Skip to content

Pipeline de Clasificación de Alertas

SafeMode usa clasificación explícita para reducir ruido y mejorar triage.

Objetivos

  • Separar razones de bloqueo con precisión.
  • No etiquetar ads/rastreadores como phishing.
  • Elevar eventos de secretos y JS sospechoso.

Etapas del Pipeline

  1. Ingreso de HTTPFlow en hooks.
  2. Tipado de request (document/script/xhr/media/etc).
  3. Gating de whitelist.
  4. Matching de filtros (uBlock + PhishTank).
  5. Guardas de falso positivo para dominios ruidosos.
  6. Asignación de razón (ublock, phishtank, secrets_detected, suspicious_patterns).
  7. Normalización de evento para UI.
  8. Render y agrupación en Live Threats.

Reglas de Prioridad

Prioridad phishing

Si hay hit de phishing válido, se clasifica como phishtank.

Camino uBlock

Si coincide en engine adblock, se clasifica como ublock y se categoriza.

Camino secretos

Si se detectan secretos, puede neutralizar JS y etiquetar secrets_detected.

Camino JS sospechoso

El nivel SUSPICIOUS_JS_LEVEL define detección vs neutralización.

Mapeo a Notificaciones

Las clasificaciones se traducen a canales:

  • phishing
  • secret
  • malware/suspicious
  • ad
  • tracker

Cada canal respeta toggles de configuración.

Valor Operativo

Con clasificación estricta:

  • triage más rápido
  • menos fatiga por alertas mal etiquetadas
  • mejor trazabilidad de incidentes