Ingeniería de detección: cómo escribir mejores reglas de alertas y reducir el ruido

El 60% de los analistas de seguridad afirma que las alertas falsas positivas son su mayor problema. Un SIEM mal configurado genera cientos de alertas irrelevantes al día, creando fatiga de alertas y haciendo que las alertas reales se pierdan entre el ruido.

El problema de los falsos positivos

Una regla que alerta sobre "cualquier conexión saliente en el puerto 443" generará miles de alertas legítimas al día. Una regla que alerta sobre "conexión saliente en puerto 443 a IP en lista negra desde un proceso que no es un navegador" es útil.

Principios de buena detección

• Especificidad: cuanto más específica la regla, menos falsos positivos. Añade contexto: proceso, usuario, hora, dirección de red.
• Baseline: conoce qué es normal para detectar lo anormal. Una conexión RDP a las 3am es anómala; a las 9am puede ser normal.
• Priorización por MITRE ATT&CK: focaliza las reglas en técnicas de ataque de alto impacto.
• Ciclo de mejora continua: cada falso positivo es información para afinar la regla.

Herramientas

• Sigma: formato estándar para reglas de detección agnóstico del SIEM. Escribe una vez, despliega en cualquier plataforma.
• MITRE ATT&CK Navigator: mapea tus reglas contra el framework para ver qué técnicas cubres y cuáles te faltan.
• Atomic Red Team: prueba si tus reglas detectan las técnicas de ataque que dicen detectar.

Este es el trabajo que Blindara hace día a día: mantener las reglas de detección actualizadas, ajustar los umbrales para minimizar los falsos positivos y asegurarse de que cada alerta que llega es accionable.