Özel model yaratılması

Saat başına bir kişi için sayısal bir özelliği ölçmek ve temel çizgisini oluşturmak için özel bir model oluşturun.

Başlamadan önce

Her model şablonu için aşağıdaki model ayrıntılarını gözden geçirin:

Bu görev hakkında

Öğrenilen davranışı ve kullanıcılara ilişkin gerçek verileri gözden geçirmenizi sağlamak için özel bir model oluşturabilirsiniz. Temel çizgi davranışından önemli değişiklikler saptanırsa, kullanıcının risk puanının yükseltilmiş olduğu uyarıları alırsınız. İçerebileceği modellere örnekler: Kullanıcı yüklemelerinin ne kadar veri olduğunu, bir kullanıcının kaç uygulamayı çalıştırdığını ya da bir kullanıcının saat başına kaç e-postanın gönderdiğini gösterir.

Dikkat: Ayarlarınızı yapılandırdıktan ya da değiştirdikten sonra, verileri işlemek en az 1 saat sürer, ilk model oluşturun ve kullanıcılar için ilk sonuçları görebilirsiniz.

Etkin kullanıcılar sürekli olarak izlenir. Bir kullanıcının 28 gün boyunca etkinliği yoksa, kullanıcı ve kullanıcının verileri modelden kaldırılır. Kullanıcı yeniden etkinse, yeni bir kullanıcı olarak geri dönerler.

İşlem

  1. Gezinme menüsünde ( Gezinme menüsü simgesi ), Admin(Yönetici) seçeneğini tıklatın.
  2. Uygulamalar > Kullanıcı Analitiği > Machine Learning Ayarlarıöğesini tıklatın.
  3. Machine Learning Ayarları sayfasında Model Oluşturseçeneğini tıklatın.
  4. Model Tanımı etiketinde, AQL alanına veri yerleştirmek için bir şablon seçebilir ya da özel bir AQL sorgusu yaratabilirsiniz.
  5. İleri düğmesini tıklatın.
    Özel model ayarları ekranı
  6. Genel Ayarlar sekmesinde bir ad ve açıklama girin.
  7. Bir algılama olayı tetiklendiğinde kullanıcının risk puanını artırmak için Algılama olayının risk değeri alanına miktarı girin. Varsayılan değer 5 'dir.
  8. Risk değerini ölçeklemek için geçiş özelliğini etkinleştirin. Geçerli kılındığında, temel risk değeri bir katsayı ile çarpılır (1-10 aralık). Bu faktör, kullanıcının beklenen davranışlarından ne kadar saptanıdığına ve sadece sapmalarından değil, ne kadar saptıkları ile belirlenir.
  9. Confidence interval to trigger anomaly (Olağandışı durumu tetikleyecek güven aralığı) alanında, bir olağandışı olayı tetiklemeden önce makine öğrenme algoritmasının ne kadar güvene sahip olması gerektiğine ilişkin yüzdeyi girin. Varsayılan değer 0.95' dir.
  10. Veri Saklama Süresi alanında, model verilerini kaydetmek istediğiniz gün sayısını ayarlayın. Varsayılan değer 30 'tır.
  11. Grafik Kullanıcı Ayrıntıları sayfasında göster geçişi varsayılan olarak devre dışıdır. Özel model grafimesini Kullanıcı Ayrıntıları sayfasında görüntülemek istiyorsanız, geçiş için geçiş düğmesini tıklatın.
  12. İsteğe bağlı: AQL Search Filter (AQL Arama Süzgeci) alanında, QRadar içinde analitik sorguların olduğu verileri daraltmak için bir AQL süzgeci ekleyebilirsiniz. Bir AQL sorgusuyla süzgeç uygulayarak, kullanıcı sayısını ya da analitik çözümlemesinin analiz yaptığı veri tiplerini azaltabilirsiniz. Ayarlarınızı kaydetmeden önce, QRadar içinde tam bir AQL sorgusu başlatmak için Sorguyu Doğrula ' yı tıklatın; böylece sorguyu gözden geçirebilir ve sonuçları doğrulayabilirsiniz.
    Önemli: AQL süzgecini değiştirirseniz, var olan model geçersiz olarak işaretlenir ve sonra yeniden oluşturulur. Yeniden oluşturma süresinin, değiştirilen süzgecin döndürdüğü veri miktarına bağlı olduğu süre.
    Belirli bir günlük kaynaklarını, ağ adlarını ya da belirli kullanıcıları içeren başvuru kümelerini süzgeçten geçirebilirsiniz. Aşağıdaki örneklere bakın:
    • REFERENCESETCONTAINS('Important People', username)
    • LOGSOURCETYPENAME(devicetype) in ('Linux OS', 'Blue Coat SG Appliance', 'Microsoft Windows Security Event Log')
    • INCIDR('172.16.0.0/12', sourceip) or INCIDR('10.0.0.0/8', sourceip) or INCIDR('192.168.0.0/16', sourceip)
    Ek bilgi için Ariel Query Languagebaşlıklı konuya bakın.
  13. Kaydetdüğmesini tıklatın.
    Model yaratmak için Genel Ayarlar sekmesi

