Entry № 406
误报
误报 是什么?
误报将正常活动标记为恶意的安全告警,消耗分析人员时间并削弱对相应检测规则的信任。
误报指检测规则、签名或异常模型将合法行为判定为威胁。常见来源包括过宽的签名、测试环境、软件更新、计划扫描和过于激进的基线。误报代价高昂,因为每条都会占用分析时间、可能触发 SOAR 剧本,并加剧告警疲劳。检测工程团队会按规则统计误报率,调整逻辑,添加白名单或上下文富化,并淘汰难以精细化的规则。目标不是消除所有告警,而是在精确率、召回率和运营成本之间取得合理平衡。
● 示例
- 01
IDS 规则将安全团队自己执行的漏洞扫描标记为攻击。
- 02
EDR 规则将调用 PowerShell 子进程的软件更新程序判断为恶意行为。
● 常见问题
误报 是什么?
将正常活动标记为恶意的安全告警,消耗分析人员时间并削弱对相应检测规则的信任。 它属于网络安全的 防御与运营 分类。
误报 是什么意思?
将正常活动标记为恶意的安全告警,消耗分析人员时间并削弱对相应检测规则的信任。
误报 是如何工作的?
误报指检测规则、签名或异常模型将合法行为判定为威胁。常见来源包括过宽的签名、测试环境、软件更新、计划扫描和过于激进的基线。误报代价高昂,因为每条都会占用分析时间、可能触发 SOAR 剧本,并加剧告警疲劳。检测工程团队会按规则统计误报率,调整逻辑,添加白名单或上下文富化,并淘汰难以精细化的规则。目标不是消除所有告警,而是在精确率、召回率和运营成本之间取得合理平衡。
如何防御 误报?
针对 误报 的防御通常结合技术控制与运营实践,详见上方完整定义。
误报 还有哪些其他名称?
常见的别称包括: FP, 正常告警。
● 相关术语
● 参见
- № 1040SIEM 规则调优