False Positives in SIEM

What is a False Positive?

Alert는 즉각적인 action을 호출하기 위해 설계된 것임

but, 완벽하진 않음 → 분석가가 경고해야 하는 event를 놓칠 수 있기 때문

 

Alert는 일반적으로 아래의 네가지 분류로 나눌 수 있음

1. True positive
   • rule condition에 의해 생성되는 alert
   • 혹은 합법적인 위협이나 공격을 뜻함
2. False positive
   • rule condition에 의해 생성되는 alert ( but, 위협이나 공격이 발생하진 x )
   •  가짜 알람이며 시간과 자원을 낭비하게 하는 alert
3. True negative
   • 위협이나 공격이 발생하지 않았을 때의 알림이 없는 것
   • 이를 위해 팀들은 경고하기 위한 알림이 필요하지 않음
4. False negative
   • 그룹에게 사각지대를 만드는 것
   • 경고되지 않기 때문에, 그리고 SIEM에서 규칙들은 종종 패턴 분석에 의해 생성되기에 알아차리기 힘듦

 

How to Determine False Positive?

 

rule의 조건을 조사하기 

-> 어떻게 alert가 생성된지 이해하는 것이 알아내는 것에 도움이 됨

-> 만약 규칙의 조건이 불분명하면 맥락을 알아가는 것이 중요함

 

alert의 맥락 이해하기

-> SIEM의 주요한 이점 중 하나는 여러 개의 소스의 데이터를 통합할 수 있는 것

    -> 이것은 환경의 흐름, 맥락을 이해하는데 도움이 됨

 

threat feed 및 외부 데이터 소스들 활용하기

-> 이들은 도움이 됨

 

 

Examples of False Positives

False positive는 다양한 형태가 존재함 -> 다양한 예씨들을 알아두는 게 도윰이 됨

 

1. 사용하지 않는 기술에 대한 alert
   • database server 공격 
     • Oracle, MySQL 
2. 악의적인 네트워크 활동에 대한 alert
   • 가끔 멀웨어들은 네트워크 밖의 호스트에 연결하곤 함
     • compromised 서버

 

How You Can Reduce False Positives

1. default 룰 확인하기
2. 경고의 심각도/우선순위 확인하기
3. 지속적인 모니터링 및 룰 재정의하기
4. 루프 닫기