Análisis del comportamiento del usuario

El motor UBA crea una línea de base dinámica basada en la actividad de cada usuario y monitoreará las anomalías. La línea de base se actualizará todos los días en función de la actividad del usuario. Actualmente, monitoreamos 3 tipos de anomalías:

• Recuento inusual: si el recuento de actividad de un usuario supera un umbral dinámico que se calculó en función de su comportamiento de actividad anterior, se activará una alerta.
• Tiempo inusual: en función del tiempo de actividad del usuario, el motor generará un tiempo de actividad normal permitido (como una hora de trabajo dinámica, según la actividad de cada usuario) y cualquier actividad se produce después de que se notifiquen las horas de actividad normal calculadas.
• Nuevo acceso a recursos: si se accedió a un nuevo recurso (un nuevo acceso de usuario en una computadora, un nuevo control remoto a un servidor desde un cliente, un nuevo proceso se ejecutó en un servidor), será alertado.

Configuraciones UBA

• Después de la adición de un dominio. Los datos serán monitoreados durante 7 días y se generará un perfil de comportamiento normal.
• Después de 7 días de la adición del dominio, la generación del perfil de comportamiento normal de Analytics ocurrirá todos los días alrededor de las 5 am y el motor de verificación de Analytics comenzará a buscar actividades inusuales.
• para la compilación aplicada de ppm: para el dominio ya presentado, los datos no archivados del último mes se procesarán y, utilizando esos datos, se generará un perfil de comportamiento normal el día siguiente a las 5 am y el motor de verificación de Analytics comenzará a buscar actividades inusuales.
• Para conocer el estado de la generación del perfil de comportamiento normal: vaya a 'configuración' -> 'configuración analítica'
• Para generar tiempo de actividad normal para un usuario / host: el motor de análisis requiere un mínimo de datos de 15 horas únicas para ese usuario / host
• Para generar un recuento de actividad normal, un dato es suficiente para ese usuario / host
• Más datos le darán una mayor precisión de predicción
• para el recuento inusual y el tiempo inusual, los datos de los últimos 3 meses se utilizarán para la generación del perfil de comportamiento normal
• para el recuento de actividad inusual si el recuento de actividad normal del usuario es <10 o si el usuario no tuvo ningún comportamiento normal, entonces se usará 10 como recuento de umbral predeterminado para ese usuario.
• algunos usuarios pueden tener las 24 horas como horas de actividad normal (según sus datos anteriores). esto significa que el usuario no tiene ninguna hora de actividad normal y no tendrá ninguna hora de actividad anómala.

Lista de informes de anomalías

Informes de actividad de inicio de sesión:

• Volumen inusual de fallas de inicio de sesión.
• Tiempo de actividad de inicio de sesión inusual.
• El usuario accede por primera vez al host.
• Volumen inusual de fallas de inicio de sesión en el host.
• Acceso remoto por primera vez en el host.

Informes de actividad de gestión de usuarios:

• Volumen inusual de actividad de gestión de usuarios
• Tiempo de actividad inusual del usuario
• Volumen inusual de bloqueo
• Tiempo de actividad de bloqueo inusual

Informes de actividad del proceso:

• Nuevo proceso en el servidor

Informes de actividad de archivos:

• Volumen inusual de actividad de error de archivo
• Volumen inusual de actividad de archivos
• Tiempo de actividad de archivo inusual
• Volumen inusual de modificación de archivos
• Volumen inusual de eliminación de archivos