WebsiteLoginKostenloser TestzugangCommunity

Tracer

Machine Learning Models nutzt historische und aktuelle Daten, um in Echtzeit Muster zu erkennen sowie Abweichungen frühzeitig zu identifizieren.

Modelle

Die KI-Zeitreihe ermöglicht es, historische Datenströme mit aktuellen Aktivitäten in Echtzeit zu vergleichen, um Anomalien präzise zu erkennen. Durch diesen kontinuierlichen Abgleich identifiziert das Modell frühzeitig Abweichungen und stellt Muster fest, die auf potenzielle Sicherheitsrisiken hinweisen könnten. So können Alarme direkt mit auffälligem Verhalten verknüpft werden, was Ihre Reaktionszeiten deutlich verbessert. Zusätzlich lassen sich die gewonnenen Erkenntnisse über das SIEM-Cockpit anschaulich visualisieren, sodass Sie stets den Überblick über Ihre Sicherheitslage behalten und fundierte Anpassungen Ihrer Strategien vornehmen können. Das Potenzial der KI-Zeitreihe entfaltet sich also in höherer Proaktivität und Effizienz Ihres gesamten SIEM-Systems.

In der Übersicht finden Sie alle bisher erstellten Modelle in einer Ansicht gesammelt.

Model hinzufügen

Gehen Sie in die Tracer Übersicht und klicken Sie auf „+Model hinzufügen“. Sie gelangen in die folgende Ansicht:

Stellen Sie sicher, dass Ihrem Modell mindestens 7 Tage Trainingsdaten zur Verfügung stehen. Das System analysiert Muster stündlich, täglich und wöchentlich – weniger Daten führen zu unzuverlässigen Prognosen und häufigen Fehlalarmen.

  1. Name Vergeben Sie einen eindeutigen Namen.

  2. Beschreibung Geben Sie eine kurze Beschreibung Ihres Models ein.

  3. Stream Der Stream legt fest, welche auf Basis welcher Daten das Model seine Analyse durchführt. Klicken Sie auf das Symbol in der rechten Ecke des Feldes, um einen Event Stream auszuwählen. Wählen Sie aus der Ansicht einen gewünschten Stream aus. Nutzen Sie das obere Reiter, um zwischen „Verwaltete Event-Streams“ und „Deine Event-Streams“ zu wechseln:

    1. Verwaltete Event-Streams Verwaltete Event-Streams werden vom System automatisch bereitgestellt und enthalten vorkonfigurierte Datenquellen, Parser und Standardfelder. Sie dienen als Grundlage für zentrale Analysen und Modelle und können in ihrer Struktur nicht verändert werden. Klicken Sie auf eine Sammlung, um sich alle Streams dieser anzeigen zu lassen. Wählen Sie anschließend einen Eintrag aus.

    2. Deine Event-Streams Eigene Event-Streams werden manuell erstellt und ermöglichen eine individuelle Konfiguration von Filtern, Quellen und Feldern. Sie eignen sich zur gezielten Aufbereitung und Analyse spezifischer Logdaten für benutzerdefinierte Anwendungsfälle. Klicken Sie auf einen der aufgeführten Streams, um diesen auszuwählen.

  4. Feld hinzufügen Das Quellfeld bestimmt, welches Attribut innerhalb der durch den Stream eingehenden Daten analysiert wird. Klicken Sie auf „+Feld hinzufügen“, um dem Model ein Quellfeld hinzuzufügen.

    1. Aggregator Der Aggregator stellt die Berechnungsmethode für das im Folgenden festzulegende Quellfeld dar. Wählen Sie aus den Optionen:

      1. Durchschnitt Berechnet den Mittelwert aller Werte des Quellfelds im definierten Zeitintervall.

      2. Minimum Ermittelt den kleinsten erfassten Wert innerhalb des Intervalls.

      3. Maximum Ermittelt den größten erfassten Wert innerhalb des Intervalls.

      4. Summe Addiert alle Werte des Quellfelds im jeweiligen Zeitintervall.

      5. Eindeutige Werte Zählt, wie viele unterschiedliche Werte des Quellfelds vorkommen.

      6. Anzahl der Werte Zählt die Gesamtanzahl aller Einträge des Quellfelds, unabhängig vom Wert selbst.

        Je nach Datentyp des gewählten Quellfelds sind nicht alle Aggregatoren sinnvoll oder verfügbar. Numerische Felder eignen sich z. B. für Durchschnitts- oder Summenberechnungen, während Textfelder meist nur für eindeutige oder gezählte Werte genutzt werden können.

