identicalFields

Параметр задает одно или несколько полей схемы событий KUMA (уникальные идентификаторы пользователя), по значениям которых события объединяются для анализа активности одного пользователя.

Пример значения: SourceUserName.

zScore

Пороговое значение стандартизованного отклонения (Z-Score).

Параметр определяет, насколько текущее значение активности пользователя отклоняется от среднего значения активности с учетом разброса данных.

Значение параметра настраивается отдельно для каждого признака детектирования:

• Для признака детектирования sourceAddress: минимальное значение – 3, рекомендуемое значение – 12.
• Для признака детектирования destinationAddress: минимальное значение – 3, рекомендуемое значение – 25.

relativeScore

Пороговое значение относительного показателя (Relative Score).

Параметр определяет, во сколько раз текущая активность пользователя превышает средний уровень активности за определенный период.

Значение параметра настраивается отдельно для каждого признака детектирования:

• Для признака детектирования sourceAddress: минимальное значение – 3, рекомендуемое значение – 8.5.
• Для признака детектирования destinationAddress: минимальное значение – 3, рекомендуемое значение – 45.

minSamples

Минимальное число событий аутентификации пользователя, необходимых для анализа аномальной активности.

Параметр определяет количество событий аутентификации, которое должно быть накоплено, чтобы правило корреляции могло выполнить анализ аномальной активности.

Максимальное значение параметра зависит от значений eventGroupingPeriod и countersCollectingPeriod и определяется количеством периодов группировки данных, доступных для анализа.

Максимальное значение можно рассчитать по формуле: minSamples ≤ countersCollectingPeriod / eventGroupingPeriod.

Минимальное значение – 15, рекомендуемое значение – 15. Максимальное значение – 60.

detectionPeriod

Период детектирования.

Параметр определяет интервал времени в минутах, через который правило выполняет анализ накопленных событий аутентификации пользователя для выявления аномальной активности.

Максимальное значение параметра зависит от значения параметра eventGroupingPeriod и рассчитывается по формуле: detectionPeriod ≤ eventGroupingPeriod * 1440.

Минимальное значение – 15, рекомендуемое значение – 60. Максимальное значение – 10080, при условии, что в параметре eventGroupingPeriod указано максимальное значение.

eventGroupingPeriod

Период группировки событий.

Параметр определяет интервал в днях, за который события аутентификации пользователя объединяются для последующего анализа аномальной активности.

Значение параметра влияет на максимально допустимое значение detectionPeriod. Анализ выполняется по сгруппированным данным.

Минимальное значение – 1, максимальное значение – 7, рекомендуемое значение – 1.

propertyValuesCollectingPeriod

Период сбора исторических значений.

Параметр определяет интервал в днях, в течение которого уникальные значения анализируемых признаков пользователя накапливаются для последующего анализа аномальной активности.

Минимальное значение – 15, максимальное значение – 60, рекомендуемое значение – 30.

countersCollectingPeriod

Период сбора счетчиков.

Параметр определяет интервал в днях, за который накапливаются данные для формирования показателей аномальной активности.

Рассчитать максимальное значение можно по следующей формуле: countersCollectingPeriod = число периодов * значение параметра eventGroupingPeriod. Рассчитать минимальное значение можно по формуле: 15 * значение параметра eventGroupingPeriod.

Минимальное значение – 15, максимальное значение – 420, рекомендуемое значение – 30.

retentionPeriod

Период хранения данных правила корреляции.

Параметр определяет интервал в днях, в течение которого данные, накопленные правилом, сохраняются для последующего анализа.

Рассчитать максимальное значение можно по следующей формуле: retentionPeriod = число периодов * значение параметра eventGroupingPeriod. Рассчитать минимальное значение можно по формуле: 15 * значение параметра eventGroupingPeriod.

Минимальное значение – 30, максимальное значение – 420, рекомендуемое значение – 60.

propertyFieldsMapping

Маппинги полей для значений анализируемых признаков.

Параметр определяет соответствие между полем события KUMA и типом анализируемого признака для выявления аномальной активности пользователей.

sourceEventField

Поля события KUMA из схемы событий.

Пример значения: DeviceCustomString1, DeviceCustomString2.

destinationProperty

Анализируемые признаки.

Возможные значения: sourceAddress, destinationAddress.