Wie werden Anomalie-Baselines für Prisma Cloud die Anomalieerkennung Policy erstellt und wie können sie geändert werden?
9056
Created On 04/17/23 03:44 AM - Last Modified 04/21/23 08:08 AM
Question
- Wie werden Anomalie-Baselines für Prisma Cloud die Anomalieerkennung Policy erstellt und wie können sie geändert werden?
Environment
- Prisma Cloud Enterprise Edition
Answer
- Prisma Cloud erstellt das Datenmodell mithilfe von Überwachungs- und Netzwerkflussprotokollen, um die Baseline für normale Trends in einem Netzwerk auf der Grundlage von Trainingsschwellenwerten festzulegen, die in Prisma Cloud den Unternehmens- und Anomalieeinstellungen konfiguriert sind
- Sobald die Baseline festgelegt ist, beginnt sie mit der Kategorisierung des Datenverkehrs und der entsprechenden Generierung von Warnungen
Die am häufigsten gestellten Fragen, die dies ausarbeiten:
Frage 1. Ist die Baselineerstellung ein kontinuierlicher Prozess? Wie wird Prisma Cloud ein Baseline-Datensatz neu erstellt, wenn ein neuer Benutzer identifiziert wird?
- Ja, die Baselineerstellung ist ein kontinuierlicher Prozess
- Sobald ein neuer Benutzer identifiziert wurde, Prisma Cloud wird die Anzahl der Ereignisse und die Anzahl der Tage seit dem ersten Ereignis überprüft
- Sobald die Anzahl der Tage und die Anzahl der Ereignisse die ausgewählten Schwellenwerte für die Modellerstellung erreicht haben, wird ein Modell für den Benutzer erstellt, und der Benutzer ist bereit für die Erkennung
Q2. Wenn das Benutzerdatenmodell bereits erstellt wurde, wie kann es für den Benutzer neu gelernt werden?
- Durch Ändern des Schwellenwerts für die Modellerstellung von einer Ebene zur anderen
- Dies gilt jedoch für alle aufgezeichneten Daten
Bitte beachten Sie, dass Benutzeraktivitäten, die älter als 120 Tage sind, aus der gelöscht werden. Behalten Sie nur die DBDaten der letzten 120 Tage bei, falls Sie das Modell für einen vorhandenen Benutzer neu erstellen möchten. DB Das neue Modell würde das Benutzerverhalten ab den ersten n Tagen (n definiert durch die Modellschwellenwerte) der Daten erfassen, die im Beispiel gespeichert sind DB
:
- Nehmen wir an, ein Benutzer (Betreff) ist seit dem 1. Januar 2022 aktiv
- A Das Modell wird nach dem 30. März 2022 erstellt (vorausgesetzt, man hat eine Einstellung für den HIGH Modellbau konfiguriert - 90 Tage und 300 Ereignisse), vorausgesetzt, es gab 300 Ereignisse. Beide Bedingungen müssen erfüllt sein. Wenn 90 Tage vergangen sind und die Ereignisse immer noch nicht 300 sind, warten Sie, PC bis der Benutzer 300 Ereignisse erreicht hat. Dieses Modell wird für die Erkennung aller zukünftigen Ereignisse verwendet, wenn sich die Modelleinstellungen nicht ändern
- Wie bereits erwähnt, beträgt die Datenaufbewahrungsfrist für audit_logs 120 Tage
- Für einen Mandanten DB werden nur die Daten der letzten 120 Tage beibehalten und die älteren Daten gelöscht
- Wenn wir ein Modell neu erstellen, indem wir die Einstellungen jetzt (am 15. März 2023) ändern und da das Modell im März 2022 erstellt wurde, werden die älteren Daten bereits gelöscht
- PC Daher werden die ersten 90 Tage Daten (von den letzten 120 Tagen Daten in der Tabelle) verwendet, die Daten vom 15. November 2022 (ca.) bis zum 15. Februar 2023 (ca.) enthalten würden - 90 Tage für die Erstellung eines neuen Modells
Q3. Kann man das Lernen des Datenmodells mit den neuen Daten neu konfigurieren oder aktualisieren, indem man das Trainingsmodell ändert, dh indem man von Mittel zu Niedrig oder von Niedrig zu Mittel wechselt und speichert (falls man das Modell auf Mittel belassen möchte)?
- Ja, die Daten haben einige Änderungen, wenn der Benutzer länger als 90 Tage aktiv ist
- Die neuen Daten können sich von den Daten unterscheiden, die zuvor für die Modellerstellung berücksichtigt wurden
- Bei den Daten werden jedoch möglicherweise keine wesentlichen Änderungen vorgenommen, wenn der Benutzer neu ist oder kürzlich ein Modell erstellt hat
- Das neue Modell wird dem früheren Modell ähnlich sein (unter Berücksichtigung des gleichen Modellbauniveaus - niedrig / mittel / hoch)
Q4. Da das Trainingsmodell für Medium 30 Tage lang ist, werden die generierten Warnungen ab dem Moment nicht mehr angezeigt, in dem Sie die Änderungen vornehmen? Oder generiert es weiterhin Warnungen aus früherem Lernen?
- Dies hängt von den Daten ab, die in der DB
- Wenn der Benutzer die Bedingung basierend auf der früheren Aktivität sofort erfüllt, wird ein neues Modell erstellt, und der Benutzer ist bereit für die Anomalieerkennung
- Wenn nicht, muss man warten, bis der Benutzer mehr Ereignisse generiert und die Bedingungen erfüllt
Q5. Wo kann man den Status dieses Lernens sehen, wenn es derzeit vorhanden ist?
- Derzeit ist diese Funktion nur für unsere Customer Success Engineers (CSEs) verfügbar
Q6. Ist es für die Warnungsunterdrückung möglich, verschiedene Vertrauenslistentypen zur Unterdrückung von Warnungen zu kombinieren? Wenn Sie beispielsweise Warnungen von verschiedenen Benutzern unterdrücken möchten, während Sie auf einen bestimmten Cloud-Dienst zugreifen, gibt es dann eine Möglichkeit, eine Vertrauensliste zu erstellen, die den Cloud-Diensttyp mit dem Betreff berücksichtigt?
- An dieser Stelle unterstützen wir keine Vertrauenslisten in Kombinationen