导航
智能分析
最近更新时间:2023.11.30 19:56:57首次发布时间:2023.11.30 19:45:28
智能分析是指系统可以学习用户的数据库操作习惯,通过对用户操作所涉及的IP、客户端操作工具等信息进行统计分析,可对异常行为进行告警。
配置行为模型学习任务
行为模型学习任务是指系统对用户访问数据库的行为进行自学习,对用户行为所涉及到的资产IP、数据库用户名、客户端工具等信息进行汇总统计。添加行为模型学习任务的操作方法如下:
- 在菜单栏选择“智能分析行为模型”,选择任务配置页签,点击【添加】。
- 进入行为模型学习配置页面,编辑相关信息,点击【开始学习】。
- 如需配置其他更多信息,可点击【更多配置】,填写学习范围(IP)。
详细配置请参见下表。
配置项 | 说明 |
|---|---|
资产 | 选择已添加的资产。可通过名称、IP等关键字搜索资产,从而实现快速选择。 |
学习维度 | 指定行为模型引擎所学习(即统计分析)的维度,包括客户端工具名、数据库用户名、客户端IP、操作系统用户名、客户端主机名、数据库名、数据库的操作类型、服务端IP、表对象。 |
学习截止时间 | 行为模型学习任务的学习截止时间。 |
告警等级 | 包括不告警、低风险、中风险、高风险告警,默认为低风险告警。 |
学习范围(IP) | 行为模型引擎学习客户端IP的范围。支持以下三种填写格式:
|
模型学习趋势图
在行为模型页面,可对已添加的学习任务进行管理。点击模型数量对应的数字可以查看行为模型学习的趋势图。
结束学习
点击学习任务列表操作列下的【结束学习】后,该资产新产生的审计日志会根据学习的内容进行匹配,在学习到的模型之外的审计日志会根据配置的告警等级,不产生或者产生对应告警等级的行为模型告警。
已经结束学习的学习任务,点击点击学习任务列表操作列下的【重新学习】可重新配置行为模型学习任务。
点击学习任务列表操作列下的点击【修改告警等级】可设置行为模型之外的审计日志不告警或者产生对应的告警等级的告警。
模型查询
- 在行为模型学习任务列表中点击资产名链接或者选择模型查询页签再选择资产。
- 进入模型查询页面,默认出现该资产学习行为发分析结果,可以选择筛选条件(如“客户端工具”等),点击【分析】下方会显示对应的分析结果。点击分析结果图中的节点,查看该节点关联的详细信息。
- 设置查询条件(如客户端工具等),点击【搜索】即可查询相关行为模型信息。