Análisis del comportamiento del usuario
El motor UBA crea una línea de base dinámica basada en la actividad de cada usuario y monitoreará las anomalías. La línea de base se actualizará todos los días en función de la actividad del usuario. Actualmente, monitoreamos 3 tipos de anomalías:
- Recuento inusual: si el recuento de actividad de un usuario supera un umbral dinámico que se calculó en función de su comportamiento de actividad anterior, se activará una alerta.
- Tiempo inusual: en función del tiempo de actividad del usuario, el motor generará un tiempo de actividad normal permitido (como una hora de trabajo dinámica, según la actividad de cada usuario) y cualquier actividad se produce después de que se notifiquen las horas de actividad normal calculadas.
- Nuevo acceso a recursos: si se accedió a un nuevo recurso (un nuevo acceso de usuario en una computadora, un nuevo control remoto a un servidor desde un cliente, un nuevo proceso se ejecutó en un servidor), será alertado.
Configuraciones UBA
- Después de la adición de un dominio. Los datos serán monitoreados durante 7 días y se generará un perfil de comportamiento normal.
- Después de 7 días de la adición del dominio, la generación del perfil de comportamiento normal de Analytics ocurrirá todos los días alrededor de las 5 am y el motor de verificación de Analytics comenzará a buscar actividades inusuales.
- para la compilación aplicada de ppm: para el dominio ya presentado, los datos no archivados del último mes se procesarán y, utilizando esos datos, se generará un perfil de comportamiento normal el día siguiente a las 5 am y el motor de verificación de Analytics comenzará a buscar actividades inusuales.
- Para conocer el estado de la generación del perfil de comportamiento normal: vaya a 'configuración' -> 'configuración analítica'
- Para generar tiempo de actividad normal para un usuario / host: el motor de análisis requiere un mínimo de datos de 15 horas únicas para ese usuario / host
- Para generar un recuento de actividad normal, un dato es suficiente para ese usuario / host
- Más datos le darán una mayor precisión de predicción
- para el recuento inusual y el tiempo inusual, los datos de los últimos 3 meses se utilizarán para la generación del perfil de comportamiento normal
- para el recuento de actividad inusual si el recuento de actividad normal del usuario es <10 o si el usuario no tuvo ningún comportamiento normal, entonces se usará 10 como recuento de umbral predeterminado para ese usuario.
- algunos usuarios pueden tener las 24 horas como horas de actividad normal (según sus datos anteriores). esto significa que el usuario no tiene ninguna hora de actividad normal y no tendrá ninguna hora de actividad anómala.
Lista de informes de anomalías
Informes de actividad de inicio de sesión:
- Volumen inusual de fallas de inicio de sesión.
- Tiempo de actividad de inicio de sesión inusual.
- El usuario accede por primera vez al host.
- Volumen inusual de fallas de inicio de sesión en el host.
- Acceso remoto por primera vez en el host.
Informes de actividad de gestión de usuarios:
- Volumen inusual de actividad de gestión de usuarios
- Tiempo de actividad inusual del usuario
- Volumen inusual de bloqueo
- Tiempo de actividad de bloqueo inusual
Informes de actividad del proceso:
- Nuevo proceso en el servidor
Informes de actividad de archivos:
- Volumen inusual de actividad de error de archivo
- Volumen inusual de actividad de archivos
- Tiempo de actividad de archivo inusual
- Volumen inusual de modificación de archivos
- Volumen inusual de eliminación de archivos
Copyright © 2020,
Zoho Corp . Reservados todos los derechos.