# Interpretador de sugestão de aprendizado do AWAF

> Conecta o estimador de envenenamento e a triagem de falso-positivo. Caracterize uma sugestão do Traffic Learning e ela diz se aceitá-la afrouxa ou aperta a política, se um afrouxamento é uma correção de falso positivo ou uma relaxação de segurança, e se o aprendizado Automático está prestes a fazer enforcement por você. Roda inteiramente no seu navegador.

- Tool: https://ronutz.com/pt-BR/tools/f5-awaf-learning-suggestion-interpreter
- Family: Segurança e WAF

---

## O que faz

Caracterize uma sugestão do Traffic Learning do F5 AWAF - Advanced WAF (antigo BIG-IP ASM - Application Security Manager): sua ação, seu learning score, o violation rating médio, o modo de aprendizado, e se o tráfego por trás dela é confiável. A ferramenta diz se aceitar a sugestão afrouxa ou aperta a política, se um afrouxamento é uma correção de falso positivo genuína ou uma relaxação de segurança, e se o aprendizado Automático está prestes a fazer enforcement por você. É a ponte entre o estimador de envenenamento e a triagem de falso-positivo, e roda inteiramente no seu navegador.

## Afrouxamento vs aperto

O F5 separa as sugestões em duas direções. Sugestões de aperto tornam a política mais específica: remover um wildcard e adicionar entidades explícitas, fazer enforcement de uma entidade em staging, tornar um atributo mais específico. Aceitá-las geralmente melhora a segurança. Sugestões de afrouxamento relaxam a política: adicionar uma entidade permitida, permitir um meta-caractere, relaxar um atributo, desabilitar uma violação ou uma signature. Adicionar uma entidade legítima que a política simplesmente não tinha aprendido é de baixo risco, mas um afrouxamento que reduz o enforcement precisa de julgamento, e a ferramenta o julga pelo violation rating: 1 ou 2 é uma provável correção de falso positivo, 3 precisa de investigação, 4 ou 5 significa que você estaria relaxando um ataque real.

## O learning score e o vetor de envenenamento

Cada sugestão carrega um learning score que mostra o quão perto o sistema está de aceitá-la, e o score sobe conforme o violation rating cai. Então as sugestões de menor rating, as mais prováveis de serem falsos positivos, chegam ao auto-aceite mais rápido. Isso é por design, mas também é exatamente o que um atacante alimentando muitas violações de baixo rating faz subir. Quando o modo é Automático, o afrouxamento reduz o enforcement, o tráfego é não confiável, e o score está subindo, a ferramenta sinaliza o vetor de envenenamento e aponta para o estimador de envenenamento para ver o quão longe está do limiar de auto-aceite. No aprendizado Manual um humano deve aceitar cada sugestão, então nada é enforced sem revisão.

## A disciplina

Para qualquer afrouxamento que reduz o enforcement, a ferramenta reafirma a regra do F5: relaxe a política apenas onde um falso positivo ocorreu, nunca onde um ataque real causou a violação. O violation rating é como você distingue os dois, e por isso ele dirige a avaliação.

## Grounding

As categorias de afrouxamento e aperto vêm do K03513854 do F5, e o comportamento do learning score, o auto-aplicar em 100% no modo Automático, e a disciplina de falso positivo vêm da documentação de aprendizado do ASM e do K70544352. A ferramenta modela comportamento documentado e não depende do JSON REST exato (variável por versão) da sugestão; você descreve a sugestão a partir da tela do Traffic Learning. Nada que você seleciona sai da página.

## Standards and references

- [F5 K03513854: ASM Learning Suggestions (tightening and loosening)](https://my.f5.com/manage/s/article/K03513854)
- [F5 BIG-IP ASM: Refining Security Policies with Learning (learning score, violation-rating influence, auto-apply at 100% in Automatic, relax only genuine false positives)](https://techdocs.f5.com/en-us/bigip-14-1-0/big-ip-asm-implementations-14-1-0/refining-security-policies-with-learning.html)
- [F5 K70544352: Reducing false positive violations](https://my.f5.com/manage/s/article/K70544352)

## Related reading

- [Aprendizado automático em produção: como um atacante envenena uma política de WAF](https://ronutz.com/pt-BR/learn/awaf-automatic-learning-poisoning.md): Deixado em modo de aprendizado Automatic sobre tráfego não confiável, o Policy Builder do BIG-IP Advanced WAF aceita e aplica uma sugestão assim que seu learning score chega a 100%, e algumas sugestões desabilitam violações ou ampliam entidades. Um atacante que inunda tráfego de aparência legítima a partir de fontes suficientes consegue levar um afrouxamento a 100% e abrir um buraco. O design do F5 resiste a isso com limites de fontes, sessões e tempo, mas a postura segura é aprendizado Manual por padrão e construir apenas a partir de tráfego confiável.
