異常ベースラインの構築方法Prisma Cloud異常Policy検出と変更方法

8972

Created On 04/17/23 03:44 AM - Last Modified 04/21/23 08:26 AM

Question

Prisma Cloud監査およびネットワークフローログを使用してデータモデルを構築し、で構成されたトレーニングしきい値に基づいて、ネットワークの正常な傾向のベースラインを設定します。Prisma Cloudエンタープライズと異常の設定
ベースラインが確立されると、トラフィックの分類が開始され、それに応じてアラートが生成されます。

これを詳述する最もよくある質問:

Q1. ベースラインの作成は継続的なプロセスですか? どうやってPrisma Cloud新しいユーザーが特定されたときにベースラインレコードを再作成しますか?

Q2. ユーザーデータモデルが既に作成されている場合、ユーザーのために再学習する方法は?

120 日より前のユーザーアクティビティは、DB .DB既存のユーザーのモデルを再構築する場合に備えて、最近の 120 日間のデータのみを保持します。新しいモデルは、最初の n 日間 (モデルのしきい値で定義された n) のデータからユーザーの行動をキャプチャします。DB

例：

ユーザー (サブジェクト) が 2022 年 1 月 1 日からアクティブであるとします。
A モデルは 2022 年 3 月 30 日以降に構築されます (1 つがHIGHモデル構築の設定 - 90 日と 300 イベント) 300 イベントがあった場合。両方の条件を満たす必要があります。 90 日が経過してもイベントが 300 に達しない場合は、PCユーザーが 300 イベントに達するまで待ちます。モデル設定に変更がない場合、このモデルは今後のすべてのイベントの検出に使用されます
前述のとおり、audit_logs のデータ保持期間は 120 日です。
テナントの場合、DB最近の 120 日間のデータのみを保持し、古いデータを削除します
2023 年 3 月 15 日に設定を変更してモデルを再構築すると、モデルは 2022 年 3 月に構築されているため、古いデータは既に消去されています。
したがって、PC最初の 90 日間のデータ (テーブル内の最新の 120 日間のデータから) を使用します。これには、2022 年 11 月 15 日 (およそ) から 2023 年 2 月 15 日 (およそ) までのデータが含まれます。新しいモデルの構築には 90 日かかります。

Q3. トレーニングモデルを変更することにより、新しいデータを使用してデータモデルの学習を再構成または更新できます。中～低または低～中、節約（モデルを中程度に保ちたい場合）？

Q4. Medium のトレーニングモデルは 30 日間ですが、変更を加えた瞬間から生成されたアラートが表示されなくなりますか? それとも、以前の学習からアラートを生成し続けますか?

Q5. この学習が現在行われている場合、その学習の状態はどこで確認できますか?

Q6. アラート抑制の場合、異なる信頼リストタイプを組み合わせてアラートを抑制できますか? たとえば、特定のクラウドサービスにアクセスしているときに別のユーザーからのアラートを抑制したい場合、クラウドサービスの種類とサブジェクトを考慮した信頼リストを作成する方法はありますか?