인증 활동

인증 활동 Machine Learning 모델을 사용으로 설정하면 사용자 세부사항 페이지에 인증 상위 레벨 카테고리의 사용자 활동을 표시할 수 있습니다.

시작하기 전에

다음 모델 세부사항을 검토하십시오.
  • 이벤트 이름: UBA : Abnormal increase in Authentication activity
  • sensevalue: 5
  • 필수 구성: 시스템은 인증의 QRadar 상위 레벨 카테고리가 있는 이벤트를 모니터합니다.
  • 로그 소스 유형: 3Com 8800 Series Switch, APC UPS, AhnLab Policy Center APC, Amazon AWS CloudTrail, Apache HTTP Server, Application Security DbProtect, Arbor Networks Pravail, Arpeggio SIFT-IT, Array Networks SSL VPN Access Gateways, Aruba ClearPass Policy Manager, Aruba Introspect, Aruba Mobility Controller, Avaya VPN Gateway, Barracuda Spam & Virus Firewall, Barracuda Web Application Firewall, Barracuda Web Filter, Bit9 Security Platform, Box, Bridgewater Systems AAA Service Controller, Brocade FabricOS, CA ACF2, CA SiteMinder, CA Top Secret, CRE System, CRYPTOCard CRYPTOShield, Carbon Black Protection, Centrify Identity Platform, Centrify Infrastructure Services, Check Point, Cilasoft QJRN/400, Cisco ACS, Cisco Adaptive Security Appliance(ASA), Cisco Aironet, Cisco CSA, Cisco Call Manager, Cisco CatOS for Catalyst Switches, Cisco FireSIGHT Management Center, Cisco Firewall Services Module(FWSM), Cisco IOS, Cisco Identity Services Engine, Cisco Intrusion Prevention System(IPS), Cisco IronPort, Cisco NAC Appliance, Cisco Nexus, Cisco PIX Firewall, Cisco VPN 3000 Series Concentrator, Cisco Wireless LAN Controllers, Cisco Wireless Services Module(WiSM), Citrix Access Gateway, Citrix NetScaler, CloudPassage Halo, Cloudera Navigator, Configurable Authentication message filter, CorreLog Agent for IBM zOS, CrowdStrike Falcon Host, Custom Rule Engine, Cyber-Ark Vault, CyberGuard TSP Firewall/VPN, DCN DCS/DCRS Series, DG Technology MEAS, EMC VMWare, ESET Remote Administrator, Enterprise-IT-Security.com SF-Sherlock, Epic SIEM, Event CRE Injected, Extreme 800-Series Switch, Extreme Dragon Network IPS, Extreme HiPath, Extreme Matrix E1 Switch, Extreme Matrix K/N/S Series Switch, Extreme NAC, Extreme NetsightASM, Extreme Networks ExtremeWare Operating System(OS), Extreme Stackable and Standalone Switches, Extreme XSR Security Routers, F5 Networks BIG-IP APM, F5 Networks BIG-IP ASM, F5 Networks BIG-IP LTM, F5 Networks FirePass, FireEye, Flow Classification Engine, Forcepoint Sidewinder, ForeScout CounterACT, Fortinet FortiGate Security Gateway, Foundry Fastiron, FreeRADIUS, H3C Comware Platform, HBGary Active Defense, HP Network Automation, HP ProCurve, HP Tandem, Huawei AR Series Router, Huawei S Series Switch, HyTrust CloudControl, IBM AIX Audit, IBM AIX Server, IBM BigFix, IBM Bluemix Platform, IBM DB2, IBM DataPower, IBM Fiberlink MaaS360, IBM Guardium, IBM IMS, IBM Lotus Domino, IBM Proventia Network Intrusion Prevention System(IPS), IBM QRadar Network Security XGS, IBM QRadar Packet Capture, IBM Resource Access Control Facility(RACF), IBM Security Access Manager for Enterprise Single Sign-On, IBM Security Access Manager for Mobile, IBM Security Directory Server, IBM Security Identity Governance, IBM Security Identity Manager, IBM SmartCloud