Machine Learning が表示された UEBA ダッシュボード

Machine Learning Analytics を使用する IBM® QRadar® User Entity Behavior Analytics (UEBA) アプリケーションには、 Machine Learning モデルの状況と、選択したユーザーの追加の詳細が含まれます。

ダッシュボード

Machine Learning モデルを有効にしたら、[ User Entity Analytics] タブをクリックして、メインの UEBA Overview (Dashboard) ページを開きます。

Machine Learning モデルの状況」セクションには、有効にした各モデルの取り込みと作成の進行状況が表示されます。
  • 紫色の進行状況表示バーは、モデルがデータの取り込み中であることを示しています。
  • 青色の進行状況表示バーは、モデルが作成中であることを示しています。
  • 緑色の進行状況表示バーは、モデルがトレーニング中であることを示しています。 注: モデルがデータを受信していない場合は、十分なデータが受信されるまでトレーニング中のままです。
  • 緑色のチェック・マークは、モデルが有効であることを示しています。
  • 黄色の警告アイコンは、モデルの作成フェーズで問題が発生したことを示しています。 Machine Learning アプリの状況がダッシュボードに警告を表示するを参照してください。
「ML 設定」 アイコン 構成アイコン をクリックして Machine Learning Analytics ページを開き、機械学習モデルの構成を編集します。
注: 構成を保存した後に編集すると、新規モデルが作成され、取り込みとモデル構築を待機する時間がリセットされます。
以下の図は、 UEBA 4.0.0 ライト・テーマ UI の Machine Learning モデル状況ウィジェットの例を示しています。
Machine Learning モデル・ウィジェットの状況

「ユーザーの詳細」ページ

アプリ内の任意の場所からユーザー名をクリックして、選択したユーザーの詳細を表示できます。

イベント・ビューアー・ペインでは、ユーザーのアクティビティーの詳細情報を確認できます。 イベント・ビューアー・ペインには、選択したアクティビティーまたは選択した時点に関する情報が表示されます。 イベント・ビューアー・ペイン内のイベントをクリックすると、Syslog イベントやペイロード情報などの詳細が表示されます。 イベント・ビューアー・ペインは、「ユーザーの詳細」ページのすべてのドーナツ・グラフおよび折れ線グラフで使用できます。

以下の表では、 「ユーザーの詳細」 ページで使用可能な Machine Learning Analytics グラフについて説明します。

表 1. 時系列 ML グラフの名前と説明
時系列グラフ 説明
  • アクセス・アクティビティー
  • 集約アクティビティー
  • 認証アクティビティー
  • リモート・ネットワークへのデータのアップロード
  • データのダウンロード
  • DML イベント
  • DDL イベント
  • 大量の HTTP 転送
  • アウトバウンド転送の試行
  • リスク状況
  • 疑わしいアクティビティー
  • 正常なアクセス権限と認証アクティビティー
注: すべてのカスタム・モデルがこのグラフ・タイプを使用します。

ユーザー・アクティビティーの実際の行動パターンと予期される行動パターンが表示されます。 実際の値は、選択した期間中に当該ユーザーに関して発生したイベントの数です。 予期される値は、選択した期間中に当該ユーザーに関して発生すると予測されたイベントの数です。 赤い円は、機械学習によりアノマリが検出されて、センス・イベントが生成されたことを意味します。

時系列グラフでは、以下の操作を行うことができます。
  • ノードをクリックすると、イベントの照会リストが表示されます。
  • 時刻と日付を指定するには、「カレンダー (Calendar)」アイコンをクリックします。
以下のイメージは、 UEBA 4.0.0 ライト・テーマ UI の時系列グラフの例を示しています。
リスク状況グラフ
表 2. ML 頻度分布グラフの名前と説明
分布グラフ 説明
アクティビティーの分布

機械学習によってモニターされているすべてのユーザーの動的な行動クラスターを表示します。 これらの集合体は、機械学習によってモニターされているすべてのユーザーのアクティビティー・カテゴリーによって推定されます。 実際の値は、その集合体との一致率です。 予期される値は、その集合体との予測一致率です。 このグラフでは、機械学習によってモニターされているすべてのユーザーの動的な行動クラスターがそれぞれ色分けされて表示されます。 特定のグループを表す色は、すべてのユーザーで同じです。 赤い縦線は、機械学習によりアノマリが検出されて、センス・イベントが生成されたことを意味します。

グラフでは、以下の操作を行うことができます。
  • 各集合体の上にポインターを置くと、実際のアクティビティー・パーセンタイルと予測されたアクティビティーのパーセタイル、ならびに原因となっているカテゴリー上位 3 件が表示されます。
  • 日付範囲を指定するには、「カレンダー (Calendar)」アイコンをクリックします。
以下のイメージは、 UEBA 4.0.0 ライト・テーマ UI のアクティビティー分布グラフの例を示しています。
アクティビティー分布グラフ
表 3. ピア・グループ ML グラフの名前と説明
ピア・グループ・グラフ 説明
  • 定義済みピア・グループ
  • 学習ピア・グループ

ユーザーのイベント・アクティビティーがピア・グループのアクティビティーからどの程度逸脱しているかを示します。 赤い円は、機械学習によりアノマリが検出されて、センス・イベントが生成されたことを意味します。 定義されているグループは、モデル設定で選択された LDAP グループです。 「検出された動作の評価」は、当該日のユーザー動作が類似していたグループです。 「ピア・グループからの逸脱」は、ユーザーが定義済みピア・グループから逸脱している割合を意味します。 「信頼性」は、正確な予測を行うために、グループ内のユーザーからモデルを作成するために収集されるデータの量に基づきます。 逸脱および信頼性が両方ともしきい値を超えると、アラートがトリガーされます。

ピア・グループの分析を表示するには、ユーザーのグループ化プロパティーが最小要件を満たすように「ユーザーのインポート」を構成する必要があります。 モデル化するグループを表すグループ化プロパティーを構成ページで選択します。 カスタム・グループの構成について詳しくは、 ユーザー・インポート構成の調整 を参照してください。

グラフでは、以下の操作を行うことができます。
  • データ・ポイントをクリックすると、「ピア・グループ」テーブルのピアが表示されます。
  • 日付範囲を指定するには、「カレンダー (Calendar)」アイコンをクリックします。
「ピア・グループ」テーブルのピアは、現行ユーザー・グループで最もリスクの高いユーザーを示します。 以下の操作を行うことができます。
  • ユーザー名をクリックすると、「ユーザーの詳細」ページが開きます。
  • ドロップダウン・リストをクリックすると、表示するユーザー属性を選択できます。
  • 検索によってユーザー名をフィルタリングできます。
以下の図は、 UEBA 4.0.0 ライト・テーマ UI でのカスタム・グループ化を使用した定義済みピア・グループ・グラフの例を示しています。
定義済みピア・グループ・グラフ
以下の Machine Learning ユーザー・モデルは、グラフでは表されません。
  • 横移動: 内部宛先ポートに対するアクティビティー
  • 横移動: ネットワーク・ゾーンへのアクセス
  • 横移動: 内部アセットの使用
  • プロセス使用