¿Cómo se construyen las líneas base de anomalías para Prisma Cloud la detección de anomalías Policy y cómo se pueden modificar?
9006
Created On 04/17/23 03:44 AM - Last Modified 04/21/23 08:08 AM
Question
- ¿Cómo se construyen las líneas base de anomalías para Prisma Cloud la detección de anomalías Policy y cómo se pueden modificar?
Environment
- Prisma Cloud Enterprise Edition
Answer
- Prisma Cloud crea el modelo de datos mediante registros de flujo de red y auditoría para establecer la línea base para lo que son las tendencias normales en una red en función de los umbrales de entrenamiento configurados en Prisma Cloud Enterprise y Anomaly Settings
- Una vez que se establece la línea base, comienza a categorizar el tráfico y generar alertas en consecuencia.
Preguntas más frecuentes que elaboran esto:
P1. ¿La creación de la línea base es un proceso continuo? ¿Cómo se Prisma Cloud vuelve a crear un registro de línea base cuando se identifica un nuevo usuario?
- Sí, la creación de líneas base es un proceso continuo
- Una vez que se ha identificado un nuevo usuario, comprueba el número de eventos y el número de días transcurridos desde el primer evento. Prisma Cloud
- Una vez que el número de días y el número de eventos alcanzan los umbrales de creación del modelo seleccionados, se crea un modelo para el usuario y el usuario estará listo para la detección
Q2. Si el modelo de datos de usuario ya está creado, ¿cómo volver a aprenderlo para el usuario?
- Cambiando el umbral de creación del modelo de un nivel a otro
- Sin embargo, esto será para todos los datos registrados
Tenga en cuenta que la DBactividad del usuario anterior a 120 días se purga del . Solo conserve los 120 días recientes de datos en caso de que desee reconstruir el modelo para un usuario existente. DB El nuevo modelo capturaría el comportamiento del usuario a partir de los n días iniciales (n definidos por los umbrales del modelo) de los datos que se almacenan en el DB
ejemplo:
- Digamos que un usuario (asunto) está activo desde el 1 de enero de 2022
- A El modelo se construirá después del 30 de marzo de 2022 (suponiendo que uno configuró una HIGH configuración para la construcción del modelo: 90 días y 300 eventos) siempre que haya 300 eventos. Ambas condiciones deben cumplirse. Si han pasado 90 días y los eventos aún no son 300, espere PC hasta que el usuario haya alcanzado los 300 eventos. Este modelo se utilizará para la detección de todos los eventos futuros si no hay cambios en la configuración del modelo
- Como se mencionó anteriormente, el período de retención de datos para audit_logs es de 120 días
- Para un inquilino, DB conserva solo los 120 días recientes de datos y elimina los datos más antiguos
- Si reconstruimos un modelo cambiando la configuración ahora (el 15 de marzo de 2023) y desde que el modelo se construyó en marzo de 2022, los datos anteriores ya se purgan
- Por lo tanto, PC utilizará los 90 días iniciales de datos (de los últimos 120 días de datos en la tabla), que contendrían datos desde el 15 de noviembre de 2022 (aprox.) hasta el 15 de febrero de 2023 (aprox) - 90 días para construir un nuevo modelo
Q3. ¿Se puede reconfigurar o actualizar el aprendizaje del modelo de datos con los nuevos datos cambiando el modelo de entrenamiento, es decir, cambiando de medio a bajo o bajo a medio y ahorrando (en caso de que uno quiera mantener el modelo a medio)?
- Sí, los datos tendrán algunos cambios si el usuario ha estado activo durante más de 90 días.
- Los nuevos datos pueden ser diferentes en comparación con los datos considerados anteriormente para la construcción del modelo
- Sin embargo, es posible que los datos no vean cambios significativos si el usuario es nuevo o tiene un modelo creado recientemente
- El nuevo modelo será similar al modelo anterior (considerando el mismo nivel de construcción del modelo: bajo / medio / alto)
Q4. Como el modelo de entrenamiento para Medio es de 30 días, ¿se dejan de ver las Alertas generadas desde el momento en que se realizan los cambios? ¿O continúa generando alertas de aprendizaje previo?
- Depende de los datos disponibles en el DB
- Si el usuario satisface inmediatamente la condición basada en la actividad anterior, se construirá un nuevo modelo y el usuario estará listo para la detección de anomalías.
- Si no, uno necesita esperar hasta que el usuario genere más eventos y satisfaga las condiciones.
Q5. ¿Dónde se puede ver el estado de este aprendizaje si está actualmente en su lugar?
- En este momento, esta función solo está disponible para nuestros ingenieros de éxito del cliente (CSE)
Q6. Para la supresión de alertas, ¿es posible combinar diferentes tipos de listas de confianza para suprimir alertas? Por ejemplo, si desea suprimir alertas de diferentes usuarios mientras accede a un servicio en la nube específico, ¿tiene una forma de crear una lista de confianza que considere el tipo de servicio en la nube con el asunto?
- En este momento, no admitimos listas de confianza en combinaciones