Правила корреляции с типом periodical используются для выявления несанкционированного использования учетных записей путем обнаружения аномальной активности пользователей, которая может указывать на компрометацию учетной записи. Создание этого правила доступно только при использовании коррелятора correlator-ng.
Механизм анализа событий аутентификации пользователей формирует профиль их обычного поведения и выявляет отклонения от этого поведения на основе статистических показателей. Процесс выявления аномалий выполняется с определенной периодичностью на основе накопленных данных, а не в момент поступления каждого события.
Работа правила корреляции типа periodical состоит из двух этапов:
На первом этапе правило корреляции накапливает статистику поведения пользователей. Этот этап соответствует периоду холодного старта, в течение которого аномалии не выявляются. Накопление статистики начинается с первого события, поступившего в правило. При этом все события, созданные ранее, не учитываются.
В рамках этапа накопления и агрегации данных происходит следующее:
Продолжительность периода холодного старта фиксирована – она указана в параметрах правила корреляции. Холодный старт может быть выполнен следующими способами:
При использовании ретроспективного сканирования правило корреляции обрабатывает загружаемые события так же, как и события, поступающие из потока. Как только события аутентификации пользователей в хранилище начинают покрывать минимальный период времени, необходимый для сбора статистики, правило начинает периодически обнаруживать аномалии сразу после загрузки событий.
Допускается ситуация, при которой в правило сначала загружаются данные за период, не превышающий длительность холодного старта, а затем накопление статистики продолжается при обработке потока событий до завершения периода холодного старта.
После завершения периода холодного старта правило начинает анализировать накопленные данные с определенной периодичностью. Для каждого пользователя и каждого анализируемого признака:
Если периоды обнаружения аномалии и группирования совпадают, для анализа используется значение показателя за последний завершенный период. Если период обнаружения короче периода группирования, анализ выполняется на основе данных, собранных за текущий период, благодаря чему можно получить результаты до завершения периода группирования.
Если показатели, отражающие аномальную активность пользователя, превышают пороговые значения, создается корреляционное событие. При необходимости правило может дополнительно создавать алерт.
Показатели выявления аномальной активности пользователей
Для выявления аномалий используются два показателя:
Этот показатель показывает, во сколько раз текущая активность пользователя превышает его средний уровень активности, и рассчитывается по следующей формуле:
Relative Score = (Текущая активность + 1) / (Средняя активность + 1)
Здесь:
Текущая активность – значение активности на текущий момент.
Средняя активность – средний уровень активности за период, на основе которого рассчитывается показатель.
Этот показатель показывает, насколько текущее значение отклоняется от среднего значения с учетом разброса данных, и рассчитывается по следующей формуле:
Z-Score = (Текущая активность – Средняя активность) / Стандартное отклонение
Здесь:
Текущая активность – значение активности на текущий момент.
Средняя активность – средний уровень активности за период, на основе которого рассчитывается показатель.
Стандартное отклонение – показатель разброса значений активности за выбранный период.
Аномальная активность пользователя записывается в журнал, если значение одного из показателей (Relative Score или Z-Score) превышает заданный порог. Для каждого анализируемого признака правило выбирает наиболее подходящий показатель в зависимости от статистики поведения пользователя.
Использование двух индикаторов позволяет оценивать аномальное поведение в различных сценариях и уменьшает количество ложных срабатываний. При выявлении аномалии правило создает корреляционное событие, которое содержит информацию о пользователе, времени, анализируемом признаке, типе показателя, значении показателя, пороге, который был превышен, а также аномальные значения для анализа аномалии.