Uygulama olayları

İşlem

  • Olay Adı: UBA: Özel Analitik Anomali
  • senseValue = 5
  • Gerekli yapılandırma: Sistem, QRadar yüksek düzeyli Uygulama kategorisine sahip olan etkinlikleri izlemektedir.
  • Günlük kaynağı tipleri: APC UPS, Apache HTTP Server, Application Security DbProtect, Array Networks SSL VPN Access Gateway, Aruba ClearPass Policy Manager, Aruba Mobility Controller, Avaya VPN Ağ Geçidi, Barracuda Web Application Firewall, Barracuda Web Filter, Blue Pat Web Security Service, BlueCat Ağları Adonis, CRE System, Merkezify Altyapı Hizmetleri, Denetim Noktası, Kişosoft QJRN/400, Cisco Call Manager, Katalizör Anahtarlar için Cisco CatOS , Cisco FireSIGHT yönetim merkezi, Cisco iOS, Cisco Kimlik Hizmetleri Motoru, Cisco İzinsiz Giriş önleme Sistemi (IPS), Cisco IronPort, Cisco Meraki, Cisco Nexus, Cisco PIX Güvenlik Duvarı, Cisco Stealthwatch, Cisco şemsiye, Cisco Wireless Services Module (WiSM), Citrix Access Gateway, Citrix NetScaler, Özel kural motoru, cyber-ark kasası, dG teknolojisi MEAS, EMC VMWare, Event CRE Injected, Extreme Matrix K/N/S Series Switch, Extreme Stackable ve Standalone Switches, F5 Networks BIG-IP ASM, F5 Networks BIG-IP ASM, F5 Networks BIG-IP LTM, Fidelis XPS, FireEye, Akış Sınıflandırması Motoru, Akış Aygıtı Tipi, Forcepoint Sidewinder, Forcepoint V Series, Fortinet FortiGate Security Gateway, FreeRADIUS, H3C Comware Platform, Huawei S Serisi Switch, HyTrust CloudControl, IBM AIX Audit, IBM AIX Server, IBM DB2, IBM DataPower, IBM Lotus Domino, IBM Proventia Network Intrusion Prevention System (IPS), IBM Resource Access Control Facility (RACF), IBM Security Directory Server, IBM Tivoli Access Manager for e-business, IBM i, IBM z/OS, ISC BIND, Imperva SecureSphere, Incoblox NIOS, Juniper Junnos OS Platform, Juniper MX Series Ethernet Services Router, Juniper Networks AVT, Juniper Networks Güvenlik Duvarıları ve VPN, Juniper Networks Intrusion Detection and Prevention (IDP), Juniper WirelessLAN, Kisco Information Systems SafeNet/i, Linux DHCP Server, McAfee Network Security Platform, McAfee Web Gateway, Metainfo MetaIP, Microsoft DHCP Server, Microsoft DNS Debug, Microsoft Exchange Server, Microsoft IIS, Microsoft Office 365, Microsoft Operations Manager, Microsoft Windows Security Event Log, Motorola SymbolAP, NGINX HTTP Server, Nortel Contivity VPN Switch, Nortel VPN Gateway, OS Services Qidmap, OSSEC, ObserveIT, Okta, Open LDAP Software, OpenBSD OS, Oracle BEA WebLogic, Oracle Database Dinleyicisi, PostFix MailTransferAracısı, ProFTPD Sunucusu, Proofpoint Enterprise Protection/Enterprise Privacy, Pulse Secure Pulse Connect Secure, RSA Authentication Manager, Radware DefensePro, SSH CryptoAuditor, Skyhigh Networks Cloud Security Platform, Solaris Operating System Authentication Messages, Solaris Operating System DHCP Logs, SonicWALL SonicOS, Sophos Astaro Security Gateway, Sophos Web Security Appliance, Squid Web Proxy, Starent Networks Home Agent (HA), Stonesoft Management Center, Sun ONE LDAP, Symantec Critical System Protection, Symantec Encryption Management Server, Symantec Endpoint Protection, TippingPoint Intrusion Prevention System (IPS), Top Layer IPS, Trend InterScan VirusWall, Trend Micro Deep Security, Universal DSM, Venustech Venusense Security Platform, Verdasys Digital Guardian, WatchGuard Fireware OS, genua genugate, iT-CUbe agileSI

