Machine Learning Modelos de usuario

Para ver información en la aplicación Machine Learning Analytics , debe configurar los valores de Machine Learning para los modelos de usuario.

Acerca de esta tarea

Puede ver el tipo de modelo y el número de usuarios en cada modelo. También puede pulsar el recuento para ver la lista de usuarios en el modelo.

En la página Modelos de usuario, puede realizar las acciones siguientes:

Habilitar un máximo de 17 modelos.
Seleccionar un modelo para editar los valores predeterminado.
Crear sus propios modelos personalizados con las plantillas incluidas.

Atención: Después de configurar o modificar los valores, tarda un mínimo de 1 hora en ingerir datos, crear un modelo inicial y ver los resultados iniciales para los usuarios. Para obtener más información, consulte Requisitos de análisis de aprendizaje automático.

Los usuarios activos se supervisan continuamente. Si un usuario no tiene actividad durante 28 días, el usuario y los datos del usuario se eliminan del modelo. Si el usuario vuelve a estar activo, volverá como usuario nuevo.

Procedimiento

En el menú de navegación ( ), pulse Admin.
Haga clic en Aplicaciones > Análisis de entidades de usuario > Configuración Machine Learning.
En la página Valores de Machine Learning , pulse Habilitado para activar el modelo seleccionado.
Pulse el nombre del modelo si quiere editar los valores predeterminados.
En el campo Valor de riesgo de suceso de detección , especifique la cantidad para aumentar la puntuación de riesgo del usuario cuando se desencadene un suceso de detección. El valor predeterminado es 5.
Habilite el conmutador para escalar el valor de riesgo. Cuando esté habilitado, el valor de riesgo base se multiplica por un factor (rango 1 - 10). Este factor viene determinado por la medida en la que el usuario se ha desviado del comportamiento esperado, no solo por el hecho de haberse desviado.
En el campo Intervalo de confianza para desencadenar anomalía , especifique el porcentaje de confianza que debe tener el algoritmo de aprendizaje automático antes de desencadenar un suceso anómalo. El valor predeterminado es 0,95.
En el campo Periodo de retención de datos , establezca el número de días que desea guardar los datos del modelo. El valor predeterminado es 30.
El conmutador Mostrar gráfico en la página Detalles de usuario está habilitado de forma predeterminada para visualizar el gráfico seleccionado en la página Detalles de usuario . Si no quiere visualizar un gráfico en la página Detalles de usuario, pulse el conmutador.
Para los modelos de grupo de homólogos y distribución de actividad, en el campo Agrupar por , seleccione el grupo que desea que utilice la analítica de grupo de homólogos seleccionada.
Opcional: En el campo Filtro de búsqueda de AQL , puede añadir un filtro de AQL para acotar los datos que la analítica consulta en QRadar. Filtrando con una consulta AQL, puede reducir el número de usuarios o tipos de datos que está analizando la analítica. Antes de guardar los valores, pulse Validar consulta para iniciar una consulta AQL completa en QRadar, así puede revisar la consulta y verificar los resultados.

Importante: Si modifica el filtro AQL, el modelo existente se marca como no válido y, a continuación, se vuelve a crear. La cantidad de tiempo que tarda la reconstrucción dependen de la cantidad de datos que devuelve el filtro modificado.
Puede filtrar por orígenes de registro específicos, nombres de red o conjuntos de referencia que contienen usuarios específicos. Consulte los ejemplos siguientes:
- REFERENCESETCONTAINS('Important People', username)
- LOGSOURCETYPENAME(devicetype) in ('Linux OS', 'Blue Coat SG Appliance', 'Microsoft Windows Security Event Log')
- INCIDR('172.16.0.0/12', sourceip) or INCIDR('10.0.0.0/8', sourceip) or INCIDR('192.168.0.0/16', sourceip)
Para obtener más información, consulte Ariel Query Language.
Pulse Guardar.

Resultados

Puede tardar un mínimo de 1 hora que la aplicación ingiera datos y cree un modelo inicial.