问[Splunk][安全]假警报应用没用吗？

EN

大多数商店都会遇到很多误报。“警觉疲劳”这个术语也是非常真实的。这就是说，偶尔注入一个事件来触发一个通常从未见过的警报是有好处的。这有助于确保警报逻辑仍然有效，并且用于处理警报的工作流是合理的。

在我的经验中，错误警报是很常见的。有一个正在进行的过程来调整过滤器和监视器，以避免错误警报，但它总是一些东西(通常不止一个东西)。误报的频率使得合法警报的响应时间更长(即许多人会忽略任何事情，直到它发生三次)。您的实现将需要模拟来自每个特定系统的大范围的合法警报，否则我预计管理员会很快了解到哪些是应用程序生成的误报(忽略13:18 /etc的“root account modified”警报/警报)，并可能产生负面影响(哦，不！root账号真的被修改了)

但是为了解决故意插入错误警报的问题...从人力资源/管理的角度来看，这似乎是有价值的。这并不是说，我的分析师因为没有任何报告而失去了重点。而且，如上所述，我的经验是，假阳性会减少人们的反应，而不是让人们意识到他们的注意力不集中。但是，作为一名经理，跟踪如何处理这些警报(响应时间、解决方案)可能会为评估和识别表现不佳的员工提供一个有用的指标。

从技术角度来看，有几次我故意将警告项插入到系统日志文件中--不是供个人查看，而是在未收到插入的警报时以编程方式关闭和警告。这样做的目的是为了确保端到端过程(日志记录、日志摄取、数据分析、警报创建)正常运行。能够在特定系统上生成警报以测试任何新组件或工作流也很好。