异常基线是如何构建的Prisma Cloud异常Policy检测和如何修改它们?
8982
Created On 04/17/23 03:44 AM - Last Modified 04/21/23 08:08 AM
Question
- 异常基线是如何构建的Prisma Cloud异常Policy检测和如何修改它们?
Environment
- Prisma Cloud 企业版
Answer
- Prisma Cloud通过使用审计和网络流日志来构建数据模型,以根据在中配置的训练阈值为网络中的正常趋势设置基线Prisma Cloud企业和异常设置
- 基线建立后,它开始对流量进行分类并相应地生成警报
阐述这一点的最常见问题:
Q1。 基线创建是一个连续的过程吗? 如何Prisma Cloud识别新用户时重新创建基线记录?
- 是的,基线创建是一个持续的过程
- 一旦确定了新用户,Prisma Cloud检查事件的数量和自第一个事件以来的天数
- 一旦天数和事件数达到所选的模型构建阈值,它就会为用户构建模型,用户将准备好进行检测
Q2。 如果已经创建了用户数据模型,如何为用户重新学习?
- 通过将模型构建阈值从一个级别更改为另一个级别
- 但是,这将适用于所有记录的数据
请注意,早于 120 天的用户活动将从DB.DB仅保留最近 120 天的数据,以防您要为现有用户重建模型。 新模型将从存储在DB
例子:
- 假设用户(主题)自 2022 年 1 月 1 日起活跃
- A 模型将在 2022 年 3 月 30 日之后构建(假设一个配置了HIGH模型构建的设置 - 90 天和 300 个事件)假设有 300 个事件。 两个条件都必须满足。 如果 90 天过去了,事件仍未达到 300,则PC等到用户达到 300 个事件。 如果模型设置没有变化,该模型将用于检测所有未来事件
- 如前所述,audit_logs 的数据保留期为 120 天
- 对于一个租客来说,DB仅保留最近 120 天的数据并删除较旧的数据
- 如果我们现在(2023 年 3 月 15 日)通过更改设置来重建模型,并且由于该模型是在 2022 年 3 月构建的,所以旧数据已经被清除
- 所以,PC将使用最初 90 天的数据(来自表中最近 120 天的数据),其中将包含从 2022 年 11 月 15 日(大约)到 2023 年 2 月 15 日(大约)的数据 - 用于构建新模型的 90 天
Q3. 是否可以通过更改训练模型来使用新数据重新配置或更新数据模型的学习,即通过从中到低或低到中和储蓄(以防万一想要将模型保持为中等)?
- 是的,如果用户活跃时间超过 90 天,数据会有一些变化
- 与之前为模型构建考虑的数据相比,新数据可能有所不同
- 但是,如果用户是新用户或最近构建了模型,则数据可能看不到重大变化
- 新模型将与早期模型相似(考虑到相同的模型构建级别 - 低/中/高)
Q4. 由于 Medium 的训练模型是 30 天,是否从做出更改的那一刻起就不再看到生成的警报? 或者它是否继续从以前的学习中生成警报?
- 这取决于可用的数据 DB
- 如果用户立即满足基于先前活动的条件,则将构建新模型,用户将为异常检测做好准备
- 如果没有,则需要等到用户产生更多事件并满足条件
Q5. 如果目前已经到位,在哪里可以看到这种学习的状态?
- 目前,此功能仅供我们的客户成功工程师 (CSE) 使用
Q6. 对于警报抑制,是否可以组合不同的信任列表类型来抑制警报? 例如,如果您想在访问特定云服务时抑制来自不同用户的警报,是否有一种方法可以创建将云服务类型与主题一起考虑的信任列表?
- 目前,我们不支持组合信任列表