Orchestrator, IBM Tivoli Access Manager for e-business, IBM WebSphere Application Server, IBM i, IBM z/OS, IBM zSecure Alert, ISC BIND, Illumio Adaptive Security Platform, Imperva SecureSphere, Infoblox NIOS, Itron Smart Meter, Juniper Junos OS Platform, Juniper Junos WebApp Secure, Juniper MX Series Ethernet Services Router, Juniper Networks Firewall and VPN, Juniper Networks Intrusion Detection and Prevention(IDP), Juniper Networks Network and Security Manager, Juniper Steel-Belted Radius, Juniper WirelessLAN, Kaspersky Security Center, Lieberman Random Password Manager, LightCyber Magna, Linux OS, Mac OS X, McAfee Application/Change Control, McAfee Network Security Platform, McAfee ePolicy Orchestrator, Metainfo MetaIP, Microsoft Azure, Microsoft DHCP Server, Microsoft Exchange Server, Microsoft Hyper-V, Microsoft IAS Server, Microsoft IIS, Microsoft ISA, Microsoft Office 365, Microsoft Operations Manager, Microsoft SCOM, Microsoft SQL Server, Microsoft SharePoint, Microsoft Windows Security Event Log, Motorola SymbolAP, NCC Group DDos Secure, Netskope Active, Nortel Application Switch, Nortel Contivity VPN Switch, Nortel Contivity VPN Switch(사용 안함), Nortel Ethernet Routing Switch 2500/4500/5500, Nortel Ethernet Routing Switch 8300/8600, Nortel Multiprotocol Router, Nortel Secure Network Access Switch(SNAS), Nortel Secure Router, Nortel VPN Gateway, Novell eDirectory, OS Services Qidmap, OSSEC, ObserveIT, Okta, Open LDAP Software, OpenBSD OS, Oracle Acme Packet SBC, Oracle Audit Vault, Oracle BEA WebLogic, Oracle Database Listener, Oracle Enterprise Manager, Oracle RDBMS Audit Record, Oracle RDBMS OS Audit Record, Palo Alto Endpoint Security Manager, Palo Alto PA Series, Pirean Access: One, PostFix MailTransferAgent, ProFTPD Server, Proofpoint Enterprise Protection/Enterprise Privacy, Pulse Secure Pulse Connect Secure, RSA Authentication Manager, Radware AppWall, Radware DefensePro, Redback ASE, Riverbed SteelCentral NetProfiler Audit, SIM Audit, SSH CryptoAuditor, STEALTHbits StealthINTERCEPT, SafeNet DataSecure/KeySecure, Salesforce Security Auditing, Salesforce Security Monitoring, Sentrigo Hedgehog, Skyhigh Networks Cloud Security Platform, Snort Open Source IDS, Solaris BSM, Solaris Operating System Authentication Messages, Solaris Operating System Sendmail Logs, SonicWALL SonicOS, Sophos Astaro Security Gateway, Squid Web Proxy, Starent Networks Home Agent(HA), Stonesoft Management Center, Sybase ASE, Symantec Encryption Management Server, Symantec Endpoint Protection, ThreatGRID Malware Threat Intelligence Platform, TippingPoint Intrusion Prevention System(IPS), TippingPoint X Series Appliances, Top Layer IPS, Trend Micro Deep Discovery Email Inspector, Trend Micro Deep Discovery Inspector, Trend Micro Deep Security, Tripwire Enterprise, Tropos Control, Universal DSM, VMware vCloud Director, VMware vShield, Vectra Networks Vectra, Venustech Venusense Security Platform, Verdasys Digital Guardian, Vormetric Data Security, WatchGuard Fireware OS, genua genugate, iT-CUBE agileSI

