以 SMART 方式检测异常
检测异常用户行为很难。真的很难。在 Fortscale,我们展示了使用正确的工具,这是可行的。
来源:Another Datum这篇文章最初由我发表在 Fortscale 博客上。Fortscale 的产品通过检测异常用户行为帮助组织消除内部威胁。
这篇文章最初由我发表在 Fortscale 博客上。 Fortscale 博客 Fortscale 的产品通过检测异常用户行为帮助组织消除内部威胁。检测异常用户行为很难。真的很难。在 Fortscale,我们表明,只要使用正确的工具,这是可行的。我们的数据科学团队开发了一套基于自调整机器学习的算法,旨在做到这一点。虽然这些算法可能很难理解,但它们的基本机制很容易理解。
fortscale 产品包含许多模型,每个模型捕获不同的用户行为方面,例如典型工作时间、用户通常连接的机器、用户连接的城市等。如果用户在某些方面执行异常活动,相关模型将触发此活动的高风险评分。这些风险评分用作创建指示可疑活动的高级警报的基础。
我们可以天真地说,如果在整个活动中触发的风险评分总和足够高,就会为特定活动创建警报。但什么是“足够”?风险评分 80?90?如果我们将阈值设置得太低,就会出现太多警报,其中大多数将是误报。另一方面,如果阈值太高,我们将错过潜伏在组织中的真正异常活动。这种阈值效应称为 ROC 曲线。
ROC 曲线我们可以努力估计阈值应该是多少,但这毫无希望;因为每个组织根据活动水平都有不同的合适阈值。
喊狼来了的用户 实际上故事中唯一的漏洞是如何自动得出用户的阈值?我将把技术细节留到以后的帖子中,现在只给出一个预告片。
纸牌