Anexo - AvantIntel v2.7.3

Anexo - AvantIntel
Soluções de Vanguarda em Segurança da Informação
Sumário
Conteúdo
Sumário 2
1. Introdução 3
2. Sobre 4
3. Instalação 6
Pré-requisitos 6
Scripts 6
Templates 7
4. Utilização 8
5. Testando 11
2 Anexo – AvantIntel – V 2.7.3

1. Introdução
O AvantIntel é o módulo de inteligência artificial para identificação de
padrões, anomalias comportamentais de entidades, como por exemplo, usuários,
endereços, dispositivos ou qualquer elemento analisado, além de possibilitar a
predição de eventos temporais, baseado na análise de dados históricos. Desta
forma, é possível gerar alertas ou ou ainda tomar ações corretivas quando for
reconhecido um desvio de padrão comportamental de um elemento individual ou
de grupos específicos, reconhecido de uma base de milhares de entidades
analisadas.
3 Anexo - AvantIntel – V 2.7.3

2. Sobre
Com o objetivo de detectar anomalias, o AvantIntel utiliza 3 algoritmos para
identificar irregularidades em 5 diferentes conjuntos de parâmetros.
Algoritmos utilizados:
• KNN (K-ésimo Vizinho mais Próximo)

• CBLOF (Fator Outlier Local Baseado em Clustering)
• PCA (Análise de Componentes Principais)
Conjuntos de modelos padrões:
• ED (Domínio Externo)
• SLBDW (Logins Suspeitos por Dia da Semana)
• SLBH (Logins Suspeitos por Hora)
• SLBIA (Logins Suspeitos por Endereço IP)
• SLBSN (Logins Suspeitos por Nome de Serviço)
• Outros modelos podem ser criados a partir dos exemplos acima.
A detecção de anomalias identifica itens ou eventos que são significativamente

diferentes da maioria dos dados. Portanto, com a finalidade de separar as
irregularidades, primeiramente os dados são coletados e separados em 5
conjuntos de parâmetros por meio de uma baseline, consequentemente
modelos são criados a partir de um fit e por fim a detecção de anomalias é
efetivada pelo predict.

As etapas de funcionamento podem ser visualizadas pelo seguinte diagrama:

3. Instalação
O procedimento de instalação consiste no envio dos arquivos do AvantIntel
para o AvantData e na verificação dos pré-requisitos.
Pré-requisitos
• Ter o serviço do RA2D ativado

o Para verificar: avantsystem$ systemctl -l status ra2d
• Ter as entradas relacionadas ao modelo já definidas e recebendo, com
dados suficientes no índice para formar uma amostra que possibilite a
criação da baseline e o reconhecimento de padrões;
Scripts
Os scripts disponibilizados na área de scripts (Baseline_Main.py, Fit_Main.py e
Predict_Main.py) devem ser enviados para o ambiente de execução de scripts
do AvantData.
Para enviar, vá em Configurações > Entrada de Dados > Scripts. Carregue

cada arquivo de uma vez no campo Entrada e ajuste a Frequência de execução
conforme o desejado.

Como a ordem de execução dos scripts deve ser Baseline_Main.py > Fit_Main.py
> Predict_Main.py, recomenda-se ajustar a Frequência seguindo a ordem
correta. Pode-se colocar, por exemplo, o baseline para ser executado em todo
minuto 0, o fit em todo minuto 5 e o predict em todo minuto 10. Favor atentar
ao volume de dados analisados e ao sizing do AvantData para a correta
definição do tempo de execução. Pode ser necessária a execução de
configurações de escalonamento do sistema para atender as demandas dos
modelos.
Templates
Os templates para cada item a ser tratado nas anomalias devem ser enviados
para o ambiente de templates dentro do AvantData.
Para enviar, vá em Configurações > Status. Clique com o botão direito em

cima de Template e consequentemente em +Novo Template. Adicione os
templates dentro da pasta templates, de acordo com os modelos que estão
sendo aplicados.
Atenção: A aplicação dos templates depende da correta definição dos tipos dos
campos, assim como da quantidade de shards primários e possíveis réplicas.