    2. Quellfeldname Der Quellfeldname bestimmt, auf welches Feld des ausgewählten Streams die Aggregation angewendet wird. Das Model wertet dieses Feld aus, um daraus die gewünschte Metrik (z. B. Anzahl, Summe oder Durchschnitt) zu berechnen.

      Wählen Sie ein Feld, das für die gewünschte Analyse geeignet ist. Für numerische Berechnungen (z. B. Durchschnitt, Summe) sollte das Quellfeld numerische Werte enthalten, für Zählungen oder eindeutige Werte können auch Textfelder verwendet werden.

  5. Graph Der dargestellte Graph visualisiert den zeitlichen Verlauf der aggregierten Datenpunkte und reagiert in Echtzeit auf Änderungen in der Konfiguration. Anpassungen an Stream, Quellfeld, Aggregator oder Start- sowie Endzeitpunkt der Betrachtung werden sofort in der Darstellung aktualisiert.

  6. Erweiterte Einstellungen Sie finden den Button „Erweiterte Einstellungen“ am oberen rechten Bildschirmrand. Klicken Sie diesen an, um das Model tiefergreifend zu individualisieren.

    1. Enabled Ihr KI-Modul ist per default aktiviert. Möchten Sie dies nicht, so entfernen Sie einfach den Haken.

    2. Zeitreihenverlauf

      1. Bucket Size Legt fest, über welchen Zeitraum Datenpunkte zu einem Aggregat zusammengefasst werden. Eine kleinere Bucket-Größe ermöglicht feinere Analysen, während größere Intervalle glattere, aber weniger detaillierte Zeitverläufe ergeben.

      2. Schwellwert zur Anomalieerkennung Definiert das Quantil, ab dem eine Abweichung als Anomalie gilt. Ein niedrigerer Wert macht das Modell empfindlicher, ein höherer Wert reduziert Fehlalarme.

      3. Karenzverzögerung Bestimmt die Zeitspanne, die nach einem Ereignis vergeht, bevor eine Analyse oder Aktion ausgeführt wird. Dies hilft, kurzfristige Schwankungen zu ignorieren und Fehlalarme zu vermeiden.

    3. Zeitreihenschwankung

      1. Bucket Size Gibt an, in welchen Zeitintervallen Schwankungen innerhalb der Zeitreihe analysiert werden. Kleinere Intervalle reagieren schneller, größere glätten den Verlauf.

      2. Schwellwert zur Anomalieerkennung Legt fest, ab welcher Abweichung von der erwarteten Schwankung eine Anomalie erkannt wird. Der Wert wird als Prozentangabe des berechneten Referenzbereichs interpretiert.

      3. Karenzverzögerung Definiert, wie lange nach einer erkannten Schwankung gewartet wird, bevor eine neue Analyse oder Aktion ausgelöst wird. So werden kurzzeitige Hoch- oder Tiefpunkte herausgefiltert.

    4. Erweiterte Einstellungen speichern Klicken Sie auf den Button „Übernehmen“, um Ihre Konfiguration zu speichern.

  7. Model hinzufügen Speichern Sie das Model, mit den gewünschten Konfigurationen ab. Klicken Sie hierfür auf den Button „Model hinzufügen“.

Je nach Menge der zu überwachenden Daten kann es einige Zeit dauern, bis Ihr nun konfiguriertes Modell erstellt ist.

Model Detailansicht

Klicken Sie auf ein Modell in der Übersicht, um zur Detailansicht zu gelangen.

