Falso positivo
¿Qué es Falso positivo?
Falso positivoAlerta que clasifica como maliciosa una actividad legitima, gastando tiempo de los analistas y erosionando la confianza en la deteccion que la produjo.
Un falso positivo ocurre cuando una regla, firma o modelo de anomalia clasifica un comportamiento legitimo como amenaza. Las fuentes habituales son firmas demasiado amplias, entornos de prueba, actualizaciones de software, escaneos programados y lineas base agresivas. Los falsos positivos son caros porque cada uno consume atencion, puede disparar playbooks de SOAR y contribuye a la fatiga de alertas. Los equipos de ingenieria de deteccion miden la tasa por regla, afinan la logica, anaden listas blancas o enriquecimiento de contexto y retiran reglas que no se pueden hacer suficientemente especificas. El objetivo no es eliminar alertas sino equilibrar precision, recall y coste.
● Ejemplos
- 01
Una regla de IDS marca como ataque un escaneo de vulnerabilidades realizado por el propio equipo de seguridad.
- 02
Una regla de EDR considera malicioso un actualizador de software que invoca PowerShell.
● Preguntas frecuentes
¿Qué es Falso positivo?
Alerta que clasifica como maliciosa una actividad legitima, gastando tiempo de los analistas y erosionando la confianza en la deteccion que la produjo. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Falso positivo?
Alerta que clasifica como maliciosa una actividad legitima, gastando tiempo de los analistas y erosionando la confianza en la deteccion que la produjo.
¿Cómo defenderse de Falso positivo?
Las defensas contra Falso positivo combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Falso positivo?
Nombres alternativos comunes: FP, Alerta benigna.