SourceIP

İşlem

  • Olay Adı: UBA: Özel Analitik Anomali
  • sensevalue: 5
  • Günlük kaynağı tipleri: Olaylarda kullanıcı adı ve kaynak ip içeren herhangi bir günlük kaynağı.

Hedef Kapı

İşlem

  • Olay Adı: UBA: Özel Analitik Anomali
  • sensevalue: 5
  • Günlük kaynağı tipleri: Olaylarda kullanıcı adı ve hedef kapı içeren herhangi bir günlük kaynağı

Ofis Dosyası Erişimi

İşlem

  • Olay Adı: UBA: Özel Analitik Anomali
  • sensevalue: 5
  • Gerekli yapılandırma: Sistem, "file" sözcüğünü içeren QRadar olay adlarına sahip olan olayları izliyor.
  • Günlük kaynağı tipi: Microsoft Office 365

AWS erişimi

İşlem

  • Olay Adı: UBA: Özel Analitik Anomali
  • sensevalue: 5
  • Gerekli yapılandırma: Sistem, "kova" sözcüğünü içeren QRadar olay adlarını içeren olayları izlemektedir.
  • Günlük kaynağı tipleri: Amazon AWS Cloudtrail

Süreç

İşlem

  • Olay Adı: UBA: Özel Analitik Anomali
  • sensevalue: 5
  • Gerekli yapılandırma: İstenen günlük kaynağı tipi için özel olay özelliği 'Process' olmalıdır.
  • Günlük kaynağı tipleri: Microsoft Windows Security Event Log; Linux OS

Web sitesi

İşlem

  • Olay Adı: UBA: Özel Analitik Anomali
  • sensevalue: 5
  • Destek kuralları: 'UBA: Entertainment to Entertainment', 'UBA: Browsed to LifeStyle Website', 'UBA: Browsed to Business/Service Website', 'UBA: Browsed to Communications Web Sitesi'
  • Gerekli yapılandırma: İstenen günlük kaynağı tipi için özel olay özelliği 'Web Kategorisi' var olmalıdır.
  • Günlük kaynağı tipleri: Blue Mont SG Appliance, Cisco IronPort, McAfee Web Gateway, Check Point, Squid Web Proxy, Palo Alto PA Serisi; Forcepoint V Serisi, Fortinet FortiGate Security Gateway

Riskli IP

İşlem

  • Olay Adı: UBA: Özel Analitik Anomali
  • sensevalue: 5
  • Gereken yapılanış: "Enable X-Force Threat Intelligence Feed" to Evet in Admin Settings > System Settings(Yönetim Ayarları-> > Sistem Ayarları) seçeneklerini belirleyin.
  • Günlük kaynağı tipleri: Kullanıcı adı olan olayları içeren herhangi bir günlük kaynağı.