Neben allgemeinen Informationen finden Sie dort die Registerkarten „Graph“ und „Anomalien“, die detaillierte Einblicke in die Ergebnisse des Modells bieten:

Graphs

Zeitreihenverlauf

Diese Ansicht zeigt den Verlauf der überwachten Metrik im Zeitverlauf. Die Linie stellt den gemessenen Wert dar, während der hervorgehobene Bereich das Konfidenzintervall, d. h. den erwarteten Wertebereich, angibt. Abweichungen außerhalb dieses Bereichs werden als potenzielle Anomalien identifiziert. Die Bezeichnung „Retrain“ markiert den Zeitpunkt, zu dem das Modell neu trainiert wurde, um aktuelle Datenmuster zu berücksichtigen.

Klicken Sie auf „Details anzeigen“, um zusätzliche Zeitreihen für Standardabweichung und Bewertung anzuzeigen:

  • Standard Abweichung Zeigt an, wie stark einzelne Werte innerhalb eines Zeitintervalls vom erwarteten Durchschnitt abweichen. Eine hohe Standardabweichung deutet auf unregelmäßiges oder ungewöhnliches Verhalten der überwachten Metrik hin.

  • Score Stellt den Anomaliewert dar, der die Kritikalität der erkannten Abweichung bewertet. Die angezeigten Schwellenwerte (Niedrig, Mittel, Hoch, Kritisch) geben den Wert an, bei dem eine Anomalie als relevant eingestuft wird.

Zeitreihenvariation

Diese Ansicht zeigt die Varianz oder Schwankung der überwachten Metrik. Sie zeigt, wie stark die Werte innerhalb eines Zeitintervalls vom erwarteten Durchschnitt abweichen. Auch hier markiert das Konfidenzintervall den erwarteten Schwankungsbereich, und die Nachschulungszeit signalisiert eine Aktualisierung des Modells zur Verbesserung der Erkennungsgenauigkeit.

Klicken Sie auf „Details anzeigen“, um zusätzliche Zeitreihen für Standardabweichung und Bewertung anzuzeigen:

  • Standard Abweichung Zeigt an, wie stark einzelne Werte innerhalb eines Zeitintervalls vom erwarteten Durchschnitt abweichen. Eine hohe Standardabweichung deutet auf unregelmäßiges oder ungewöhnliches Verhalten der überwachten Metrik hin.

  • Score Stellt den Anomaliewert dar, der die Kritikalität der erkannten Abweichung bewertet. Die angezeigten Schwellenwerte (Niedrig, Mittel, Hoch, Kritisch) geben den Wert an, bei dem eine Anomalie als relevant eingestuft wird.

Anomalien

Auf der Registerkarte „Anomalien“ werden alle vom Tracer-Modell erkannten Abweichungen aufgelistet, die außerhalb des erwarteten Wertebereichs liegen. Jede Anomalie enthält Informationen zu Schweregrad, Quelle sowie Start- und Endzeitpunkt der erkannten Abweichung.

  • Schweregrad Gibt die Einstufung der Anomalie an (z. B. Niedrig, Mittel, Hoch, Kritisch). Diese basiert auf dem berechneten Anomaliewert und den im Modell definierten Schwellenwerten. Klicken Sie auf das Filtersymbol neben der angegebenen Schwere, um einen Filter für Einträge mit derselben Eigenschaft festzulegen.

  • Quelle Gibt den Analysebereich an (z. B. Zeitreihenschwankung oder Zeitreihenverlauf), in dem die Abweichung festgestellt wurde.

  • Start Datum/End Datum Zeigt den genauen Zeitraum an, in dem die Anomalie aufgetreten ist.

Modell bearbeiten

Klicken Sie in der Übersicht auf ein Modell, um zur Detailansicht zu gelangen. In der oberen Menüleiste können Sie die erweiterten Einstellungen sowie die Start- und Endzeiten für Ihr Modell anpassen. Befolgen Sie dazu diese Anweisungen:

Erweiterte Einstellungen

Sie finden den Button „Erweiterte Einstellungen“ am oberen rechten Bildschirmrand. Klicken Sie diesen an, um das Model tiefergreifend zu individualisieren.

  1. Enabled Ihr KI-Modul ist per default aktiviert. Möchten Sie dies nicht, so entfernen Sie einfach den Haken.

  2. Zeitreihenverlauf

    1. Bucket Size Legt fest, über welchen Zeitraum Datenpunkte zu einem Aggregat zusammengefasst werden. Eine kleinere Bucket-Größe ermöglicht feinere Analysen, während größere Intervalle glattere, aber weniger detaillierte Zeitverläufe ergeben.

