用户行为分析

UBA引擎基于每个用户的活动创建动态基线，并监控非正常数据。基线将根据用户的活动每天更新。 目前，我们监控3种非正常数据：

• 非正常计数：如果用户的活动计数超过基于先前活动行为计算的动态阈值 - 将触发告警。
• 非正常的时间：根据用户的活动时间，引擎将生成正常允许的活动时间 (就像一个动态的工作时间-基于每个用户，活动) 在正常活动小时后的任何活动都会产生告警。
• 新资源访问：如果新的资源被访问（计算机上的新用户访问，从客户端到服务器的新远程，在服务器上运行的新进程）都会产生告警。

 

UBA配置

• 在添加域之后，数据将被监控7天，并且产生正常行为曲线。
• 添加完域的7天后，生成正常行为曲线将发生在每天上午5点左右，分析检查引擎将开始检查非正常活动。
• 对于已经呈现的域的PPM应用构建，最后1个月未存档的数据将被压缩并使用该数据，第二天早上5点将生成正常行为曲线，分析检查引擎将开始检查非正常活动。
• 了解正常行为曲线生成的状态：点击“配置”->“分析配置”
• 为用户/主机生成正常活动时间-分析引擎至少需要该用户/主机15个小时唯一数据。
• 若要生成正常活动计数，该用户/主机的一个数据就足够了
• 越多的数据越会增加预测准确度。
• 对于非正常计数和非正常时间，过去3个月的数据将用于正常行为曲线生成。
• 对于非正常活动计数，如果用户的正常活动计数＜10，或者如果用户没有任何正常行为，那么10将被用作该用户的默认阈值计数。
• 有些用户可以将所有的24小时作为正常活动时间（基于他过去的数据）。这意味着用户没有任何正常活动时间，也不会有任何非正常活动时间。

 

非正常报表列表

登录活动报表：

• 非正常的登录失败数。
• 非正常登录活动时间。
• 首次用户访问的主机。
• 主机上的非正常登录失败数。
• 主机上的首次远程访问。

用户管理活动报表：

• 非正常的用户管理活动
• 非正常的用户活动时间
• 非正常的锁定数
• 非正常的锁定活动时间

进程活动报表：

• 服务器上的新进程

文件活动报表：

• 非正常的文件失败活动数
• 非正常的文件活动数
• 非正常的文件活动时间
• 非正常的文件修改数
• 非正常的文件删除数