ピア・グループごとのネットワーク・ゾーン

「ピア・グループごとのネットワーク・ゾーン」モデルは、ユーザーのネットワーク・ゾーンが、そのユーザーの定義済みグループと大きく異なるかどうかを判別します。

「ピア・グループごとのネットワーク・ゾーン」を有効にして、ユーザーのネットワーク・ゾーンが、そのユーザーの定義済みグループと大きく異なるかどうかを判別します。 ユーザーのネットワーク・ゾーンで疑わしい振る舞いが発生しているとみなされた場合、センス・イベントが生成されて、ユーザーのリスク・スコアが上昇します。 「グループ化の基準」フィールドに基づいてユーザーがグループ化され、分析されます。
重要: 少なくとも 2 つのグループが定義されており、それぞれに 5 人以上のユーザーが含まれている必要があります。 グループの選択を変更する場合、新規モデルを構成する必要があります。 モデル作成の実行には大量の時間とコンピューター・リソースが必要になります。 この値を頻繁に変更することは推奨されません。

イベント名

UBA : ピア・グループのネットワーク・ゾーンへの異常なアクセス

sensevalue

5

必須の構成

モデルを有効にするには、「グループ化基準」フィールドからグループ (役職、部門、カスタム・グループなど) を選択します。 グループは、ユーザー・インポート・データに由来するユーザー・インポート・チューニング構成で定義されます。 詳しくは、 ユーザー・インポート構成の調整を参照してください。

ネットワーク階層を構成して、内部宛先ポートを正確に判別できるようにします。

ログ・ソース・タイプ

定義済みのユーザー名とローカル宛先 IP を持つすべてのイベント。