Перейти к основному содержимому
Версия: 4.2

Словарь

Вычисляет список характерных для объекта действий и связей с другими объектами. Используется для обнаружения аномалий, таких как:

  • пользователь впервые подключается к оборудованию
  • подключение к VPN выполняется из нестандартной страны
  • пользователь впервые произвел операцию управления учетной записью

Описание алгоритма

  1. К данным индексов источников применяется общий и временной фильтры

  1. Каждая запись данных приводится к общему виду согласно настройкам обрабатываемых полей
  2. Извлекаются уникальные сочетания значений обрабатываемых полей

Входные параметры

  • Фильтр - общий фильтр источников (используются выражения из команды search)
  • Индекс для результатов - индекс в который записываются результаты выполнения
  • Обрабатываемые поля - маппинг полей источников на поля результата
    • Название - название поля в индексе с результатами
    • Шаблон индекса / Название поля в источнике - список шаблонов индексов и соответствующих полей в них, которые будут извлекаться в результат

Входные данные

Входные данные определяются индексами и временным интервалом в общих настройках.

Выходные данные

В результате выполнения алгоритма в индексе результатов появляется несколько записей. Каждая запись содержит одно из уникальных сочетаний значений обрабатываемых полей. Записи объединяются идентификатором запуска _meta.execution.id.

  • _meta.calculation.id - идентификатор настройки алгоритма в политике профилирования
  • _meta.calculation.type - тип алгоритма
  • _meta.execution.start_time - время запуска политики профилирования
  • _meta.execution.id - идентификатор запуска политики профилирования
  • _meta.object.identity - массив идентификаторов UBA объекта
  • _meta.object.id - технический идентификатор UBA объекта
  • _calculation - результат выполнения алгоритма (для алгоритма "Словарь" содержит несколько записей с уникальным сочетанием значений обрабатываемых полей)
Пример json-объекта результата
{
"_index": "dictionary_policy",
"_id": "myf8iI4BcPwD44zSs6V5",
"_score": 1,
"_source": {
"_meta": {
"calculation": {
"id": "CHTFCY4BcWd59cXv1lGV",
"type": "dictionary"
},
"execution": {
"start_time": "2024-03-29T06:54:06.000Z",
"id": "kyf8iI4BcPwD44zSsqWw"
},
"object": {
"identity": [
"romanov.a@volgablob.ru",
"89166788776",
"romanov.a"
],
"id": "9186db972bafeafed6411ab644d0313bb1def204"
}
},
"_calculation": {
"host": "ADM-WS-001",
"category": "added-user-account"
}
}
}