    2. Schwellwert zur Anomalieerkennung Definiert das Quantil, ab dem eine Abweichung als Anomalie gilt. Ein niedrigerer Wert macht das Modell empfindlicher, ein höherer Wert reduziert Fehlalarme.

    3. Karenzverzögerung Bestimmt die Zeitspanne, die nach einem Ereignis vergeht, bevor eine Analyse oder Aktion ausgeführt wird. Dies hilft, kurzfristige Schwankungen zu ignorieren und Fehlalarme zu vermeiden.

  3. Zeitreihenschwankung

    1. Bucket Size Gibt an, in welchen Zeitintervallen Schwankungen innerhalb der Zeitreihe analysiert werden. Kleinere Intervalle reagieren schneller, größere glätten den Verlauf.

    2. Schwellwert zur Anomalieerkennung Legt fest, ab welcher Abweichung von der erwarteten Schwankung eine Anomalie erkannt wird. Der Wert wird als Prozentangabe des berechneten Referenzbereichs interpretiert.

    3. Karenzverzögerung Definiert, wie lange nach einer erkannten Schwankung gewartet wird, bevor eine neue Analyse oder Aktion ausgelöst wird. So werden kurzzeitige Hoch- oder Tiefpunkte herausgefiltert.

  4. Erweiterte Einstellungen speichern Klicken Sie auf den Button „Übernehmen“, um Ihre Konfiguration zu speichern.

Start- und Endzeitpunkt

  1. Durch Anklicken der Button „Startzeitpunkt“ oder „Endzeitpunkt“ öffnet sich ein Fenster zur manuellen Auswahl des Analysezeitraums. Hier können Sie den Zeitraum festlegen, über den die zugrunde liegenden Daten betrachtet oder berechnet werden sollen.

    1. Relativer Zeitraum Ein relativer Zeitraum bezieht sich dynamisch auf den aktuellen Zeitpunkt, z. B. letzte 24 Stunden oder letzte 7 Tage. Der betrachtete Zeitraum verschiebt sich automatisch mit fortlaufender Zeit.

      1. Geben Sie eine Zahl ein und bestimmen Sie im Folgenden den Zeitraum.

      2. Klicken Sie auf das Pfeil Symbol, um aus den bereitstehenden Optionen zu wählen:

        1. Sekunden zuvor

        2. Minuten zuvor

        3. Stunden zuvor

        4. Tage zuvor

        5. Wochen zuvor

    2. Vorlagen Nutzen Sie die Vorlagen, um einen relativen Zeitraum aus den Optionen auszuwählen:

      1. 1 Tag zuvor

      2. 7 Tage zuvor

      3. 14 Tage zuvor

      4. 30 Tage zuvor

    3. Absoluter Zeitraum Ein absoluter Zeitraum ist fest definiert, z. B. vom 01.10.2025 bis zum aktuellen Zeitpunkt. Er bleibt unverändert und bezieht sich immer auf genau diesen Zeitraum.

      1. Kalender

        1. Nutzen Sie die Pfeile, um sich durch die Monate und Jahre zu navigieren.

        2. Klicken Sie anschließend auf das gewünschte Datum.

      2. Uhrzeit

        1. Klicken Sie auf den Button „Uhrzeit“. Es öffnet sich das folgende Fenster:

        2. Durch Klick auf die digital angezeigte Stunden- bzw. Minutenanzeige, wechseln Sie zwischen den Anzeigen und können somit gezielt Stunde oder Minute im Folgenden definieren.

        3. Klicken Sie anschließend auf der dargestellten Uhr auf die gewünschte Minute bzw. Stunden.

        4. Klicken Sie anschließend auf Übernehmen, um die Konfiguration für Ihr Model zu speichern.Die Erstellung Ihres nun konfigurierten Modells bedarf je nach einzuspeisender Datenmenge einige Zeit.

VorherigeSecurity Orchestration (SOAR)NächsteAlarme

Zuletzt aktualisiert

War das hilfreich?