Falso positivo
O que é Falso positivo?
Falso positivoAlerta de seguranca que classifica atividade legitima como maliciosa, consumindo tempo dos analistas e degradando a confianca na detecao.
Um falso positivo ocorre quando uma regra, assinatura ou modelo de anomalia classifica comportamento legitimo como ameaca. Causas comuns: assinaturas amplas, ambientes de teste, atualizacoes de software, scans agendados e baselines demasiado agressivas. Falsos positivos sao caros porque cada um consome atencao, pode disparar playbooks de SOAR e contribui para a fadiga de alertas. As equipas de detecao medem a taxa por regra, afinam a logica, acrescentam listas brancas ou enriquecimento de contexto e retiram regras que nao podem ser tornadas suficientemente especificas. O objetivo nao e zero alertas, mas um compromisso entre precisao, recall e custo.
● Exemplos
- 01
Uma regra IDS marca como ataque um scan de vulnerabilidades feito pela propria equipa de seguranca.
- 02
Uma regra EDR considera malicioso um atualizador que invoca PowerShell.
● Perguntas frequentes
O que é Falso positivo?
Alerta de seguranca que classifica atividade legitima como maliciosa, consumindo tempo dos analistas e degradando a confianca na detecao. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Falso positivo?
Alerta de seguranca que classifica atividade legitima como maliciosa, consumindo tempo dos analistas e degradando a confianca na detecao.
Como funciona Falso positivo?
Um falso positivo ocorre quando uma regra, assinatura ou modelo de anomalia classifica comportamento legitimo como ameaca. Causas comuns: assinaturas amplas, ambientes de teste, atualizacoes de software, scans agendados e baselines demasiado agressivas. Falsos positivos sao caros porque cada um consome atencao, pode disparar playbooks de SOAR e contribui para a fadiga de alertas. As equipas de detecao medem a taxa por regra, afinam a logica, acrescentam listas brancas ou enriquecimento de contexto e retiram regras que nao podem ser tornadas suficientemente especificas. O objetivo nao e zero alertas, mas um compromisso entre precisao, recall e custo.
Como se defender contra Falso positivo?
As defesas contra Falso positivo costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Falso positivo?
Nomes alternativos comuns: FP, Alerta benigno.
● Termos relacionados
- defense-ops№ 405
Falso negativo
Atividade maliciosa que a detecao nao sinalizou, deixando a ameaca passar despercebida e permitindo ao atacante prosseguir sem alertar os defensores.
- defense-ops№ 041
Fadiga de alertas
Dessensibilizacao dos analistas causada por alertas excessivos, de baixo valor ou repetitivos, que reduz a atencao e atrasa a resposta a incidentes reais.
- defense-ops№ 307
Engenharia de detecao
Disciplina de desenhar, testar, implantar e manter detecoes de seguranca como codigo, com cobertura mensuravel das tecnicas adversarias.
- defense-ops№ 1039
SIEM
Plataforma que agrega, normaliza e correlaciona telemetria de segurança em toda a organização para deteção, investigação, conformidade e reporting.
- network-security№ 048
Detecção Baseada em Anomalias
Abordagem de detecção que estabelece uma linha de base de atividade normal e sinaliza desvios em relação a ela como potencialmente maliciosos.
● Veja também
- № 1040Tuning de regras SIEM