Правило корреляции, тип periodical

Правила корреляции с типом periodical используются для выявления несанкционированного использования учетных записей путем обнаружения аномальной активности пользователей, которая может указывать на компрометацию учетной записи. Создание этого правила доступно только при использовании коррелятора correlator-ng.

Механизм анализа событий аутентификации пользователей формирует профиль их обычного поведения и выявляет отклонения от этого поведения на основе статистических показателей. Процесс выявления аномалий выполняется с определенной периодичностью на основе накопленных данных, а не в момент поступления каждого события.

Работа правила корреляции типа periodical состоит из двух этапов:

1. Накопление и агрегация данных

   На первом этапе правило корреляции накапливает статистику поведения пользователей. Этот этап соответствует периоду холодного старта, в течение которого аномалии не выявляются. Накопление статистики начинается с первого события, поступившего в правило. При этом все события, созданные ранее, не учитываются.

   В рамках этапа накопления и агрегации данных происходит следующее:

   • Принимаются события успешных и неуспешных попыток входа в учетную запись пользователя.
   • Извлекаются адреса, с которых и на которые проводился вход в систему.
   • Данные агрегируются по пользователям: сохраняются уникальные значения, формируются значения количества новых адресов для каждого периода группировки событий аутентификации.

   Продолжительность периода холодного старта фиксирована – она указана в параметрах правила корреляции. Холодный старт может быть выполнен следующими способами:

   • С помощью обработки потока событий, поступающего в коррелятор.
   • С использованием процедуры ретроспективного сканирования для загрузки событий из хранилища.
   • С помощью комбинированного метода, в рамках которого часть данных загружается с помощью ретроскана, а оставшиеся собираются за счет обработки потока событий.

   При использовании ретроспективного сканирования правило корреляции обрабатывает загружаемые события так же, как и события, поступающие из потока. Как только события аутентификации пользователей в хранилище начинают покрывать минимальный период времени, необходимый для сбора статистики, правило начинает периодически обнаруживать аномалии сразу после загрузки событий.

   Допускается ситуация, при которой в правило сначала загружаются данные за период, не превышающий длительность холодного старта, а затем накопление статистики продолжается при обработке потока событий до завершения периода холодного старта.

2. Обнаружение аномалий

   После завершения периода холодного старта правило начинает анализировать накопленные данные с определенной периодичностью. Для каждого пользователя и каждого анализируемого признака:

   • Используется значение показателя за период группировки событий аутентификации.

     Если периоды обнаружения аномалии и группирования совпадают, для анализа используется значение показателя за последний завершенный период. Если период обнаружения короче периода группирования, анализ выполняется на основе данных, собранных за текущий период, благодаря чему можно получить результаты до завершения периода группирования.

   • Вычисляются статистические показатели.
   • Результаты сравниваются с пороговыми значениями, заданными в параметрах правила корреляции.

   Если показатели, отражающие аномальную активность пользователя, превышают пороговые значения, создается корреляционное событие. При необходимости правило может дополнительно создавать алерт.

Показатели выявления аномальной активности пользователей

Для выявления аномалий используются два показателя:

• Relative Score (Относительный показатель)

  Этот показатель показывает, во сколько раз текущая активность пользователя превышает его средний уровень активности, и рассчитывается по следующей формуле:

  Relative Score = (Текущая активность + 1) / (Средняя активность + 1)​

  Здесь:

  Текущая активность – значение активности на текущий момент.

  Средняя активность – средний уровень активности за период, на основе которого рассчитывается показатель.

• Z-Score (Стандартизированное отклонение)

  Этот показатель показывает, насколько текущее значение отклоняется от среднего значения с учетом разброса данных, и рассчитывается по следующей формуле:

  Z-Score = (Текущая активность – Средняя активность) / Стандартное отклонение

  Здесь:

  Текущая активность – значение активности на текущий момент.

  Средняя активность – средний уровень активности за период, на основе которого рассчитывается показатель.

  Стандартное отклонение – показатель разброса значений активности за выбранный период.

Аномальная активность пользователя записывается в журнал, если значение одного из показателей (Relative Score или Z-Score) превышает заданный порог. Для каждого анализируемого признака правило выбирает наиболее подходящий показатель в зависимости от статистики поведения пользователя.

Использование двух индикаторов позволяет оценивать аномальное поведение в различных сценариях и уменьшает количество ложных срабатываний. При выявлении аномалии правило создает корреляционное событие, которое содержит информацию о пользователе, времени, анализируемом признаке, типе показателя, значении показателя, пороге, который был превышен, а также аномальные значения для анализа аномалии.

В этом разделе Создание правила корреляции в корреляторе correlator-ng Параметры файла correlation-rules.yaml

В начало