Аналитика в модуле RuSIEM Analytics имеет несколько подмодулей.
Первый, управляемый пользователем, основан на DL (Data Learning) и называется Baseline.
Для Baseline указываются правила, содержащие:
- наблюдаемую связку ключей (от 1 до 21)
- использовать или нет исторические данные
- период исторических данных (как правило, 21 день)
- период накопления исторических данных (день или час)
- использовать или нет уникальность дня (вторники сравнивать со вторниками, среды со средами или нет)
- допустимый процент отклонения от нормы
Теперь смоделируем следующую ситуацию. Пользователь user111 ежедневно удаляет примерно 20 файлов по понедельникам, примерно 40 по четвергам. Мы создаем правило, содержащее уникальную связку src.user.name + symptoms.id, устанавливаем дельту в 40% и указываем учет уникальности дня недели. Baseline начинает учитывать количество уникальных связок src.user.name + symptoms.id по дням недели. Сюда попадают все пользователи и также другие symptoms.id, включая старт служб, входы, запуск приложений и прочие. Внезапно, пользователь user111 или user444 удаляют не как обычно 20-30 файлов, а 200 за час. Аналитика видит это отклонение, формирует событие и отправляет на корреляцию. Корреляция с учетом возможных уточнений в правилах формирует инцидент, где ключами является src.user.name+symptoms.id (только значение будут примерно «user111 + удаление_файлов»). При этом, данное правило аналитики будет также смотреть за другими уникальными связками в данном контексте. Например, «Admin + неуспешный вход», «Admin + изменение конфигураций» и прочее. Таким образом, создав некое распределение с уникальными ключами мы покрываем достаточно большой объем кейсов. И неважно, что произойдет. Это может быть частый краш приложений, количество отправленных электронных писем, количество отказанных в доступе попыток и многое другое! Нет необходимости придумывать миллионы кейсов, когда это можно описать десятком-других правил. Ведь если случаются вирус, атака, сбои — образуется хоть небольшой, но все же всплеск по количеству событий.
С помощью правила с ключами «http.status.code + symptoms.id» возможно мониторить, к примеру, количество ошибок, доступность сайта, попытки зайти на запрещенный ресурс, состояние прокси сервера и многое другое. С ключами «hostname + symptoms.id» — от количества неуспешных попыток до количества заказов на сайте.
Количество правил — не лимитировано. Количество наблюдаемых ключей в правиле — до 21. Для корректной работы модуля рекомендуется накопленная выборка от 3х недель.
Для Baseline в разделе Аналитика имеются также виджеты для работы с модулем. На них можно вынести любые показатели для анализа тенденций.
Модуль ML (Machine learning) работает в автоматическом режиме, без вмешательства и настройки со стороны оператора. Модуль работает по Симптоматике ® и смотрит согласно заложенным алгоритмам агрегаты весов симптомов в разрезе объектов (хостов, пользователей, сервисов и прочее). Модуль имеет свою обучающую индивидуальную выборку, накапливаемую в ходе работы модуля. В случае накопления критического веса в разрезе объекта (частое повторение критичного события, шквал критичных или не критичных, растянутое по времени повторение, множественное распределение) — формируется событие и через процесс корреляции формируется инцидент.
Возможно также подключение пользовательской PMML (Predictive Model Markup Language) модели для модуля ML.