Перейти к основному содержимому
Версия: 4.0

Словарь

Вычисляет список характерных для объекта действий и связей с другими объектами. Используется для обнаружения аномалий, таких как:

  • пользователь впервые подключается к оборудованию
  • подключение к VPN выполняется из нестандартной страны
  • пользователь впервые произвел операцию управления учетной записью.

Описание алгоритма

  1. К данным индексов источников применяется общий и временной фильтры.

  1. Каждая запись данных приводится к общему виду согласно настройкам обрабатываемых полей.
  2. Извлекаются уникальные сочетания значений обрабатываемых полей.

Входные параметры

  • Фильтр - общий фильтр источников.
  • Индекс для результатов - индекс в который записываются результаты выполнения.
  • Обрабатываемые поля - маппинг полей источников на поля результата.
    • Название - название поля в результате.
    • Шаблон индекса / Название поля в источнике - список шаблонов индексов и соответствующих полей в них, которые будут извлекаться в результат.

Входные данные

Входные данные определяются индексами и временным интервалом в общих настройках.

Выходные данные

В результате выполнения алгоритма в индексе результатов появляется несколько записей. Каждая запись содержит одно из уникальных сочетаний значений обрабатываемых полей. Записи объединяются идентификатором запуска _meta.execution.id.

  • _meta.calculation.id - идентификатор настройки алгоритма в политике профилирования.
  • _meta.calculation.type - тип алгоритма.
  • _meta.execution.start_time - время запуска политики профилирования.
  • _meta.execution.id - идентификатор запуска политики профилирования.
  • _meta.object.identity - массив идентификаторов UBA объекта.
  • _meta.object.id - технический идентификатор UBA объекта.
  • _calculation - результат выполнения алгоритма (для алгоритма "Словарь" содержит несколько записей с уникальным сочетанием значений обрабатываемых полей).
Пример json-объекта результата
{
  "_index": "dictionary_policy",
  "_id": "myf8iI4BcPwD44zSs6V5",
  "_score": 1,
  "_source": {
    "_meta": {
      "calculation": {
        "id": "CHTFCY4BcWd59cXv1lGV",
        "type": "dictionary"
      },
      "execution": {
        "start_time": "2024-03-29T06:54:06.000Z",
        "id": "kyf8iI4BcPwD44zSsqWw"
      },
      "object": {
        "identity": [
          "romanov.a@volgablob.ru",
          "89166788776",
          "romanov.a"
        ],
        "id": "9186db972bafeafed6411ab644d0313bb1def204"
      }
    },
    "_calculation": {
      "host": "ADM-WS-001",
      "category": "added-user-account"
    }
  }
}