Entry № 453
誤検知
誤検知 とは何ですか?
誤検知正常な活動を悪性として検知してしまうセキュリティアラート。アナリストの時間を消費し、検知ルールへの信頼を損なう。
誤検知は、検知ルール・シグネチャ・異常モデルが正常な振る舞いを脅威と分類したときに発生します。広すぎるシグネチャ、テスト環境、ソフトウェア更新、定期スキャン、攻撃的すぎるベースラインなどが主な原因です。誤検知は分析者の集中力を奪い、SOAR プレイブックを発火させ、アラート疲れを助長するため非常にコストが高くなります。検知エンジニアリングチームはルール単位で誤検知率を計測し、ロジックを調整し、許可リストや文脈の付与を行い、十分に特異化できないルールは廃止します。目標はアラートをゼロにすることではなく、適合率・再現率・運用コストのバランスを取ることです。
● 例
- 01
セキュリティチーム自身が実行した脆弱性スキャンを IDS ルールが攻撃と判定する。
- 02
PowerShell を子プロセスとして起動するソフトウェアアップデータを EDR が悪性と判断する。
● よくある質問
誤検知 とは何ですか?
正常な活動を悪性として検知してしまうセキュリティアラート。アナリストの時間を消費し、検知ルールへの信頼を損なう。 サイバーセキュリティの 防御と運用 カテゴリに属します。
誤検知 とはどういう意味ですか?
正常な活動を悪性として検知してしまうセキュリティアラート。アナリストの時間を消費し、検知ルールへの信頼を損なう。
誤検知 からどのように防御しますか?
誤検知 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
誤検知 の別名は何ですか?
一般的な別名: FP, 良性アラート。