Правило корреляции, тип periodical

Правила корреляции с типом periodical используются для выявления несанкционированного использования учетных записей путем обнаружения аномальной активности пользователей, которая может указывать на компрометацию учетной записи. Создание этого правила доступно только при использовании коррелятора correlator-ng.

Механизм анализа событий аутентификации пользователей формирует профиль их обычного поведения и выявляет отклонения от этого поведения на основе статистических показателей. Процесс выявления аномалий выполняется с определенной периодичностью на основе накопленных данных, а не в момент поступления каждого события.

Работа правила корреляции типа periodical состоит из двух этапов:

  1. Накопление и агрегация данных

    На первом этапе правило корреляции накапливает статистику поведения пользователей. Этот этап соответствует периоду холодного старта, в течение которого аномалии не выявляются. Накопление статистики начинается с первого события, поступившего в правило. При этом все события, созданные ранее, не учитываются.

    В рамках этапа накопления и агрегации данных происходит следующее:

    • Принимаются события успешных и неуспешных попыток входа в учетную запись пользователя.
    • Извлекаются адреса, с которых и на которые выполняется вход.
    • Данные агрегируются по пользователям: сохраняются уникальные значения, формируются значения количества новых адресов для каждого периода группировки событий аутентификации.

    Длительность периода холодного старта является фиксированной и задается в конфигурации правила корреляции. Холодный старт может быть выполнен следующими способами:

    • При обработке потока событий, поступающих в коррелятор.
    • С использованием процедуры ретроспективного сканирования для загрузки событий из хранилища.
    • Комбинированным способом, при котором часть данных загружается с помощью ретроспективного сканирования, а оставшиеся данные накапливаются при обработке потока событий.

    При использовании ретроспективного сканирования правило корреляции обрабатывает загружаемые события так же, как и события, поступающие из потока. Если в хранилище присутствуют события аутентификации пользователей за минимальный период, необходимый для накопления статистики, правило начинает выполнение периодического выявления аномалий сразу после завершения загрузки этих событий.

    Как запустить процедуру ретроспективного сканирования

    Допускается ситуация, при которой в правило сначала загружаются данные за период, не превышающий длительность холодного старта, а затем накопление статистики продолжается при обработке потока событий до завершения периода холодного старта.

  2. Выявление аномалий

    После завершения периода холодного старта правило начинает анализировать накопленные данные с определенной периодичностью. Для каждого пользователя и каждого анализируемого признака:

    • Используется значение показателя за период группировки событий аутентификации.

      Если период выявления аномалий совпадает с периодом группировки, для анализа используется значение показателя за последний завершенный период. Если период выявления меньше периода группировки, анализ выполняется по данным текущего (еще незавершенного) периода, что позволяет получить результаты до окончания всего периода группировки.

    • Вычисляются статистические показатели.
    • Результаты сравниваются с пороговыми значениями, заданными в конфигурации правила корреляции.

    Если показатели, отражающие аномальную активность пользователя, превышают пороговые значения, создается корреляционное событие. При необходимости правило может дополнительно создавать алерт.

Показатели выявления аномальной активности пользователей

Для выявления аномалий используются два показателя:

Аномальная активность пользователя фиксируется, если значение одного из показателей (Relative Score или Z-Score) превышает заданный порог. Для каждого анализируемого признака правило выбирает наиболее подходящий показатель в зависимости от статистики поведения пользователя.

Использование двух показателей позволяет оценивать аномалии в разных сценариях поведения, снижая количество ложных срабатываний. При выявлении аномалии правило создает корреляционное событие, которое содержит информацию о пользователе, времени, анализируемом признаке, типе показателя, значении показателя, пороге, который был превышен, а также аномальные значения для анализа аномалии.

В этом разделе

Создание правила корреляции в корреляторе correlator-ng

Параметры файла correlation-rules.yaml

В начало