4. Utilização
Após o script de predição ser executado, os índices originais serão atualizados

com as informações de detecções das anomalias.
Utilizando como exemplo o índice

do AvantAgent, na busca
Índice='AvantAgent' CONTÉM='AvantIntel:*' os campos de Result, False
Negative e False Positive aparecerão para cada um dos 5 conjunto de
parâmetros analisados e para cada um dos 3 algoritmos.
Juntamente com os campos adicionados, um botão Anomalia é disponibilizado
para mudar manualmente o resultado, seguindo a tabela de cores:
Abaixo um exemplo de como a anomalia é identificada dentro de uma pesquisa

rápida:
No exemplo acima, o evento foi considerado uma anomalia por um dos

algorítmos usados na análise dos dados da amostra. Na expansão do compo result
é possível ter um visão rápida sobre os documentos da amostra, mostrando,

segundo o KNN, neste caso, quantos foram considerados anomalia (True) e

quantos foram considerados o comportamento normal (False).
Para redefinir manualmente os campos no botão Anomalia, basta

selecionar o modelo e o algoritmo, escolhendo se o resultado se enquadra em
um Falso Positivo ou um Falso Negativo. Os resultados mudados servirão
como uma classificação para enriquecer os próximos modelos a serem gerados.


5. Testando
Para testar o AvantIntel e descobrir erros de funcionamento, pode-se rodar os
scripts manualmente. Para isso, deve-se colocar os scripts em uma pasta local
e mudar o base_url para o endereço de funcionamento do AvantData
base_url = 'https://127.0.0.1'
scroll_time = '5m'
time_filter = '3M'
As configurações de scroll_time e time_filter são relativas ao tempo de

armazenameno dos dados em scroll e o espaço de tempo de busca nos índices.
As unidades de tempo são definidas conforme a tabela:
Baseline_Main.py
Primeiramente o arquivo Baseline_Main.py deve ser executado. A sua
execução gera os índices que serão utilizados posteriormente para produção
dos modelos e predição. Caso a execução seja bem sucedida, novos índices
contendo o nome dos templates serão adicionados:
Configurações > Status > Índices.

Fit_Main.py
Sendo Fit_Main.py o segundo arquivo a ser executado, deve gerar uma pasta
/ML contendo arquivos com a extensão .pkl. Produz arquivos contendo técnicas
de pré-processamento de dados, sendo um *_ordinalEncoder.pkl, um
*_standardscaler.pkl e um modelo *_estimator.pk para cada template e para
cada algoritmo.
Predict_Main.py
Como último arquivo a ser executado, o Predict_Main.py deve reindexar os
índices originais com os resultados e os falsos positivos contendo o valor de
True ou False.

Anexo - AvantIntel v2.7.3

Enviado por

Direitos autorais:

Formatos disponíveis

Anexo - AvantIntel v2.7.3

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Anexo - AvantIntel v2.7.3

Enviado por

Direitos autorais:

Formatos disponíveis

Anexo - AvantIntel

Soluções de Vanguarda em Segurança da Informação

2 Anexo – AvantIntel – V 2.7.3

3 Anexo - AvantIntel – V 2.7.3

• KNN (K-ésimo Vizinho mais Próximo)

Conjuntos de modelos padrões:

A detecção de anomalias identifica itens ou eventos que são significativamente

4 Anexo – AvantIntel – V 2.7.3

As etapas de funcionamento podem ser visualizadas pelo seguinte diagrama:

5 Anexo - AvantIntel – V 2.7.3

• Ter o serviço do RA2D ativado

Para enviar, vá em Configurações > Entrada de Dados > Scripts. Carregue

6 Anexo – AvantIntel – V 2.7.3

Para enviar, vá em Configurações > Status. Clique com o botão direito em

7 Anexo - AvantIntel – V 2.7.3

Após o script de predição ser executado, os índices originais serão atualizados

Utilizando como exemplo o índice

Abaixo um exemplo de como a anomalia é identificada dentro de uma pesquisa

No exemplo acima, o evento foi considerado uma anomalia por um dos

8 Anexo – AvantIntel – V 2.7.3

segundo o KNN, neste caso, quantos foram considerados anomalia (True) e

Para redefinir manualmente os campos no botão Anomalia, basta

9 Anexo - AvantIntel – V 2.7.3

10 Anexo – AvantIntel – V 2.7.3

As configurações de scroll_time e time_filter são relativas ao tempo de

Configurações > Status > Índices.

11 Anexo - AvantIntel – V 2.7.3

12 Anexo – AvantIntel – V 2.7.3

Você também pode gostar