False Positive, True Negative, Neler Oluyor?

SIEM sistemleri ile iligili danışmanlık veya ürün anlatımı, problem çözümü yaparken genel olarak karşılaştığımız bir karmaşa var. False Positive, False Negative, True Positive, True Negative nedir, “kimse bunları bilmiyor!”

Sözüm meclisten dışarı, ancak çok temel bir mantıksal bilgi konusunda dahi eksik olan sistem yöneticilerine bazı şeyleri anlatmak zor oluyor.

  • True positive = doğru onaylanmış (TP)
  • False positive = hatalı onaylanmış (TN)
  • True negative = doğru reddedilmiş (FP)
  • False negative = hatalı reddedilmiş (FN)

TP: Lastikçinin patlak olan lastiğime “abi bu patlak” demesi (Malumun ilamı, bravo!)
TN: Doktorun hasta olan biririne “bişeyin yok turp gibisin” demesi
FP: Üstünüzde t-shirt ve kot ile AVM güvenliğinden geçerken cebinizdeki anaharın ötmesi ve güvenlikçinin size terörist muamelesi çekmesi, “kenara geçip ceplerinizi boşaltın” demesi (bombayı cebinizde taşıyorsunuz ya)
FN: Komşunun camını kırdıktan sonra annenizin “benim oğlum yapmaz öyle bişey o kırmadı” diye komşuya çemkirip üste çıkması

Tamam örnekleri akılda tutmak zor olabilir, size söyle bir tablo sunayım daha belirleyici olması açısından.

Sizin yaptığınızı söylüyorlar Sizin yapmadığınızı söylüyorlar
Siz yaptınız Haklılar (TP) Haksızlar (FN)
Siz yapmadınız Haksızlar (FP) Haklılar (TN)

Formüle edersek, bir olayı incelerken iki şeye sırasıyla bakacağız. Birincil olarak durumun ne olduğuna: doğru mu (T) yanlış mı (F), ardından da ne olarak tespit edildiğine: olumlu (P) mu olumsuz mu (N)?

Örnek: Bir biyometrik güvenlik tarayıcısı parmak izinizi tarayıp sizi siz olarak tanımlıyor ise TP,