准备我的硕士论文时,我的大学的上司建议创建一个应用程序,该应用程序会产生带有可疑日志文件的假警报,并以splunk形式出现,以保持管理员对安全问题的关注。就像在机场安检室一样,扫描仪上经常显示伪造的枪支,以引起警卫的注意。
但是,经过一些研究后,我感到大多数管理员遇到了相反的问题,必须要有许多错误警报。由于我没有在安全上下文中使用Splunk的经验,因此我希望对此发表一些意见。有人可以给我一些见解吗?
但是要解决故意插入虚假警报的作用……从人力资源/管理的角度看,这似乎是有价值的东西。好像我没有分析师因为没有任何报道而失去关注。而且,如上所述,我的经验是,误报会减少回应,而不是使人们意识到自己没有专心。但是,作为经理,跟踪这些警报的处理方式(响应时间,解决方案)可能为评估和识别表现不佳的员工提供有用的指标。
[从技术角度来看,有几次我有意将警报项插入系统日志文件中-不是供个人查看,但是如果插入的警报不是],我会以编程方式关闭并发出警报,