Machine Learning ユーザー・モデル

Machine Learning Analytics アプリケーションで情報を表示するには、ユーザー・モデルの Machine Learning 設定を構成する必要があります。

1. ナビゲーション・メニュー ( ) で、 「管理」をクリックします。
2. アプリ > ユーザー エンティティ分析 > Machine Learning 設定をクリックします。
3. Machine Learning 「設定」 ページで、 「有効」 をクリックして、選択したモデルをオンにします。
4. デフォルト設定を編集する場合は、モデル名をクリックします。
5. 「センス・イベントのリスク値」 フィールドに、センス・イベントがトリガーされたときにユーザーのリスク・スコアを増やす量を入力します。 デフォルト値は 5 です。
6. トグルを有効にしてリスク値をスケーリングします。 有効にすると、基本リスク値が係数 (1 ～ 10 の範囲) で乗算されます。 この係数は、ユーザーが期待される行動から逸脱しているというだけでなく、どれだけ逸脱しているかによって決まります。
7. 「異常をトリガーする信頼区間 (Confidence interval to trigger anomaly)」 フィールドに、機械学習アルゴリズムが異常イベントをトリガーするまでの信頼度のパーセンテージを入力します。 デフォルト値は 0.95 です。
8. 「データ保存期間」 フィールドで、モデル・データを保存する日数を設定します。 デフォルト値は 30 です。
9. 「ユーザーの詳細ページにグラフを表示」 トグルは、選択したグラフを 「ユーザーの詳細」 ページに表示するためにデフォルトで有効になっています。 「ユーザーの詳細」ページにグラフを表示する必要がない場合は、トグルをクリックしてください。
10. ピア・グループ・モデルおよびアクティビティー分布モデルの場合、 「グループ化の基準」 フィールドで、選択したピア・グループ分析で使用するグループを選択します。
11. オプション: 「AQL 検索フィルター」 フィールドに AQL フィルターを追加して、 QRadarで分析が照会するデータを絞り込むことができます。 AQL 照会を使用してフィルタリングを行うことによって、分析するユーザーの数またはデータ・タイプを削減できます。 設定を保存する前に、「照会の妥当性検査」をクリックして QRadar で AQL 照会全体を起動することで、照会を確認して結果を検証できます。
    重要: AQL フィルターを変更すると、既存のモデルに無効のマークが付けられ、再作成されます。 再作成に必要な時間の長さは、変更されたフィルターによって返されるデータの量によって異なります。
    特定のログ・ソース、ネットワーク名、または特定のユーザーを含むリファレンス・セットにフィルターを適用できます。 次の例を参照してください。

    • REFERENCESETCONTAINS('Important People', username)
    • LOGSOURCETYPENAME(devicetype) in ('Linux OS', 'Blue Coat SG Appliance', 'Microsoft Windows Security Event Log')
    • INCIDR('172.16.0.0/12', sourceip) or INCIDR('10.0.0.0/8', sourceip) or INCIDR('192.168.0.0/16', sourceip)
    詳しくは、 Ariel 照会言語を参照してください。
12. 「保存」をクリックします。