Fadiga de alertas
O que é Fadiga de alertas?
Fadiga de alertasDessensibilizacao dos analistas causada por alertas excessivos, de baixo valor ou repetitivos, que reduz a atencao e atrasa a resposta a incidentes reais.
A fadiga de alertas surge quando um SOC recebe mais alertas do que a equipa consegue investigar, com elevada proporcao de falsos positivos ou duplicados. Com o tempo, os analistas desenvolvem reflexos para fechar ou processar em lote, aumentando o risco de um verdadeiro positivo passar despercebido ou ser tratado tarde. As causas incluem regras ruidosas, baselines fracas, assinaturas demasiado amplas, falta de enriquecimento e ferramentas sobrepostas. Solucoes: afinar alertas, deduplicar, scoring baseado em risco, automacao com SOAR, remover detecoes de baixo valor e acompanhar metricas de relacao sinal-ruido.
● Exemplos
- 01
Analistas fecham automaticamente alertas de forca bruta porque 99 por cento sao ruido de scanners da internet.
- 02
Uma onda de alertas EDR duplicados apos um rollout de software esconde uma detecao real de movimento lateral.
● Perguntas frequentes
O que é Fadiga de alertas?
Dessensibilizacao dos analistas causada por alertas excessivos, de baixo valor ou repetitivos, que reduz a atencao e atrasa a resposta a incidentes reais. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Fadiga de alertas?
Dessensibilizacao dos analistas causada por alertas excessivos, de baixo valor ou repetitivos, que reduz a atencao e atrasa a resposta a incidentes reais.
Como funciona Fadiga de alertas?
A fadiga de alertas surge quando um SOC recebe mais alertas do que a equipa consegue investigar, com elevada proporcao de falsos positivos ou duplicados. Com o tempo, os analistas desenvolvem reflexos para fechar ou processar em lote, aumentando o risco de um verdadeiro positivo passar despercebido ou ser tratado tarde. As causas incluem regras ruidosas, baselines fracas, assinaturas demasiado amplas, falta de enriquecimento e ferramentas sobrepostas. Solucoes: afinar alertas, deduplicar, scoring baseado em risco, automacao com SOAR, remover detecoes de baixo valor e acompanhar metricas de relacao sinal-ruido.
Como se defender contra Fadiga de alertas?
As defesas contra Fadiga de alertas costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Fadiga de alertas?
Nomes alternativos comuns: Fadiga de notificacoes, Fadiga de alarmes.
● Termos relacionados
- defense-ops№ 406
Falso positivo
Alerta de seguranca que classifica atividade legitima como maliciosa, consumindo tempo dos analistas e degradando a confianca na detecao.
- defense-ops№ 405
Falso negativo
Atividade maliciosa que a detecao nao sinalizou, deixando a ameaca passar despercebida e permitindo ao atacante prosseguir sem alertar os defensores.
- defense-ops№ 1039
SIEM
Plataforma que agrega, normaliza e correlaciona telemetria de segurança em toda a organização para deteção, investigação, conformidade e reporting.
- defense-ops№ 1062
SOAR
Plataforma que automatiza e orquestra workflows do SOC, encadeando deteções, enriquecimentos e ações de resposta em playbooks executados nas várias ferramentas de segurança.
- defense-ops№ 307
Engenharia de detecao
Disciplina de desenhar, testar, implantar e manter detecoes de seguranca como codigo, com cobertura mensuravel das tecnicas adversarias.