Skip to content

Una regla genera cientos de falsos positivos al día. ¿Cómo la ajustas de forma segura?

Respuesta breve

Primero entiende por qué la regla se dispara tanto: encuentra el patrón benigno común detrás del ruido. Luego escribe la exclusión más estrecha posible (host, cuenta o comportamiento específico), documenta la justificación y valida que un verdadero positivo seguiría disparándose. Evita supresiones amplias que crean puntos ciegos en silencio.

El tuning es una de las actividades de mayor apalancamiento de un SOC, y también una de las más fáciles de hacer mal. Una exclusión descuidada puede silenciar un ataque real para siempre. Los entrevistadores preguntan esto para ver si tratas el tuning como una ingeniería cuidadosa en lugar de como un botón de silencio.

Empieza por la causa raíz

Antes de cambiar nada, pregúntate por qué la regla es tan ruidosa. Saca una muestra de los falsos positivos y busca el hilo común: un escáner de vulnerabilidades, una cuenta de servicio de backup, una herramienta de monitorización o un umbral de regla mal configurado. La solución depende por completo de la causa. A menudo la propia lógica de la regla es demasiado amplia, y la respuesta correcta es una mejor lógica, no una exclusión.

Acota las exclusiones al máximo

Cuando necesites una exclusión, hazla quirúrgica. Excluir «el host-escáner que ejecuta esta herramienta concreta contra esta subred concreta» es defendible. Excluir un rango de IP entero, un tipo de cuenta entero o un event ID entero es como nacen los puntos ciegos: un atacante que aterrice en ese host o abuse de esa cuenta ahora pasa inadvertido.

Documenta y valida

Cada cambio de tuning necesita un rastro escrito: qué cambiaste, por qué, quién lo aprobó y cuándo revisarlo. Luego valida: confirma que una instancia maliciosa genuina del comportamiento seguiría activando la alerta. Reproduce una muestra conocida como maliciosa o razona explícitamente sobre la nueva lógica.

Sigue las métricas

Vigila la precisión (verdaderos positivos sobre el total de alertas) antes y después. Si el volumen bajó pero también perdiste verdaderos positivos, el cambio fue demasiado agresivo.

Por qué importa

Cualquiera puede hacer que las alertas desaparezcan. Un analista capaz de reducir el ruido conservando la cobertura —y demostrarlo— protege al SOC tanto de la fatiga como de la ceguera al mismo tiempo.

Posibles preguntas de seguimiento

  • ¿Cómo mides si un cambio de tuning mejoró la precisión?
  • ¿Cuál es el riesgo de excluir por IP de origen en lugar de por comportamiento?
  • ¿Cómo documentarías un cambio de tuning con fines de auditoría?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.