Analyseanforderungen für maschinelles Lernen
Das Trainieren und Erstellen von Modellen für maschinelles Lernen auf der Basis unterschiedlicher Analyseanforderungen kann einige Zeit in Anspruch nehmen.
Machine Learning-Analyse
- Peergruppenanalyse: Diese Analysen identifizieren Benutzer, die ähnliche Aktivitäten ausführen, und das Modell ordnet sie in Peergruppen ein. Alerts werden dann basierend auf Abweichungen von einem Benutzer von seiner Peergruppe generiert.
Peer-Group-Modelle haben keine Trainingsphase. Sie verfügen nur über eine Modellerstellungsphase und eine Scoring-Phase, da sie 30 Tage lang Daten eines Benutzers aufnehmen.
- HOUR_TO_WINDOW Analytics: Das Modell ist kumulativ, d. h., jede Stunde wird anhand des Modells für jeden Benutzer als Ganzes ausgewertet, anstatt ein eigenes Modell zu haben.
Die Stunden zum Trainieren dieses Modelltyps werden als reale Stunden geschrieben. Werden beispielsweise 240 Stunden Daten benötigt, bedeutet dies, dass 10 Tage oder 240 reale Stunden vergehen müssen.
- HOUR_TO_HOUR Analytics: Diese Analyse erstellt ein Modell für jeden Benutzer für jede der Stunden des Tages. Beispiel: Es gibt ein Modell mit 1 PM-2 PM, ein Modell mit 2 PM-3 PM usw.
Die zum Trainieren erforderlichen Stunden werden als Stunden für jedes Modell geschrieben. Beispiel: 10 Stunden an Daten, die benötigt werden, bedeuten, dass 10 Tage oder 240 reale Stunden vergehen müssen.
- minTimeSpan: : Dies ist die Mindestanzahl an Stunden, die das Modell benötigt, um trainieren und bauen zu können.
- ticketMinSampleCounts: : Dies unterscheidet sich von minTimeSpan, da es sich um die Mindestanzahl an Stunden handelt, die zum Generieren von Warnmeldungen erforderlich sind. Peer Group Analytics verfügt nicht über diesen Parameter.
- Anzahl der Rollen : Die minimale Anzahl der Rollen und die maximale Anzahl der Rollen sind ein Bereich, den das Modell für jede Anzahl in diesem Bereich testet, um zu ermitteln, in wie viele Cluster von untergeordneten Kategorien Benutzer segmentiert werden sollen. Das Modell wertet jede Anzahl von Clustern innerhalb des Bereichs aus und bestimmt, welche Anzahl von Themen optimal ist.
Peergruppenanalyse
Die folgenden Modelle verwenden die Peergruppenanalyse:
- Activity Distribution
- Defined Peer Group
- Internal Asset Access by Peer Group
- Interner Zielport nach Peergruppe
- Interne Netzzone nach Peergruppe
- Learned Peer Group
- Process Execution by Peer Group
- Analysetyp: Peergruppe
- Mindestanzahl Rollen: 2
- Maximale Anzahl Rollen: 13Anmerkung: Die Werte für "Gelernte Peergruppe", "Definierte Peergruppe" und "Aktivitätsverteilung" dürfen maximal 20 sein
- Mindestanzahl Gruppen: 5
- Maximale Anzahl Gruppen: 10Hinweis: Die erlernte Peergruppe ist die einzige mit einem Maximum von 20.
- Mindestanzahl der Ereignisse: 10
- Mindestmenge an zu erstellenden Daten (Mindestzeitraum): 7 Tage
- Aktuell zu erstellende Datenmenge (Zeitraum): 30 Tage
HOUR_TO_WINDOW-Analyse
- DDL Events (DDL-Ereignisse)
- DML events (DML-Ereignisse)
- Eingehende Datenübertragung
- Interner Assetzugriff
- Interner Zielport
- Interne Netzzone
- Große HTTP -Übertragung
- Outbound Transfer Attempts
- Abgehende Übertragungsversuche (nach Volumen)
- Process Usage (Prozessnutzung)
- Risk Posture
- Successful Access and Authentication Activity
Im Folgenden sind die Parameter für die Erstellung eines HOUR_TO_WINDOW-Modells aufgeführt:
- Analysetyp: HOUR_TO_WINDOW
- Mindestmenge an zu erstellenden Daten (Mindestzeitraum): 240 Stunden
- Mindestanzahl an Daten zur Generierung von Warnmeldungen ticketMinSampleCounts ): 240 Stunden
- Aktuell zu erstellende Datenmenge (Zeitraum): 240 Stunden
- SenseValue: 5
HOUR_TO_HOUR-Analyse
- Aggregated Activity
- Access Activity (Zugriffsaktivität)
- Authentication Activity
- Suspicious Activity
- Analysetyp: HOUR_TO_HOUR
- Mindestmenge an zu erstellenden Daten (Mindestzeitraum): 240 Stunden
- Aktuell zu erstellende Datenmenge (Zeitraum): 240 Stunden
- Mindestanzahl an Daten zur Generierung von Warnmeldungen ticketMinSampleCounts ): 10 Stunden (10 reale Tage)