FPR (False Positive Rate) — это показатель частоты ложных срабатываний в системах обнаружения угроз, включая SIEM.
Подробное объяснение
FPR = (Количество ложных срабатываний) / (Всего срабатываний) × 100%.
Характеризует, какой процент оповещений оказался ошибочным.
Почему это важно в SIEM?
- Высокий FPR перегружает SOC, заставляя аналитиков тратить время на проверку нерелевантных событий.
- Слишком низкий FPR может означать пропуск реальных угроз (из-за излишне строгих правил).
Оптимальные значения
- Для коммерческих SIEM: 5–10% считается приемлемым.
- В высокочувствительных системах (например, военных) допустим более высокий FPR (до 15–20%).
Как снизить FPR?
- Уточнение условий правил: Добавление контекста (белые списки IP, рабочие часы).
- Базовые линии (baselining): Исключение нормальной активности.
- Машинное обучение: Автоматическая адаптация порогов срабатывания.
Пример
Если SIEM выдал 100 оповещений за день, из которых 10 оказались ложными, FPR = 10%.
Идеальный баланс достигается, когда:
- Правила детектируют реальные угрозы (True Positives).
- Минимизируют шум (False Positives).
Для этого используют метрики точности (Precision) и полноты (Recall), но FPR остается ключевым показателем для оценки эффективности правил корреляции.