Machine Learning 使用者模型

若要檢視 Machine Learning Analytics 應用程式中的資訊,您必須配置「使用者模型」的 Machine Learning 設定。

關於此作業

您可以查看模型類型及每一個模型中的使用者數目。 您也可以按一下計數來檢視模型中的使用者清單。

在「使用者模型」頁面上,您可以採取下列動作:
  • 最多啟用 17 個模型
  • 選取模型以編輯預設值。
  • 使用隨附的範本建立您自己的自訂模型。
注意: 在您配置或修改設定之後,至少需要 1 小時來汲取資料、建置起始模型,以及查看使用者的起始結果。 如需相關資訊,請參閱 機器學習分析需求

持續監視作用中使用者。 如果使用者 28 天沒有活動,則會從模型中移除使用者及使用者資料。 如果使用者再次處於作用中狀態,則會以新使用者身分返回。

程序

  1. 在導覽功能表 ( 導覽功能表圖示 ) 上,按一下 管理
  2. 按一下 應用程式 > 使用者分析 > Machine Learning 設定
  3. Machine Learning 設定 頁面上,按一下 已啟用 以開啟選取的模型。
  4. 如果您要編輯預設值,請按一下模型名稱。
  5. 感應事件的風險值 欄位中,輸入在觸發感應事件時增加使用者風險評分的金額。 預設值為 5。
  6. 啟用切換以調整風險值。 啟用時,基本風險值會乘以因數 (範圍 1-10)。 此因素是由使用者偏離其預期行為的程度所決定,而不只是他們偏離的程度。
  7. 觸發異常的信賴區間 欄位中,輸入機器學習演算法在觸發異常事件之前的信賴度百分比。 預設值為 0.95。
  8. 資料保留期間 欄位中,設定您要儲存模型資料的天數。 預設值是 30。
  9. 依預設會啟用 在使用者詳細資料頁面上顯示圖形 切換,以在「 使用者詳細資料 」頁面上顯示選取的圖形。 如果您不想在「 使用者詳細資料 」頁面上顯示圖形,請按一下切換。
  10. 對於對等群組和活動分佈模型,在 分組依據 欄位中,選取您要所選取對等群組分析使用的群組。
  11. 選用項目: AQL 搜尋過濾器 欄位中,您可以新增 AQL 過濾器,以縮小 QRadar 中分析查詢的資料範圍。 透過使用 AQL 查詢進行過濾,您可以減少分析正在分析的使用者數目或資料類型。 在儲存設定之前,請按一下 驗證查詢 ,以在 QRadar 中啟動完整 AQL 查詢,以便您可以檢閱查詢並驗證結果。
    重要事項: 如果您修改 AQL 過濾器,則現有模型會標示為無效,然後重建。 重建所花費的時間長度取決於已修改的過濾器所傳回的資料量。
    您可以過濾包含特定使用者的特定日誌來源、網路名稱或參照集。 請參閱下列範例:
    • REFERENCESETCONTAINS('Important People', username)
    • LOGSOURCETYPENAME(devicetype) in ('Linux OS', 'Blue Coat SG Appliance', 'Microsoft Windows Security Event Log')
    • INCIDR('172.16.0.0/12', sourceip) or INCIDR('10.0.0.0/8', sourceip) or INCIDR('192.168.0.0/16', sourceip)
    如需相關資訊,請參閱 Ariel 查詢語言
  12. 按一下 儲存

結果

應用程式至少需要 1 小時才能吸收資料並建置起始模型。