学習ピア・グループ
「学習ピア・グループ」モデルは、類似のアクティビティーに従事するユーザーを識別し、それらのユーザーをピア・グループに含めます。
「学習ピア・グループ」モデルを有効にして、分類されると見込まれた推定ピア・グループから、ユーザーがどれほど逸脱しているかを「ユーザーの詳細」ページに表示します。 ユーザーの現在のピア・グループが以前のグループと大きく異なる場合は、センス・イベントが生成されて、ユーザーのリスク・スコアが上昇します。
イベント名
UBA: 学習ピア・グループからの逸脱
sensevalue
5
必須の構成
モデルを有効にするには、「グループ化基準」フィールドからグループ (役職、部門、カスタム・グループなど) を選択します。 グループは、ユーザー・インポート・データに由来するユーザー・インポート・チューニング構成で定義されます。 詳しくは、 ユーザー・インポート構成の調整を参照してください。
QRadar 7.4.3 以降で 「学習ピア・グループ」 モデルを有効にするには、アプリケーション・ホストをインストールする必要があります。 詳しくは、 アプリケーション・ホストを参照してください。
「学習ピア・グループ」分析のモデルを生成するには、7 日分の有効なイベント・データが必要です。
ログ・ソース・タイプ
ユーザー名を提供するイベントを含むすべてのログ・ソース。