Поведенческая модель
Раздел "Поведенческая модель" предназначен для анализа поведенческих аномалий пользователей баз данных. Система автоматически отслеживает отклонения от типичного поведения и формирует события безопасности.
Доступ к разделу: Расследования → Поведенческая модель.
Описание
Поведенческая модель использует алгоритмы машинного обучения для построения профиля типичного поведения каждого пользователя БД. При обнаружении отклонений от нормы система генерирует события, которые могут указывать на:
- Компрометацию учетной записи
- Несанкционированный доступ
- Аномальную активность
- Нарушение политик безопасности
Графики
График событий
Временной график отображает количество поведенческих событий за выбранный период. Позволяет визуально оценить динамику аномалий и выявить всплески активности.
Период отображения:
- Выпадающий список позволяет выбрать период: День, Неделя, Месяц
Топ-10 событий
Круговая диаграмма показывает распределение событий по типам. Типы событий:
| Событие | Описание |
|---|---|
| Неактивная УЗ | Активность от учетной записи, которая долго не использовалась |
| Частые запросы к ПДн | Необычно частые обращения к персональным данным |
| Новый ПДн-объект | Обращение к новому объекту с персональными данными |
| Вне рабочих часов | Активность вне установленного рабочего времени |
| Всплеск запросов | Аномальное увеличение количества запросов |
| Неудачные входы | Множественные неудачные попытки аутентификации |
| Новый хост | Подключение с нового IP-адреса или хоста |
| Утечка данных | Подозрение на утечку данных |
| Высокий уровень ошибок | Аномально высокий уровень ошибок в запросах |
| Активность в выходные | Активность в нерабочие дни |
| Необычное соотношение ч/з | Необычное соотношение чтения и записи |
| Сложные запросы | Выполнение необычно сложных запросов |
| Необычная длина сессии | Аномальная продолжительность сессии |
| Всплеск сессий | Аномальное увеличение количества сессий |
| Новое приложение | Подключение с ранее неизвестного приложения |
Топ-10 пользователей
Круговая диаграмма показывает пользователей с наибольшим количеством поведенческих событий. Помогает быстро идентифицировать учетные записи, требующие внимания.
Фильтрация
Панель фильтров позволяет находить события по различным критериям:
| Фильтр | Описание |
|---|---|
| Сервер БД | Фильтрация по IP-адресу или имени сервера |
| Экземпляр БД | Фильтрация по экземпляру базы данных |
| Порт | Фильтрация по порту подключения |
| Пользователь БД | Фильтрация по имени пользователя |
| Событие | Фильтрация по типу события |
| Улики | Поиск по связанным уликам |
| Дата события | Временной диапазон (от — до) |
Кнопки управления:
- Очистить — сброс примененных фильтров
- Применить — активация установленных критериев
Таблица событий
Таблица содержит детальную информацию о каждом событии:
| Колонка | Описание |
|---|---|
| Сервер БД | IP-адрес сервера базы данных |
| Экземпляр БД | Имя экземпляра базы данных |
| Порт | Порт подключения |
| Пользователь БД | Имя пользователя, вызвавшего событие |
| Событие | Тип поведенческого события |
| Дата события | Дата и время события |
| Количество | Количество срабатываний |
| Улики | Дополнительная информация (приложение, хост и др.) |
Типы событий в таблице
| Тип | Цвет | Описание |
|---|---|---|
| НОВОЕ ПРИЛОЖЕНИЕ | Оранжевый | Подключение с нового приложения |
| ЧАСТЫЕ ЗАПРОСЫ К ПДН | Красный | Аномально частые запросы к персональным данным |
| НЕАКТИВНАЯ УЗ | Синий | Активность от неактивной учетной записи |
| ВСПЛЕСК СЕССИЙ | Желтый | Резкое увеличение количества сессий |
Экспорт данных
Для экспорта событий доступны форматы:
- CSV — экспорт в CSV-файл
- PDF — экспорт в PDF-документ
Профиль поведенческой модели
При клике на строку в таблице событий открывается детальный профиль поведенческой модели для выбранной учетной записи.
Основная информация
| Поле | Описание |
|---|---|
| Пользователь БД | Имя пользователя базы данных |
| Сервер БД | IP-адрес сервера |
| Экземпляр БД | Имя экземпляра базы данных |
| Порт | Порт подключения |
| Стандартное рабочее время | Типичное время активности (например, "Круглосуточно") |
| Активность | Средняя активность пользователя (запросов в час) |
Терминалы в каталоге
Список терминалов (хостов), с которых пользователь подключается к базе данных. Отображаются идентификаторы терминалов. Ссылка "Смотреть больше" открывает полный список.
Топ приложений
Список приложений, которые пользователь использует для подключения к БД:
- Клиенты баз данных (например, sqlplus)
- Скрипты и утилиты (например, python)
- Другие приложения
Используемые ПДн объекты
Объекты с персональными данными, к которым обращается пользователь. Для каждого объекта отображается количество запросов.
Типы аномалий за 30 дней
Круговая диаграмма показывает распределение типов аномалий для данного пользователя за последние 30 дней:
- Неактивная УЗ
- Всплеск сессий
- Частые запросы к ПДн
- Новое приложение
- Новый хост
- Новый ПДн-объект
Количество аномалий за 30 дней
Временной график отображает динамику количества аномалий по дням за последние 30 дней. Позволяет выявить периоды повышенной аномальной активности.
Последние аномалии по учетной записи
Таблица с последними событиями для данного пользователя. Содержит те же колонки, что и основная таблица событий:
- Сервер БД
- Экземпляр БД
- Порт
- Пользователь БД
- Событие
- Дата события
- Количество
- Улики
Поведенческая модель обучается на исторических данных и со временем повышает точность обнаружения аномалий.