameaças aumentou.”
  • “A postura de segurança se fortaleceu.”

Devem ser sustentadas por evidência convergente:

  • Deslocamento descendente de PSC.
  • EAR estável ou declinante.
  • DIDI alinhado com redução de impacto.
  • SNSR estável sob mudança ambiental.
  • Crescimento de DLCI controlado sem inflação de latência.

Nenhuma métrica isolada é suficiente.

Resiliência exige alinhamento entre:

  • Redução de persistência.
  • Resistência à adaptação.
  • Estabilidade de sinal.
  • Gerenciabilidade estrutural.

Resumo da Seção

Sistemas de telemetria de segurança operam como sistemas de controle adaptativos sob feedback adversarial.

A avaliação pós-mitigação deve, portanto, incorporar:

  • Análise de sobrevivência em vez de contagens de alertas.
  • Acompanhamento de mutação em vez de cobertura de assinatura estática.
  • Alinhamento com impacto em vez de métricas de visibilidade.
  • Modelagem de estabilidade ambiental.
  • Governança de complexidade arquitetural.

O PISD-Eval de Telemetria de Segurança formaliza uma arquitetura de medição para avaliar resiliência como uma propriedade dinâmica e longitudinal de sistemas distribuídos de detecção.

6. Roteiro de Pesquisa

A Estrutura de Avaliação Pós-Implantação para Telemetria de Segurança formaliza como sistemas distribuídos de detecção devem ser avaliados sob pressão adversarial sustentada. Implementação e maturação podem avançar em fases estruturadas.

Fase 1: Observabilidade Indexada por Intrusão

Objetivo: Deslocar a avaliação de centrada em alertas para centrada em intrusões.

  • Construir registro de eventos de intrusão vinculando telemetria a impacto confirmado.
  • Implementar computação automática de tempo de permanência.
  • Sobrepor timestamps de intervenção nas linhas do tempo de intrusão.
  • Estabelecer métricas de linha de base PSC, DIDI, EAR, SNSR e DLCI.

Entregável:

  • Um perfil de resiliência de linha de base indexado por persistência para a arquitetura de detecção atual.

Fase 2: Quantificação de Coevolução

Objetivo: Medir velocidade de adaptação adversarial.

  • Implementar agrupamento de linhagem de artefatos entre amostras de malware e intrusões.
  • Acompanhar meia-vida de assinaturas entre categorias de ameaça.
  • Quantificar taxas de adaptação de evasão após atualizações de regras.
  • Modelar densidade de mutação ao longo de janelas temporais.

Entregável:

  • Mapas de velocidade de adaptação específicos por classe de ameaça e curvas de durabilidade de assinatura.

Fase 3: Modelagem de Estabilidade Ambiental

Objetivo: Separar deriva ambiental de mutação adversarial.

  • Implantar pipelines de monitoramento de deriva de atributos.
  • Instrumentar métricas de integridade de telemetria (taxa de perda, atraso de ingestão).
  • Modelar decaimento de discriminabilidade como função de volatilidade ambiental.
  • Identificar limiares de alerta precoce para colapso de sinal.

Entregável:

  • Painéis de estabilidade de detecção sensíveis a ruído e alertas de disparo por decaimento.

Fase 4: Governança da Arquitetura de Detecção

Objetivo: Limitar crescimento de complexidade estrutural.

  • Formalizar registro de camadas de detecção e grafo de dependências.
  • Definir bandas aceitáveis de crescimento de DLCI.
  • Estabelecer limiares de RLIF que disparem revisão arquitetural.
  • Desenvolver protocolos de teste por ablação para detecção em camadas.

Entregável:

  • Estrutura de governança de complexidade integrada ao ciclo de vida de implantação de detecção.

Direções de Pesquisa de Longo Prazo

Além da operacionalização, questões de pesquisa em aberto incluem:

  • Modelagem de controle teórico de loops de feedback detecção–adversário.
  • Modelagem preditiva de emergência de evasão antes da degradação de regras.
  • Limites formais sobre redução de tempo de permanência alcançável sob adversários adaptativos.
  • Padrões de comparabilidade entre organizações para métricas de persistência.
  • Análise de estabilidade de camadas de detecção correlacionadas sob estresse de carga.

Posicionamento de Encerramento

  • Sistemas de telemetria de segurança são infraestruturas adaptativas, não ferramentas estáticas de alertas.

Intervenções defensivas alteram incentivos adversariais e remodelam distribuições de telemetria. A resiliência deve, portanto, ser medida por meio de:

  • Redução de persistência.
  • Resistência à adaptação.
  • Alinhamento com impacto.
  • Estabilidade de sinal.
  • Coerência arquitetural.

O PISD-Eval de Telemetria de Segurança completa uma estrutura unificada para avaliar comportamento pós-intervenção em:

  • Sistemas de IA de fronteira.
  • Ecossistemas de detecção de abuso em plataformas.
  • Infraestruturas distribuídas de telemetria de segurança.

Citation

APA
Jaghai, J. (2025). PISD-Eval–Telemetria de Segurança: Sobrevivência da Persistência e Degradação de Sinais em Sistemas Distribuídos de Detecção. Laboratório de Lógica Muda. (MLL-PDEF-03). /pt/research/pdef/security-telemetry/
BibTeX
@report{jaghai2025pisdevaltelemetriadesegurana,
  author = {Javed Jaghai},
  title = {PISD-Eval–Telemetria de Segurança: Sobrevivência da Persistência e Degradação de Sinais em Sistemas Distribuídos de Detecção},
  institution = {Laboratório de Lógica Muda},
  number = {MLL-PDEF-03},
  year = {2025},
  url = {/pt/research/pdef/security-telemetry/}
}

Version history

  • v1.0 16 de jan. de 2026 Initial publication.