identicalFields

Параметр задает одно или несколько полей схемы событий KUMA, по значениям которых события объединяются для анализа активности одного пользователя.

Пример значения: SourceUserName.

zScore

Пороговое значение стандартизованного отклонения (Z-Score).

Параметр определяет, насколько текущее значение активности пользователя отклоняется от среднего значения активности с учетом разброса данных.

Значение параметра настраивается отдельно для каждого признака детектирования:

• Для признака детектирования sourceAddress: минимальное значение – 3, рекомендуемое значение – 12.
• Для признака детектирования destinationAddress: минимальное значение – 3, рекомендуемое значение – 25.

relativeScore

Пороговое значение относительного показателя (Relative Score).

Параметр определяет, во сколько раз текущая активность пользователя превышает средний уровень активности за определенный период.

Значение параметра настраивается отдельно для каждого признака обнаружения:

• Для признака детектирования sourceAddress: минимальное значение – 3, рекомендуемое значение – 8.5.
• Для признака детектирования destinationAddress: минимальное значение – 3, рекомендуемое значение – 45.

minSamples

Минимальное число событий аутентификации пользователя, необходимых для анализа аномальной активности.

Параметр определяет количество событий аутентификации, которое должно быть накоплено, чтобы правило корреляции могло выполнить анализ аномальной активности.

Минимальное значение – 15, рекомендуемое значение – 15. Максимальное значение – 60, при условии, что в параметрах eventGroupingPeriod и countersCollectingPeriod указаны максимальные значения.

detectionPeriod

Период детектирования.

Параметр определяет интервал времени в минутах, через который правило выполняет анализ накопленных событий аутентификации пользователя для выявления аномальной активности.

Минимальное значение – 15, рекомендуемое значение – 60. Максимальное значение – 10080, при условии, что в параметре eventGroupingPeriod указано максимальное значение.

eventGroupingPeriod

Период группировки событий.

Параметр определяет интервал в днях, за который события аутентификации пользователя объединяются для последующего анализа аномальной активности.

Минимальное значение – 1, максимальное значение – 7, рекомендуемое значение – 1.

propertyValuesCollectingPeriod

Период сбора значений.

Параметр определяет интервал в днях, в течение которого уникальные значения анализируемых признаков пользователя накапливаются для последующего анализа аномальной активности.

Минимальное значение – 15, максимальное значение – 15, рекомендуемое значение – 30.

countersCollectingPeriod

Период сбора счетчиков.

Параметр определяет интервал в днях, за который накапливаются данные для формирования показателей аномальной активности.

Рассчитать значение можно по следующей формуле: countersCollectingPeriod = количество периодов * значение параметра eventGroupingPeriod.

Минимальное значение – 15, максимальное значение – 420, рекомендуемое значение – 30.

retentionPeriod

Период хранения данных правила корреляции.

Параметр определяет интервал в днях, в течение которого данные, накопленные правилом, сохраняются для последующего анализа.

Рассчитать значение можно по следующей формуле: retentionPeriod = количество периодов * значение параметра eventGroupingPeriod.

Минимальное значение – 30, максимальное значение – 420, рекомендуемое значение – 60.

propertyFieldsMapping

Маппинги полей для значений анализируемых признаков.

Параметр определяет соответствие между полем события KUMA и типом анализируемого признака для выявления аномальной активности пользователей.

sourceEventField

Поля события KUMA из схемы событий.

Пример значения: DeviceCustomString1, DeviceCustomString2.

destinationProperty

Анализируемые признаки.

Возможные значения: sourceAddress, destinationAddress.