# Edit Status #### **Edit Status** É onde você marca o estado da detecção: * Se é incidente real * Se é falso positivo * Se ainda está em investigação Ou seja: > é a sua **decisão final (ou parcial)** sobre o alerta #### Status mais comuns e quando usar **New / Open** * Estado inicial * Ainda não analisado Use quando: * Acabou de chegar alerta **In Progress** * Você está investigando Use quando: * Ainda está analisando * Precisa de mais dados **True Positive** **Confirmou atividade maliciosa** Use quando: * Há evidência clara de ataque * Ex: execução suspeita + comportamento malicioso Normalmente: * Vai escalar para IR (Incident Response) **False Positive** Alerta legítimo, mas comportamento é benigno Exemplos: * Script de admin * Ferramenta interna * Automação da empresa Cuidado: * Sempre justificar bem **Benign True Positive** Muito importante (muita gente erra aqui) * O comportamento aconteceu * Mas **é legítimo** Ex: * Admin rodando PowerShell * Ferramenta de deploy Diferença: * **True Positive → ataque** * **Benign True Positive → comportamento esperado** **Ignored / Closed** * Encerrado sem ação relevante **O que você DEVE escrever ao editar status** Nunca só muda o status — sempre documenta: Inclua: * O que foi analisado * Por que é benigno ou malicioso * Evidências (processo, command line, usuário) **Exemplo prático** **False Positive** > Activity triggered by internal IT script.\ > PowerShell execution confirmed as part of approved automation.\ > No malicious indicators found. **True Positive** > Suspicious PowerShell execution with encoded command.\ > Spawned from Word document, indicating possible macro-based attack.\ > Requires escalation. **Erros comuns (evita isso)** * Marcar como False Positive sem investigar * Não olhar process tree * Não justificar decisão
Confundir: * False Positive * Benign True Positive