Fatiga de alertas
¿Qué es Fatiga de alertas?
Fatiga de alertasDesensibilizacion de los analistas causada por alertas excesivas, de bajo valor o repetitivas, que reduce la atencion y retrasa la respuesta a incidentes reales.
La fatiga de alertas aparece cuando un SOC recibe mas alertas de las que su equipo puede investigar, con una alta proporcion de falsos positivos o duplicados. Con el tiempo, los analistas desarrollan reflejos para descartar o cerrar en lote, aumentando el riesgo de que un verdadero positivo pase desapercibido o se atienda tarde. Las causas incluyen reglas ruidosas, lineas base debiles, firmas demasiado amplias, falta de enriquecimiento y herramientas solapadas. Las soluciones son afinar las alertas, deduplicar, usar puntuacion basada en riesgo, automatizar con SOAR, eliminar detecciones de bajo valor y seguir metricas de relacion senal-ruido para priorizar calidad.
● Ejemplos
- 01
Analistas cerrando automaticamente alertas de fuerza bruta porque el 99 por ciento es ruido de escaneres en internet.
- 02
Una avalancha de alertas EDR duplicadas tras un despliegue de software que oculta un movimiento lateral real.
● Preguntas frecuentes
¿Qué es Fatiga de alertas?
Desensibilizacion de los analistas causada por alertas excesivas, de bajo valor o repetitivas, que reduce la atencion y retrasa la respuesta a incidentes reales. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Fatiga de alertas?
Desensibilizacion de los analistas causada por alertas excesivas, de bajo valor o repetitivas, que reduce la atencion y retrasa la respuesta a incidentes reales.
¿Cómo funciona Fatiga de alertas?
La fatiga de alertas aparece cuando un SOC recibe mas alertas de las que su equipo puede investigar, con una alta proporcion de falsos positivos o duplicados. Con el tiempo, los analistas desarrollan reflejos para descartar o cerrar en lote, aumentando el riesgo de que un verdadero positivo pase desapercibido o se atienda tarde. Las causas incluyen reglas ruidosas, lineas base debiles, firmas demasiado amplias, falta de enriquecimiento y herramientas solapadas. Las soluciones son afinar las alertas, deduplicar, usar puntuacion basada en riesgo, automatizar con SOAR, eliminar detecciones de bajo valor y seguir metricas de relacion senal-ruido para priorizar calidad.
¿Cómo defenderse de Fatiga de alertas?
Las defensas contra Fatiga de alertas combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Fatiga de alertas?
Nombres alternativos comunes: Fatiga de notificaciones, Cansancio por alarmas.
● Términos relacionados
- defense-ops№ 406
Falso positivo
Alerta que clasifica como maliciosa una actividad legitima, gastando tiempo de los analistas y erosionando la confianza en la deteccion que la produjo.
- defense-ops№ 405
Falso negativo
Actividad maliciosa que la deteccion no llego a marcar, dejando la amenaza inadvertida y permitiendo al atacante continuar sin alertar a los defensores.
- defense-ops№ 1039
SIEM
Plataforma que agrega, normaliza y correlaciona telemetría de seguridad de toda la organización para detectar, investigar, cumplir y reportar.
- defense-ops№ 1062
SOAR
Plataforma que automatiza y orquesta los flujos de trabajo del SOC encadenando detecciones, enriquecimientos y acciones de respuesta en playbooks que se ejecutan en las herramientas de seguridad.
- defense-ops№ 307
Ingenieria de deteccion
Disciplina de disenar, probar, desplegar y mantener detecciones de seguridad como codigo, con cobertura medible sobre tecnicas adversarias.