Une règle génère des centaines de faux positifs par jour. Comment l'affiner en toute sécurité ?
Réponse courte
Comprenez d'abord pourquoi la règle se déclenche autant — trouvez le motif bénin commun derrière le bruit. Écrivez ensuite l'exclusion la plus étroite possible (hôte, compte ou comportement précis), documentez la justification, et validez qu'un vrai positif se déclencherait encore. Évitez les suppressions larges qui créent discrètement des angles morts.
Le tuning est l'une des activités à plus fort levier d'un SOC, et aussi l'une des plus faciles à rater. Une exclusion bâclée peut faire taire une vraie attaque pour toujours. Les recruteurs posent cette question pour voir si vous traitez le tuning comme une ingénierie soigneuse plutôt que comme un bouton « muet ».
Commencez par la cause racine
Avant de changer quoi que ce soit, demandez-vous pourquoi la règle est si bruyante. Récupérez un échantillon des faux positifs et cherchez le fil commun : un scanner de vulnérabilités, un compte de service de sauvegarde, un outil de monitoring, ou un seuil de règle mal configuré. Le correctif dépend entièrement de la cause. Souvent la logique de la règle elle-même est trop large, et la bonne réponse est une meilleure logique, pas une exclusion.
Restreignez les exclusions au maximum
Quand une exclusion est nécessaire, rendez-la chirurgicale. Exclure « l'hôte-scanner exécutant cet outil précis contre ce sous-réseau précis » est défendable. Exclure une plage d'IP entière, un type de compte entier ou un event ID entier, c'est ainsi que naissent les angles morts — un attaquant qui atterrit sur cet hôte ou abuse de ce compte passe désormais inaperçu.
Documentez et validez
Chaque changement de tuning nécessite une trace écrite : ce que vous avez changé, pourquoi, qui l'a approuvé, et quand le réexaminer. Ensuite validez : confirmez qu'une instance malveillante authentique du comportement déclencherait toujours l'alerte. Rejouez un échantillon connu pour être malveillant ou raisonnez explicitement sur la nouvelle logique.
Suivez les métriques
Surveillez la précision (vrais positifs sur le total des alertes) avant et après. Si le volume a baissé mais que vous avez aussi perdu des vrais positifs, le changement était trop agressif.
Pourquoi c'est important
N'importe qui peut faire disparaître des alertes. Un analyste capable de réduire le bruit tout en préservant la couverture — et de le prouver — protège le SOC à la fois de la fatigue et de l'aveuglement.
Questions de suivi probables
- Comment mesurez-vous si un changement de tuning a amélioré la précision ?
- Quel est le risque d'exclure par IP source plutôt que par comportement ?
- Comment documenteriez-vous un changement de tuning à des fins d'audit ?