Comment les lignes de base des anomalies sont-elles conçues pour Prisma Cloud la détection des anomalies Policy et comment peuvent-elles être modifiées ?
9020
Created On 04/17/23 03:44 AM - Last Modified 04/21/23 08:08 AM
Question
- Comment les lignes de base des anomalies sont-elles conçues pour Prisma Cloud la détection des anomalies Policy et comment peuvent-elles être modifiées ?
Environment
- Prisma Cloud Enterprise Edition
Answer
- Prisma Cloud construit le modèle de données à l’aide des journaux d’audit et de flux réseau pour définir la ligne de base des tendances normales dans un réseau sur la base des seuils d’apprentissage configurés dans Prisma Cloud les paramètres d’entreprise et d’anomalie
- Une fois la base de référence établie, elle commence à catégoriser le trafic et à générer des alertes en conséquence.
Questions les plus fréquemment posées à ce sujet :
Q1. La création de la ligne de base est-elle un processus continu ? Comment recréer Prisma Cloud un enregistrement de référence lorsqu’un nouvel utilisateur est identifié ?
- Oui, la création de base de référence est un processus continu
- Une fois qu’un nouvel utilisateur a été identifié, Prisma Cloud vérifie le nombre d’événements et le nombre de jours écoulés depuis le premier événement
- Une fois que le nombre de jours et le nombre d’événements atteignent les seuils de création de modèle sélectionnés, il crée un modèle pour l’utilisateur et l’utilisateur sera prêt pour la détection
Q2. Si le modèle de données utilisateur est déjà créé, comment le réapprendre pour l’utilisateur ?
- En modifiant le seuil de construction du modèle d’un niveau à l’autre
- Cependant, ce sera pour toutes les données enregistrées
Veuillez noter que l’activité de l’utilisateur avant 120 jours est purgée du DB. ne conservez que les données récentes de 120 jours au cas où vous souhaiteriez reconstruire le modèle pour un utilisateur existant. DB Le nouveau modèle capturerait le comportement de l’utilisateur à partir des n premiers jours (n définis par les seuils du modèle) des données stockées dans DB
l’exemple :
- Disons qu’un utilisateur (sujet) est actif depuis le 1er janvier 2022
- A Le modèle sera construit après le 30 mars 2022 (en supposant que l’on ait configuré un paramètre pour la construction du HIGH modèle - 90 jours et 300 événements) à condition qu’il y ait eu 300 événements. Les deux conditions doivent être remplies. Si 90 jours sont écoulés et que les événements ne sont toujours pas 300, attendez PC que l’utilisateur ait atteint 300 événements. Ce modèle sera utilisé pour la détection de tous les événements futurs s’il n’y a pas de modification des paramètres du modèle
- Comme mentionné précédemment, la période de conservation des données pour audit_logs est de 120 jours
- Pour un locataire, DB ne conserve que les données récentes de 120 jours et supprime les données plus anciennes
- Si nous reconstruisons un modèle en modifiant les paramètres maintenant (le 15 mars 2023) et depuis que le modèle a été construit en mars 2022, les anciennes données sont déjà purgées
- Par conséquent, PC utilisera les 90 premiers jours de données (des 120 derniers jours de données dans le tableau), qui contiendraient des données du 15 novembre 2022 (environ) au 15 février 2023 (environ) - 90 jours pour la construction d’un nouveau modèle
Q3. Peut-on reconfigurer ou mettre à jour l’apprentissage du modèle de données avec les nouvelles données en changeant le modèle de formation, c’est-à-dire en passant de moyen à faible ou faible à moyen et à économiser (au cas où l’on voudrait garder le modèle à moyen)?
- Oui, les données auront des modifications si l’utilisateur a été actif pendant plus de 90 jours
- Les nouvelles données peuvent être différentes par rapport aux données considérées précédemment pour le bâtiment du modèle
- Toutefois, les données peuvent ne pas voir de changements significatifs si l’utilisateur est nouveau ou dispose d’un modèle récemment créé
- Le nouveau modèle sera similaire au modèle précédent (en considérant le même niveau de construction du modèle - faible / moyen / élevé)
Q4. Comme le modèle de formation pour Medium est de 30 jours, cesse-t-on de voir les alertes générées à partir du moment où l’on apporte les modifications? Ou continue-t-il à générer des alertes à partir de l’apprentissage précédent ?
- Cela dépend des données disponibles dans le DB
- Si l’utilisateur satisfait immédiatement à la condition basée sur l’activité précédente, un nouveau modèle sera construit et l’utilisateur sera prêt pour la détection des anomalies
- Sinon, il faut attendre que l’utilisateur génère plus d’événements et remplisse les conditions
Q5. Où peut-on voir l’état de cet apprentissage s’il est actuellement en place?
- Pour le moment, cette fonctionnalité n’est disponible que pour nos Customer Success Engineers (CSE)
Q6. Pour la suppression des alertes, est-il possible de combiner différents types de listes de confiance pour supprimer les alertes ? Par exemple, si vous souhaitez supprimer les alertes de différents utilisateurs lors de l’accès à un service cloud spécifique, existe-t-il un moyen de créer une liste de confiance qui considère le type de service cloud avec l’objet ?
- À ce stade, nous ne prenons pas en charge les listes de confiance dans les combinaisons