Falso positivo

A ocorrência de falso positivo e falso negativo no Zabbix é bastante comum, especialmente se olharmos para soluções de monitoração mais recentes, implementadas a pouco tempo e com baixa maturidade.

O fato é que as soluções de monitoração têm sido implementadas sem um cuidado mais aprofundado, há diversos componentes que devem ser considerados no momento da implementação, mas passam despercebidos pela ágil implementação.

Com isso o monitoramento passa a ser falho e demora a tomar uma ação, devido á imprecisão e ineficácia dos sensores. Já abordamos anteriormente a diferença entre monitoramento e monitoração, e entender esta distinção é fundamental para entender este cenário.

Em termos gerais, a monitoração é o conjunto de ferramentas que compõe uma solução de monitoramento, já o monitoramento é a ação humana de acompanhar os painéis e tratar os alertas.

O que causa o falso positivo e falso negativo?

Geralmente são ocasionados pela forma como foi implementado o sensor, de forma que seu funcionamento não leve em consideração outros possíveis fatores que levem á degradação de um serviço ou equipamento.

Há dois tipos de dependências para os serviços:

  • Anteriores: São as dependências imediatas para a execução/funcionamento do serviço ou dispositivo, possuem impacto direto, exemplo: energia elétrica, serviços interdependentes.
  • Posteriores: O alvo da monitoração não depende deles para funcionar, mas para ser capaz de disponibilizar seus serviços, exemplo: DHCP e switch.

O funcionamento da TI depende profundamente de uma malha, um conjunto de serviços e componentes para funcionar corretamente. Ou seja, todo serviço e equipamento possui dependências.

A grande falha da monitoração é elaborar sensores simplórios, que monitoram apenas um aspecto do equipamento ou serviço, e isso além de gerar falhas na interpretação pela pessoa que monitora a estrutura, também fornece estatísticas incorretas sobre a TI, guiando a gestão a realizar investimentos incorretos para a solução dos problemas.

Posts recentes:

Como resolver falsos negativos e falsos positivos?

Eliminar os falsos positivos e falsos negativos significa, muitas vezes, revisitar o motivo pelo qual o cliente decidiu implementar uma solução de monitoração e se fazer a seguinte pergunta: O sensor está de fato monitorando algo que é importante para a empresa?

Se a resposta for sim, então podemos começar a mapear as dependências deste serviço ou dispositivo, tudo que for necessário para seu funcionamento correto.

Realizar um mapa mental das dependências é uma excelente forma de organizar-se, a partir deste ponto você terá condições de decidir quais dependências serão monitoradas, e agregar todos de uma forma que seja possível identificar a falha de cada dependência individualmente.

Assim você terá uma solução de monitoração eficiente, com um maior refinamento dos dados coletados, fornecendo aos profissionais de monitoramento mais informações para diagnosticar e corrigir falhas na TI.

Porém, corrigir sensores para evitar alertas falsos é uma tarefa mais complicada do que efetivamente começar do zero. Por isso é tão importante compreender o panorama geral antes de implementar os sensores.

3 passos antes de instalar o Zabbix ou qualquer outra solução de monitoração que precisam ser observados, para garantir que todo o processo esteja adequado à necessidade da organização e a eficiência da solução como um todo:

  • Diagrama de Rede: Realizar um diagrama detalhado de rede é extremamente importante para compreender a infraestrutura na qual a monitoração será implementada, e guiará o passo a seguir;
  • Desenho de Serviços: Desenhar um mapa mental dos Serviços da TI e suas dependências é a sua guia para compreender como deve ser estruturado o monitoramento;
  • Alertas: É preciso definir quem irá recebê-los e qual tratativa esta pessoa dará para cada um, definir o horário que os alertas serão enviados (9×5 ou 24×7), e por qual meio serão emitidos os alertas, (e-mail, Telegram, abertura de chamado em Service Desk etc.).

Melhoria contínua do monitoramento

Apesar de ser importante montar uma solução eficiente logo em sua implementação, uma solução será tão confiável quanto era no momento da implementação. Com o tempo, somam-se softwares, equipamentos e reorganizações da TI.

Isto faz com que a monitoração fique desatualizada e defasada, por isso surge o alerta falso positivo ou negativo, pode que ser mitigado com a melhoria contínua dos sensores e solução. Ao tornar esta melhoria parte da rotina, a solução torna-se confiável e relevante ao negócio independente das novas tecnologias que serão adotadas.

Além disso, a infraestrutura de monitoramento pode evoluir para um NOC, formando efetivamente um Centro de Operações de Rede, com a capacidade de resolver problemas comuns com agilidade e escalar os problemas desconhecidos para profissionais altamente capacitados.

É possível também evoluir a estrutura do NOC para formar um Centro de Operações de Segurança – SOC, permitindo monitorar a Segurança da Informação e obter dados sobre vulnerabilidades e invasões que comprometam os dados sensíveis da empresa, atendendo às demandas da LGPD.

Esperamos que com esta matéria você tenha condições de mitigar os falsos positivos e negativos. Caso queira implementar uma solução avançada de monitoramento, fale conosco e iremos te ajudar com as soluções mais avançadas para monitoramento.