機械学習の分析要件

機械学習モデルは、さまざまな分析要件に基づいてトレーニングおよび構築するのに時間がかかる場合があります。

Machine Learning Analytics

ピア・グループ分析: これらの分析により、類似したアクティビティーを実行するユーザーが識別され、モデルによってそれらのユーザーがピア・グループに配置されます。その後、ピア・グループからのユーザーからの逸脱に基づいてアラートが生成されます。
ピア・グループ・モデルにはトレーニング・フェーズがありません。 30 日間のユーザー・データを取り込んでいるため、モデル構築フェーズとスコアリング・フェーズしかありません。
HOUR_TO_WINDOW 分析: モデルは累積されるため、各時間は、独自のモデルを持つのではなく、各ユーザー全体のモデルに対して評価されます。
このタイプのモデルをトレーニングする時間は、実際の時間として記述されます。例えば、240 時間のデータが必要な場合、10 日間または 240 時間の実世界の時間が経過する必要があることを意味します。
HOUR_TO_HOUR 分析: これらの分析は、1 日のうちの各時間ごとに各ユーザーのモデルを作成します。例えば、「1 PM-2 PM」モデル、「2 PM-3 PM」モデルなどがあります。
トレーニングに必要な時間は、各モデルの時間として記述されます。例えば、10 時間分のデータが必要な場合、10 日間または 240 時間の実世界の時間が経過する必要があります。

分析の用語

minTimeSpan: : これは、トレーニングと構築を行うためにモデルに最低限必要な時間数です。
ticketMinSampleCounts: : これは、アラートを生成するために必要な最小時間数であるため minTimeSpan とは異なります。ピア・グループ分析にはこのパラメーターはありません。
役割の数: 役割の最小数と役割の最大数は、ユーザーをセグメント化する下位カテゴリーのクラスター数を決定するために、モデルがその範囲内の各数をテストする範囲です。このモデルは、範囲内の各クラスター数を評価し、最適なトピック数を決定します。

ピア・グループ分析

以下のモデルは、ピア・グループ分析を使用します。

アクティビティーの分布
定義済みピア・グループ
ピア・グループごとの内部アセットへのアクセス
ピア・グループ別の内部宛先ポート
ピア・グループ別の内部ネットワーク・ゾーン
学習ピア・グループ
ピア・グループごとのプロセス実行

以下に、作成するピア・グループ・モデルのパラメーターを示します。

分析のタイプ: ピア・グループ
役割の最小数: 2
役割の最大数: 13
注: 学習ピア・グループ、定義済みピア・グループ、およびアクティビティー分布は、すべて最大 20 です。
グループの最小数: 5
グループの最大数: 10
注: 学習ピア・グループは、最大 20 のピア・グループのみです。
イベントの最小数: 10
作成するデータの最小量 (mintimespan): 7 日
現在設定されている、ビルドするデータの量 (期間): 30 日

HOUR_TO_WINDOW 分析

以下のモデルは、HOUR_TO_WINDOW 分析を使用します。

DDL イベント
DML イベント
インバウンド・データ転送
内部資産アクセス
内部宛先ポート
内部ネットワーク・ゾーン
大規模 HTTP 転送
アウトバウンド転送の試行
アウトバウンド転送試行 (ボリューム別)
プロセス使用
リスク状況
正常なアクセス権限と認証アクティビティー

作成する HOUR_TO_WINDOW モデルのパラメーターを以下に示します。

分析のタイプ: HOUR_TO_WINDOW
作成するデータ量の最小値 (最小期間): 240 時間
アラートを生成するための最小データ量 ticketMinSampleCounts ）：240時間
現在設定されている、作成するデータの量 (期間): 240 時間
SenseValue: 5

HOUR_TO_HOUR 分析

以下のモデルは、HOUR_TO_HOUR 分析を使用します。

集約アクティビティー
アクセス・アクティビティー
認証アクティビティー
疑わしいアクティビティー

以下は、構築する HOUR_TO_HOUR モデルのパラメーターです。

分析のタイプ: HOUR_TO_HOUR
作成するデータ量の最小値 (最小期間): 240 時間
現在設定されている、作成するデータの量 (期間): 240 時間
アラートを生成するための最小データ量 ticketMinSampleCounts ）：10時間（実世界で10日間）