Правило корреляции, тип periodical

Правила корреляции с типом periodical используются для выявления несанкционированного использования учетных записей путем обнаружения аномальной активности пользователей, которая может указывать на компрометацию учетной записи. Создание этого правила доступно только при использовании коррелятора correlator-ng.

Механизм анализа событий аутентификации пользователей формирует профиль их обычного поведения и выявляет отклонения от этого поведения на основе статистических показателей. Процесс выявления аномалий выполняется с определенной периодичностью на основе накопленных данных, а не в момент поступления каждого события.

Работа правила корреляции типа periodical состоит из двух этапов:

1. Накопление и агрегация данных

   На первом этапе правило корреляции накапливает статистику поведения пользователей. Этот этап соответствует периоду холодного старта, в течение которого аномалии не выявляются. Накопление статистики начинается с первого события, поступившего в правило. При этом все события, созданные ранее, не учитываются.

   В рамках этапа накопления и агрегации данных происходит следующее:

   • Принимаются события успешных и неуспешных попыток входа в учетную запись пользователя.
   • Извлекаются адреса, с которых и на которые выполняется вход.
   • Данные агрегируются по пользователям: сохраняются уникальные значения, формируются значения количества новых адресов для каждого периода группировки событий аутентификации.

   Длительность периода холодного старта является фиксированной и задается в конфигурации правила корреляции. Холодный старт может быть выполнен следующими способами:

   • При обработке потока событий, поступающих в коррелятор.
   • С использованием процедуры ретроспективного сканирования для загрузки событий из хранилища.
   • Комбинированным способом, при котором часть данных загружается с помощью ретроспективного сканирования, а оставшиеся данные накапливаются при обработке потока событий.

   При использовании ретроспективного сканирования правило корреляции обрабатывает загружаемые события так же, как и события, поступающие из потока. Если в хранилище присутствуют события аутентификации пользователей за минимальный период, необходимый для накопления статистики, правило начинает выполнение периодического выявления аномалий сразу после завершения загрузки этих событий.

   Как запустить процедуру ретроспективного сканирования

   Вы можете запустить процедуру ретроспективного сканирования только из консоли, сделать это через веб-интерфейс KUMA невозможно.

   Чтобы выполнить ретроспективное сканирование:

   1. Сформируйте запрос для выгрузки событий.

      Необходимо подготовить запрос к хранилищу событий аутентификации пользователей. Данные должны быть отсортированы по времени создания событий в порядке возрастания.

      Пример запроса:

      SELECT *

      FROM `events`

      WHERE SourceUserID == 's-1-5-21-1445412355-99643495-187345912-1119' AND Type = 1

      ORDER BY Timestamp ASC

      LIMIT 250

      Для правильного отображения идентификаторов событий в журналах коррелятора рекомендуется включить поле идентификатора события при экспорте данных.

   2. Экспортируйте результата запроса в файл формата TSV.

      Порядок событий в файле должен соответствовать сортировке по времени создания.

   3. Запустите процедуру ретроспективного сканирования из консоли, выполнив следующую команду:

      /opt/kaspersky/kuma/kuma tools retroscan \

      --url <URL-адрес Ядра KUMA>:<номер порта Ядра KUMA> \

      --src <путь к экспортированному TSV-файлу с событиями> \

      --cert <путь к сертификату Ядра KUMA> \

      --key <путь к ключу для подключения к Ядру KUMA> \

      --alerts

      Параметр --alerts нужно указать, если необходимо создать алерт.

   Загруженные события обрабатываются правилом корреляции так же, как и события, поступающие из потока. Если загруженные данные покрывают минимальный период холодного старта, периодическое выявление аномалий начинается сразу после завершения загрузки.

   Допускается ситуация, при которой в правило сначала загружаются данные за период, не превышающий длительность холодного старта, а затем накопление статистики продолжается при обработке потока событий до завершения периода холодного старта.

2. Выявление аномалий

   После завершения периода холодного старта правило начинает анализировать накопленные данные с определенной периодичностью. Для каждого пользователя и каждого анализируемого признака:

   • Используется значение показателя за период группировки событий аутентификации.

     Если период выявления аномалий совпадает с периодом группировки, для анализа используется значение показателя за последний завершенный период. Если период выявления меньше периода группировки, анализ выполняется по данным текущего (еще незавершенного) периода, что позволяет получить результаты до окончания всего периода группировки.

   • Вычисляются статистические показатели.
   • Результаты сравниваются с пороговыми значениями, заданными в конфигурации правила корреляции.

   Если показатели, отражающие аномальную активность пользователя, превышают пороговые значения, создается корреляционное событие. При необходимости правило может дополнительно создавать алерт.

Показатели выявления аномальной активности пользователей

Для выявления аномалий используются два показателя:

• Relative Score (Относительный показатель)

  Этот показатель показывает, во сколько раз текущая активность пользователя превышает его средний уровень активности, и рассчитывается по следующей формуле:

  Relative Score = (Текущая активность + 1) / (Средняя активность + 1)​

  Где:

  Текущая активность – значение активности на текущий момент.

  Средняя активность – средний уровень активности за период, на основе которого рассчитывается показатель.

• Z-Score (Стандартизированное отклонение)

  Этот показатель показывает, насколько текущее значение отклоняется от среднего значения с учетом разброса данных, и рассчитывается по следующей формуле:

  Z-Score = (Текущая активность – Средняя активность) / Стандартное отклонение

  Где:

  Текущая активность – значение активности на текущий момент.

  Средняя активность – средний уровень активности за период, на основе которого рассчитывается показатель.

  Стандартное отклонение – показатель разброса значений активности за выбранный период.

Аномальная активность пользователя фиксируется, если значение одного из показателей (Relative Score или Z-Score) превышает заданный порог. Для каждого анализируемого признака правило выбирает наиболее подходящий показатель в зависимости от статистики поведения пользователя.

Использование двух показателей позволяет оценивать аномалии в разных сценариях поведения, снижая количество ложных срабатываний. При выявлении аномалии правило создает корреляционное событие, которое содержит информацию о пользователе, времени, анализируемом признаке, типе показателя, значении показателя, пороге, который был превышен, а также аномальные значения для анализа аномалии.

В этом разделе Создание правила корреляции в корреляторе correlator-ng Параметры файла correlation-rules.yaml

В начало