Análisis del comportamiento del usuario

El motor UBA crea una línea de base dinámica basada en la actividad de cada usuario y monitoreará las anomalías. La línea de base se actualizará todos los días en función de la actividad del usuario. Actualmente, monitoreamos 3 tipos de anomalías:

  • Recuento inusual: si el recuento de actividad de un usuario supera un umbral dinámico que se calculó en función de su comportamiento de actividad anterior, se activará una alerta.
  • Tiempo inusual: en función del tiempo de actividad del usuario, el motor generará un tiempo de actividad normal permitido (como una hora de trabajo dinámica, según la actividad de cada usuario) y cualquier actividad se produce después de que se notifiquen las horas de actividad normal calculadas.
  • Nuevo acceso a recursos: si se accedió a un nuevo recurso (un nuevo acceso de usuario en una computadora, un nuevo control remoto a un servidor desde un cliente, un nuevo proceso se ejecutó en un servidor), será alertado.

Configuraciones UBA

  • Después de la adición de un dominio. Los datos serán monitoreados durante 7 días y se generará un perfil de comportamiento normal.
  • Después de 7 días de la adición del dominio, la generación del perfil de comportamiento normal de Analytics ocurrirá todos los días alrededor de las 5 am y el motor de verificación de Analytics comenzará a buscar actividades inusuales.
  • para la compilación aplicada de ppm: para el dominio ya presentado, los datos no archivados del último mes se procesarán y, utilizando esos datos, se generará un perfil de comportamiento normal el día siguiente a las 5 am y el motor de verificación de Analytics comenzará a buscar actividades inusuales.
  • Para conocer el estado de la generación del perfil de comportamiento normal: vaya a 'configuración' -> 'configuración analítica'
  • Para generar tiempo de actividad normal para un usuario / host: el motor de análisis requiere un mínimo de datos de 15 horas únicas para ese usuario / host
  • Para generar un recuento de actividad normal, un dato es suficiente para ese usuario / host
  • Más datos le darán una mayor precisión de predicción
  • para el recuento inusual y el tiempo inusual, los datos de los últimos 3 meses se utilizarán para la generación del perfil de comportamiento normal
  • para el recuento de actividad inusual si el recuento de actividad normal del usuario es <10 o si el usuario no tuvo ningún comportamiento normal, entonces se usará 10 como recuento de umbral predeterminado para ese usuario.
  • algunos usuarios pueden tener las 24 horas como horas de actividad normal (según sus datos anteriores). esto significa que el usuario no tiene ninguna hora de actividad normal y no tendrá ninguna hora de actividad anómala.

Lista de informes de anomalías

Informes de actividad de inicio de sesión:

  • Volumen inusual de fallas de inicio de sesión.
  • Tiempo de actividad de inicio de sesión inusual.
  • El usuario accede por primera vez al host.
  • Volumen inusual de fallas de inicio de sesión en el host.
  • Acceso remoto por primera vez en el host.

Informes de actividad de gestión de usuarios:

  • Volumen inusual de actividad de gestión de usuarios
  • Tiempo de actividad inusual del usuario
  • Volumen inusual de bloqueo
  • Tiempo de actividad de bloqueo inusual

Informes de actividad del proceso:

  • Nuevo proceso en el servidor

Informes de actividad de archivos:

  • Volumen inusual de actividad de error de archivo
  • Volumen inusual de actividad de archivos
  • Tiempo de actividad de archivo inusual
  • Volumen inusual de modificación de archivos
  • Volumen inusual de eliminación de archivos
Copyright © 2020, Zoho Corp . Reservados todos los derechos.
Obtener enlace de descarga