KI-Modelle
Machine Learning Models nutzt historische und aktuelle Daten, um in Echtzeit Muster zu erkennen sowie Abweichungen frühzeitig zu identifizieren.
Last updated
Machine Learning Models nutzt historische und aktuelle Daten, um in Echtzeit Muster zu erkennen sowie Abweichungen frühzeitig zu identifizieren.
Last updated
Die KI-Zeitreihe ermöglicht es, historische Datenströme mit aktuellen Aktivitäten in Echtzeit zu vergleichen, um Anomalien präzise zu erkennen. Durch diesen kontinuierlichen Abgleich identifiziert das Modell frühzeitig Abweichungen und stellt Muster fest, die auf potenzielle Sicherheitsrisiken hinweisen könnten. So können Alarme direkt mit auffälligem Verhalten verknüpft werden, was Ihre Reaktionszeiten deutlich verbessert. Zusätzlich lassen sich die gewonnenen Erkenntnisse über das SIEM-Cockpit anschaulich visualisieren, sodass Sie stets den Überblick über Ihre Sicherheitslage behalten und fundierte Anpassungen Ihrer Strategien vornehmen können. Das Potenzial der KI-Zeitreihe entfaltet sich also in höherer Proaktivität und Effizienz Ihres gesamten SIEM-Systems.
In der Übersicht finden Sie alle bisher erstellten Modelle in einer Ansicht gesammelt.
Wechseln Sie unter SIEM in das Modul „Models“, klicken Sie hier auf Modell hinzufügen, um ein neues Modell zu erstellen.
Vergeben Sie einen Namen und eine kurze Beschreibung.
Wählen Sie den passenden Stream für Ihr Modell aus. Sollten Sie keinen Stream wählen so wird die Anzahl aller einkommenden Logs im Zeitreihenmodell dargestellt.
Anschließend haben Sie die Möglichkeit ein Quellfeld festzulegen, um Ihr Modell spezifischer zu gestalten.
Wählen Sie nun unter den zur Verfügung stehenden Aggregatoren einen passenden aus. Hier haben Sie die Wahl aus:
Durchschnitt
Minimum
Maximum
Summe
Eindeutige Werte
Anzahl der Werte
Ihr KI-Modul ist per default aktiviert. Möchten Sie dies nicht, so entfernen Sie einfach den Haken.
Möchten Sie weitere Einstellungen durchführen, klicken Sie in der Kopfleiste auf „Erweiterte Einstellungen“. Wählen Sie Intervall, um Daten direkt bei ihrem Eintreffen zu erfassen, oder Varianz, um Zahlenfelder analysieren zu lassen.
Definieren Sie die Bucket Size, diese gibt die Zeitspanne an, in welcher Datenpunkte zu einem Bucket zusammen aggregiert werden.
Unter Threshold legen Sie einen Grenzbereich fest, ab dem eine bestimmte Aktion ausgelöst wird. Dieser Bereich hilft dabei, Anomalien zu erkennen, indem er festlegt, wann Werte als ungewöhnlich gelten.
Das Delay bestimmt, wie lange nach einem bestimmten Ereignis gewartet wird, bevor eine Analyse oder Aktion gestartet wird. Dies hilft, Rauschen oder Fehlalarme zu minimieren.
Die Erstellung Ihres nun konfigurierten Modells bedarf je nach einzuspeisender Datenmenge einige Zeit.
Stellen Sie sicher, dass Ihrem Modell mindestens 7 Tage Trainingsdaten zur Verfügung stehen. Das System analysiert Muster stündlich, täglich und wöchentlich – weniger Daten führen zu unzuverlässigen Prognosen und häufigen Fehlalarmen.