이 태스크 정보

인증 활동 모델을 사용으로 설정하여 인증 상위 레벨 카테고리의 사용자 활동을 추적하고 해당 일의 매시간별로 학습된 행위패턴 모델을 작성하십시오. 사용자의 인증 활동이 학습된 작동에서 벗어나는 경우 의심스러운 활동으로 간주되며 감지 이벤트가 생성되어 사용자의 위험성 점수가 높아집니다.

주의: 설정을 구성하거나 수정한 후에 데이터를 수집하고 초기 모델을 빌드하고 사용자에 대한 초기 결과를 보려면 최소 1시간이 걸립니다.

활성 사용자는 지속적으로 모니터링됩니다. 사용자가 28일 동안 활동이 없는 경우 사용자 및 사용자의 데이터는 모델에서 제거됩니다. 사용자가 다시 활성 상태가 되면 새 사용자로 리턴됩니다.

프로시저

  1. 탐색 메뉴(탐색 메뉴 아이콘)에서 관리를 클릭하여 관리 탭을 여십시오.
  2. QRadar 7.3.2 이상 버전에서 > 사용자 분석 > Machine Learning 설정을 클릭하십시오.
  3. Machine Learning 설정 페이지에서 사용(전환 아이콘)을 클릭하여 인증 활동 모델을 설정하십시오.
  4. 기본 설정을 편집하려는 경우 인증 활동을 클릭하십시오.
  5. 감지 이벤트의 위험 값 필드에 감지 이벤트가 트리거되는 경우 사용자의 위험성 점수를 늘릴 크기를 입력하십시오. 기본값은 5입니다.
  6. 위험 값의 크기를 조정하려면 전환을 사용으로 설정하십시오. 사용으로 설정되면 기본 위험 값에 인수(1 - 10 범위)가 곱해집니다. 이 인수는 단순히 사용자가 예상 작동에서 벗어난 사실이 아니라 사용자가 예상 작동에서 벗어난 정도에 의해 판별됩니다.
  7. 비정상 트리거 신뢰구간 필드에 기계 학습 알고리즘이 비정상 이벤트를 트리거하기 전에 신뢰해야 하는 백분율을 입력하십시오. 기본값은 0.95입니다.
  8. 데이터 보존 기간 필드에 모델 데이터를 저장하려는 일 수를 설정하십시오. 기본값은 30입니다.
  9. 사용자 세부사항 페이지에 그래프 표시 전환은 사용자 세부사항 페이지에서 인증 활동 그래프를 표시하도록 기본값을 지정하여 설정할 수 있습니다. 사용자 세부사항 페이지에 인증 활동 그래프를 표시하지 않으려면 전환을 클릭하십시오.
  10. 옵션: AQL 검색 필터 필드에서 AQL 필터를 추가하여 QRadar에서 분석 조회에 사용하는 데이터 범위를 좁힐 수 있습니다. AQL 조회를 사용하여 필터링하면 분석 대상인 사용자 수나 분석 유형을 줄일 수 있습니다. 구성을 저장하기 전에 조회를 검토하고 결과를 확인할 수 있도록 조회 유효성 검증을 클릭하여 QRadar에서 전체 AQL 조회를 실행하십시오.
    중요사항: AQL 필터를 수정하면 분석의 기존 모델이 올바르지 않은 모델로 표시되고 다시 빌드됩니다. 다시 빌드하는 데 걸리는 시간은 수정된 필터에 의해 리턴되는 데이터 양에 따라 다릅니다.
    특정 로그 소스, 네트워크 이름 또는 특정 사용자가 포함된 참조 세트를 필터링할 수 있습니다. 다음 예제를 참조하십시오.
    • REFERENCESETCONTAINS('Important People', username)
    • LOGSOURCETYPENAME(devicetype) in ('Linux OS', 'Blue Coat SG Appliance', 'Microsoft Windows Security Event Log')
    • INCIDR('172.16.0.0/12', sourceip) or INCIDR('10.0.0.0/8', sourceip) or INCIDR('192.168.0.0/16', sourceip)
    자세한 정보는 Ariel Query Language를 참조하십시오.
  11. 저장을 클릭하십시오.
    인증 활동 모델 설정 화면

결과

앱이 데이터를 수집하고 초기 모델을 빌드하는 데 최소 1시간이 걸릴 수 있습니다.