准备我的硕士论文 我在大学的导师建议创建一个应用程序,在 Splunk 中生成带有可疑日志文件的虚假警报,以保持管理员对安全问题的关注。就像在机场安检时,扫描仪上经常显示假枪和假刀,以引起警卫的注意。
但是,经过一些研究,我感觉大多数管理员都有相反的问题,不得不发出许多错误警报。由于我没有在安全方面使用Splunk的经验,因此我正在寻找一些意见。有人可以给我一些见解吗?
大多数商店都会遇到很多误报。"警觉疲劳"一词也非常真实。也就是说,偶尔注入事件以触发通常从未见过的警报可以获得一些好处。这有助于确保警报逻辑仍然有效,并且处理警报的工作流是合理的。
在我的经验中,错误警报非常普遍。有一个正在进行的过程来调整过滤器和监视器以避免错误警报,但它总是一些东西(通常不止一个东西(。误报的频率使合法警报的响应时间更长(即很多人会忽略任何事情,直到它发生三次(。而且您的实现需要模拟来自每个特定系统的大量合法警报,否则我预计管理员会很快了解哪些是应用程序生成的误报(忽略"根帐户修改"警报/13:18/等(可能会产生负面影响(哦不!root 帐户确实被修改了(
但是为了解决故意插入错误警报的效用......从人力资源/管理层的角度来看,这似乎是有价值的。这并不是说我的分析师因为没有任何报告而失去注意力。而且,如上所述,我的经验是,误报会减少反应,而不是让人们意识到他们没有集中注意力。但是,作为经理,跟踪这些警报的处理方式(响应时间、解决(可能会为评估和识别绩效不佳的员工提供有用的指标。
从技术角度来看,有几次我故意将警报项插入到系统日志文件中 - 不是供个人查看,而是如果未收到插入的警报,我会以编程方式关闭并发出警报。这样做的目的是确保端到端过程(日志记录、日志引入、数据分析、警报创建(正常运行。能够在特定系统上生成警报以测试任何新组件或工作流也很好。