[Splunk][Security]假警报应用程序没用吗？

在准备我的硕士论文时，我在uni的主管建议创建一个应用程序，在splunk中生成带有可疑日志文件的假警报，以保持管理员对安全问题的关注。我喜欢在机场安检处，扫描仪上经常显示假枪和假刀，以引起警卫的注意

---

然而，经过一些研究后，我觉得大多数管理员都有一个相反的问题，他们必须处理许多错误警报。由于我没有在安全环境中使用Splunk的经验，因此我正在寻找一些关于这方面的意见。有人能给我一些见解吗？

大多数商店都会出现很多误报。“警惕性疲劳”一词也非常真实。这就是说，偶尔注入一个事件来触发一个通常从未见过的警报是有好处的。这有助于确保警报逻辑仍然有效，并且处理警报的工作流健全。

根据我的经验，错误警报非常常见。有一个不断调整过滤器和监视器以避免错误警报的过程，但它总是有意义的（通常不止一个）。误报的频率使得合法警报的响应时间更长（即，许多人会忽略任何事情，直到它发生三次）。您的实现需要模拟来自每个特定系统的大量合法警报，否则我预计管理员会很快了解哪些是应用程序生成的误报（忽略13:18/等时的“根帐户已修改”警报/警报），并可能产生负面影响（哦，不！根帐户确实已修改）

但是为了解决故意插入错误警报的效用。。。从人力资源/管理的角度来看，这似乎是有价值的。我并没有因为没有任何报道而失去关注的分析师。如上所述，我的经验是，误报会减少反应，而不是让人们意识到他们没有集中注意力。但是，作为一名经理，跟踪这些警报的处理方式（响应时间、解决方案）可能会为评估和识别表现不佳的员工提供有用的指标

从技术角度来看，有几次我故意将警报项插入系统日志文件中——不是供个人查看，而是在没有收到插入的警报时以编程方式关闭并发出警报。这样做的目的是确保端到端流程（日志记录、日志接收、数据分析、警报创建）正常运行。能够在特定系统上生成警报以测试任何新组件或工作流也很好