# Triagem de falso-positivo do AWAF

> O outro lado do estimador de envenenamento: relaxe um falso positivo genuíno do Advanced WAF corretamente, com escopo, e pare antes de relaxar um ataque real. Escolha uma categoria de violação, seu violation rating médio, e se está enforced, staged ou transparent, e obtenha o veredito baseado em rating do F5 e a correção com escopo. Roda inteiramente no seu navegador.

- Tool: https://ronutz.com/pt-BR/tools/f5-awaf-false-positive-triage
- Family: Segurança e WAF

---

## O que faz

Escolha uma violação que você está triando no F5 AWAF - Advanced WAF (antigo BIG-IP ASM - Application Security Manager): sua categoria, seu violation rating médio, e se a verificação está enforced, staged ou em uma política Transparent. A ferramenta retorna o veredito baseado em rating do F5, se a violação está bloqueando tráfego agora, e a correção com escopo para aquela categoria se for um falso positivo genuíno. É a contraparte do estimador de envenenamento: aquele alerta contra relaxar demais, e este mostra como relaxar um falso positivo real corretamente. É determinística e roda inteiramente no seu navegador.

## O veredito vem do rating

O Advanced WAF atribui a cada transação um violation rating de 1 a 5, e esse rating decide como tratar um suspeito falso positivo. Ratings 4 ou 5 são provavelmente ataques reais e bloqueiam mesmo quando todo Block flag está desligado, então a ferramenta diz para limpar a sugestão sem mudar a política. Um rating 3 é ambíguo e precisa ser investigado no event log primeiro. Ratings 1 e 2 geralmente são falsos positivos genuínos, então a ferramenta diz para aplicar a correção com escopo (ou aceitar a sugestão de aprendizado) depois que você confirmar que a requisição é legítima.

## Ela considera staging e o modo Transparent

Se uma violação está de fato bloqueando depende do enforcement. A ferramenta marca uma violação como bloqueando apenas quando a política está em modo Blocking e o rating é 4 ou 5. Uma signature em staging registra mas não bloqueia, e uma política em modo Transparent não bloqueia nada, então nesses casos a ferramenta observa que o falso positivo é um sinal de aprendizado e não uma experiência de usuário quebrada, e que a correção importa para quando o enforcement for ligado.

## A correção é sempre com escopo

Para cada categoria de violação a ferramenta dá a correção documentada, e toda opção é com escopo na URL ou parâmetro específico, nunca um disable para toda a política. Desabilitar uma signature em uma URL, adicionar uma entidade permitida, adicionar um meta-caractere ao conjunto daquela entidade, aumentar um comprimento específico, marcar um parâmetro de file upload, anexar um content profile XML ou JSON, ou habilitar o Potential False Positive Detection são todas ações com escopo. A ferramenta sempre reafirma a disciplina que rege todo o exercício: relaxe apenas onde um falso positivo de fato ocorreu, nunca onde um ataque real causou a violação.

## Grounding

A lógica de rating para ação e as correções com escopo vêm do K70544352 do F5 (Reducing false positive violations), da documentação Working with Violations do BIG-IP ASM (que define como o rating dirige o bloqueio e quais violações são não aprendíveis), e da orientação Refining Security Policies with Learning. Nada que você seleciona é enviado ou sai da página. Para uma mudança de produção, confirme contra a documentação e a requisição específica no seu event log.

## Standards and references

- [F5 K70544352: Reducing false positive violations](https://my.f5.com/manage/s/article/K70544352)
- [F5 BIG-IP ASM/Advanced WAF: Working with Violations (violation rating -> block behaviour; rating 4-5 blocks even with Block off; unlearnable rating-5 set)](https://techdocs.f5.com/en-us/bigip-17-5-0/big-ip-asm-implementations/working-with-violations.html)
- [F5 BIG-IP ASM: Refining Security Policies with Learning (accept vs clear by rating; relax only genuine false positives)](https://techdocs.f5.com/kb/en-us/products/big-ip_asm/manuals/product/asm-implementations-11-6-0/25.html)
- [F5 K13050156: Policy tuning and enhancement](https://my.f5.com/manage/s/article/K13050156)

## Related reading

- [Lidando com falsos positivos no Advanced WAF: triagem por rating, depois ajuste com escopo](https://ronutz.com/pt-BR/learn/awaf-false-positives.md): Um falso positivo é tráfego legítimo que dispara uma política de segurança. No F5 AWAF - Advanced WAF (antigo BIG-IP ASM - Application Security Manager) o violation rating é o sinal de triagem: ratings 1 e 2 são provavelmente falsos positivos que você pode aceitar, rating 3 precisa de investigação, e ratings 4 e 5 bloqueiam mesmo com os Block flags desligados e devem ser limpos em vez de relaxados. A correção é sempre com escopo na URL ou parâmetro específico, nunca um disable para toda a política, e a regra que rege tudo é relaxar apenas onde um falso positivo de fato ocorreu.
