Dashboard UEBA con Machine Learning

L'applicazione IBM® QRadar® User Entity Behavior Analytics (UEBA) con Machine Learning Analytics include lo stato del modello Machine Learning e ulteriori dettagli per l'utente selezionato.

Dashboard

Dopo aver abilitato i modelli Machine Learning , fare clic sulla scheda User Entity Analytics per aprire la pagina principale UEBA Overview (Dashboard).

La sezione Stato dei modelli Machine Learning mostra l'inserimento e l'avanzamento della creazione per ogni modello che hai abilitato.
  • La barra di avanzamento viola indica che il modello sta inserendo i dati.
  • La barra di avanzamento blu indica che il modello è in fase di creazione.
  • La barra di avanzamento verde indica che il modello è di addestramento. Nota: se il modello non riceve dati, rimane in addestramento fino a quando non vengono ricevuti dati sufficienti.
  • Il segno di spunta verde indica che il modello è abilitato.
  • L'icona di avvertenza gialla indica che è stato rilevato un problema durante la fase di creazione del modello. Vedi Lo stato dell'appMachine Learning mostra un'avvertenza sul dashboard.
Fare clic sull'icona Impostazioni ML Icona configurazione per visualizzare la pagina Machine Learning Analytics e modificare la configurazione per i modelli di machine learning.
Nota: se si modifica la configurazione dopo che è stata salvata, verrà creato un nuovo modello e verrà reimpostato il tempo di attesa per l'inserimento e la creazione del modello.
La seguente immagine mostra un esempio di widget di stato dei modelli Machine Learning nell'interfaccia utente del tema light UEBA 4.0.0 .
Stato del widget Modelli Machine Learning

Pagina Dettagli utente

È possibile fare clic su un nome utente da qualsiasi punto dell'applicazione per visualizzare i dettagli per l'utente selezionato.

È possibile ottenere ulteriori informazioni sulle attività dell'utente con il riquadro Visualizzatore eventi . Il riquadro del visualizzatore eventi mostra le informazioni su un'attività selezionata o su un punto temporale. Facendo clic su un evento nel riquadro del visualizzatore eventi vengono mostrati ulteriori dettagli, quali gli eventi syslog e le informazioni sul payload. Il riquadro del visualizzatore eventi è disponibile per tutti i grafici ad anello e a linee nella pagina Dettagli utente .

Le seguenti tabelle descrivono i grafici Machine Learning Analytics disponibili nella pagina Dettagli utente .

Tabella 1. Nomi e descrizioni delle serie temporali ML grafici
Grafici di serie temporali Descrizione
  • Attività di accesso
  • Attività aggregata
  • Attività di autenticazione
  • Dati caricati su reti remote
  • Dati scaricati
  • Eventi DML
  • Eventi DDL
  • Trasferimenti HTTP grandi
  • Tentativi di trasferimento in uscita
  • Approccio al rischio
  • Attività sospetta
  • Attività di accesso e autenticazione riuscita
Nota: tutti i modelli personalizzati utilizzano questo tipo di grafico.

Mostra i modelli di comportamento dell'attività utente effettivi e previsti. I valori effettivi sono il numero di eventi per tale utente durante il periodo di tempo selezionato. I valori previsti sono il numero previsto di eventi per tale utente durante il periodo di tempo selezionato. Un cerchio rosso indica che è stata rilevata un'anomalia e un evento sense è stato generato dal machine learning.

Nel grafico delle serie temporali, è possibile:
  • Fare clic su un nodo e ottenere un elenco di query degli eventi.
  • Fare clic sull'icona Calendario per specificare un'ora e una data.
La seguente immagine mostra un esempio di un grafico di serie temporali nell'interfaccia utente del tema chiaro UEBA 4.0.0 .
Grafico della postura del rischio
Tabella 2. Nome e descrizione del ML grafico di distribuzione
Grafico di distribuzione Descrizione
Distribuzione attività

Mostra i cluster di comportamento dinamico per tutti gli utenti monitorati dal machine learning. I cluster vengono ricavati dalle categorie di attività per tutti gli utenti monitorati dal machine learning. I valori effettivi sono la percentuale di corrispondenza con tale cluster. I valori previsti sono la percentuale prevista corrispondente a tale cluster. Ogni colore nel grafico rappresenta un cluster di comportamento dinamico univoco per tutti gli utenti monitorati dal machine learning. Un colore utilizzato per indicare un particolare gruppo è lo stesso per tutti gli utenti. Una linea verticale rossa indica che è stata rilevata un'anomalia e che il machine learning ha generato un evento sense.

Sul grafico, è possibile:
  • Passare con il mouse su ciascun cluster per visualizzare i percentili di attività effettivi e previsti e le prime 3 categorie di contributo.
  • Fare clic sull'icona Calendario per specificare un intervallo di date.
La seguente immagine mostra un esempio di grafico di distribuzione attività nell'IU del tema light UEBA 4.0.0 .
Grafico di distribuzione attività
Tabella 3. Nomi e descrizioni dei grafici ML dei gruppi di peer
Grafici di gruppi di peer Descrizione
  • Gruppo di colleghi definito
  • Gruppo di colleghi appreso

Mostra la differenza tra l'attività evento di un utente e quella del relativo gruppo di peer. Un cerchio rosso indica che è stata rilevata un'anomalia e un evento sense è stato generato dal machine learning. Il gruppo definito è il gruppo LDAP scelto nelle impostazioni del modello. Comportamento rilevato come sono i gruppi a cui il comportamento dell'utente era simile durante il giorno. La deviazione dal gruppo di peer indica la percentuale che un utente ha deviato dal gruppo di peer definito. La confidenza si basa sulla quantità di dati raccolti per creare il modello dagli utenti del gruppo per effettuare previsioni accurate. Un avviso viene attivato se la deviazione e la confidenza superano entrambe le soglie.

Per visualizzare l'analitica del gruppo di peer, è necessario configurare le importazioni utente per raccogliere le proprietà di raggruppamento utente per soddisfare i requisiti minimi. Selezionare la proprietà di raggruppamento nella pagina di configurazione che rappresenta i gruppi da modellare. Consultare Ottimizzazione delle configurazioni di importazione utente per i dettagli sulla configurazione del gruppo personalizzato.

Sul grafico, è possibile:
  • Fai clic su un data point per visualizzare i peer nella tabella "il tuo gruppo di peer".
  • Fare clic sull'icona Calendario per specificare un intervallo di date.
I peer nella tabella "tuo gruppo di peer" ti mostrano gli utenti più a rischio nel gruppo dell'utente corrente. Sarai in grado di:
  • Fare clic su un nome utente per aprire la pagina Dettagli utente
  • Fare clic sull'elenco a discesa per selezionare gli attributi utente da visualizzare
  • Ricerca per filtrare i nomi utente
La seguente immagine mostra un esempio di un grafico del gruppo peer definito con raggruppamenti personalizzati nell'IU del tema light UEBA 4.0.0 .
Grafico gruppo peer definito
I seguenti modelli utente Machine Learning non sono rappresentati da un grafico:
  • Spostamento laterale: attività porta di destinazione interna
  • Spostamento laterale: accesso zona di rete
  • Spostamento laterale: utilizzo asset interno
  • Utilizzo del processo