Fatiga de alertas
¿Qué es Fatiga de alertas?
Fatiga de alertasDesensibilizacion de los analistas causada por alertas excesivas, de bajo valor o repetitivas, que reduce la atencion y retrasa la respuesta a incidentes reales.
La fatiga de alertas aparece cuando un SOC recibe mas alertas de las que su equipo puede investigar, con una alta proporcion de falsos positivos o duplicados. Con el tiempo, los analistas desarrollan reflejos para descartar o cerrar en lote, aumentando el riesgo de que un verdadero positivo pase desapercibido o se atienda tarde. Las causas incluyen reglas ruidosas, lineas base debiles, firmas demasiado amplias, falta de enriquecimiento y herramientas solapadas. Las soluciones son afinar las alertas, deduplicar, usar puntuacion basada en riesgo, automatizar con SOAR, eliminar detecciones de bajo valor y seguir metricas de relacion senal-ruido para priorizar calidad.
● Ejemplos
- 01
Analistas cerrando automaticamente alertas de fuerza bruta porque el 99 por ciento es ruido de escaneres en internet.
- 02
Una avalancha de alertas EDR duplicadas tras un despliegue de software que oculta un movimiento lateral real.
● Preguntas frecuentes
¿Qué es Fatiga de alertas?
Desensibilizacion de los analistas causada por alertas excesivas, de bajo valor o repetitivas, que reduce la atencion y retrasa la respuesta a incidentes reales. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Fatiga de alertas?
Desensibilizacion de los analistas causada por alertas excesivas, de bajo valor o repetitivas, que reduce la atencion y retrasa la respuesta a incidentes reales.
¿Cómo defenderse de Fatiga de alertas?
Las defensas contra Fatiga de alertas combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Fatiga de alertas?
Nombres alternativos comunes: Fatiga de notificaciones, Cansancio por alarmas.