ProHoster > blog > berita internet > Pasar UEBA sudah mati - umur panjang UEBA

Pasar UEBA sudah mati - umur panjang UEBA

Pasar UEBA sudah mati - umur panjang UEBA

Hari ini kami akan memberikan gambaran singkat tentang pasar Analisis Perilaku Pengguna dan Entitas (UEBA) berdasarkan yang terbaru penelitian Gartner. Pasar UEBA berada di bagian bawah “tahap kekecewaan” menurut Gartner Hype Cycle for Threat-Facing Technologies, yang menunjukkan kematangan teknologi. Namun paradoks dari situasi ini terletak pada pertumbuhan umum investasi dalam teknologi UEBA dan hilangnya pasar solusi UEBA independen. Gartner memperkirakan bahwa UEBA akan menjadi bagian dari fungsionalitas solusi keamanan informasi terkait. Istilah "UEBA" kemungkinan besar tidak lagi digunakan dan digantikan oleh akronim lain yang berfokus pada area aplikasi yang lebih sempit (misalnya, "analisis perilaku pengguna"), area aplikasi serupa (misalnya, "analisis data"), atau sekadar menjadi semacam kata kunci baru (misalnya, istilah "kecerdasan buatan" [AI] terlihat menarik, meskipun tidak masuk akal bagi produsen UEBA modern).

Temuan utama dari studi Gartner dapat diringkas sebagai berikut:

  • Kematangan pasar analisis perilaku pengguna dan entitas dikonfirmasi oleh fakta bahwa teknologi ini digunakan oleh segmen korporasi menengah dan besar untuk memecahkan sejumlah masalah bisnis;
  • Kemampuan analitik UEBA dibangun dalam berbagai teknologi keamanan informasi terkait, seperti broker keamanan akses cloud (CASB), sistem SIEM tata kelola dan administrasi identitas (IGA);
  • Kehebohan seputar vendor UEBA dan penggunaan istilah “kecerdasan buatan” yang salah mempersulit pelanggan untuk memahami perbedaan nyata antara teknologi produsen dan fungsionalitas solusi tanpa melakukan proyek percontohan;
  • Pelanggan mencatat bahwa waktu implementasi dan penggunaan solusi UEBA sehari-hari bisa lebih padat karya dan memakan waktu daripada yang dijanjikan pabrikan, bahkan ketika hanya mempertimbangkan model deteksi ancaman dasar. Menambahkan kasus penggunaan khusus atau edge bisa jadi sangat sulit dan memerlukan keahlian dalam ilmu data dan analitik.

Perkiraan perkembangan pasar strategis:

  • Pada tahun 2021, pasar untuk sistem analisis perilaku pengguna dan entitas (UEBA) tidak akan lagi ada sebagai area terpisah dan akan beralih ke solusi lain dengan fungsi UEBA;
  • Pada tahun 2020, 95% dari seluruh penerapan UEBA akan menjadi bagian dari platform keamanan yang lebih luas.

Definisi solusi UEBA

Solusi UEBA menggunakan analitik bawaan untuk mengevaluasi aktivitas pengguna dan entitas lain (seperti host, aplikasi, lalu lintas jaringan, dan penyimpanan data).
Mereka mendeteksi ancaman dan potensi insiden, biasanya mewakili aktivitas anomali dibandingkan dengan profil standar dan perilaku pengguna dan entitas dalam grup serupa selama periode waktu tertentu.

Kasus penggunaan yang paling umum di segmen perusahaan adalah deteksi dan respons ancaman, serta deteksi dan respons terhadap ancaman orang dalam (kebanyakan orang dalam yang disusupi; terkadang penyerang internal).

UEBA itu seperti keputusanDan fungsi, dibangun ke dalam alat khusus:

  • Solusinya adalah produsen platform UEBA “murni”, termasuk vendor yang juga menjual solusi SIEM secara terpisah. Berfokus pada berbagai masalah bisnis dalam analisis perilaku pengguna dan entitas.
  • Tertanam – Produsen/divisi yang mengintegrasikan fungsi dan teknologi UEBA ke dalam solusi mereka. Biasanya berfokus pada serangkaian masalah bisnis yang lebih spesifik. Dalam hal ini, UEBA digunakan untuk menganalisis perilaku pengguna dan/atau entitas.

Gartner memandang UEBA dalam tiga sumbu, termasuk pemecah masalah, analitik, dan sumber data (lihat gambar).

Pasar UEBA sudah mati - umur panjang UEBA

Platform UEBA "murni" versus UEBA bawaan

Gartner menganggap platform UEBA “murni” sebagai solusi yang:

  • memecahkan beberapa masalah spesifik, seperti memantau pengguna yang memiliki hak istimewa atau mengeluarkan data di luar organisasi, dan bukan hanya “pemantauan aktivitas pengguna yang anomali” secara abstrak;
  • melibatkan penggunaan analisis yang kompleks, yang harus didasarkan pada pendekatan analitis dasar;
  • memberikan beberapa opsi untuk pengumpulan data, termasuk mekanisme sumber data bawaan dan dari alat manajemen log, sistem Data lake dan/atau SIEM, tanpa perlu mengerahkan agen terpisah di infrastruktur;
  • dapat dibeli dan diterapkan sebagai solusi yang berdiri sendiri, bukan disertakan di dalamnya
    komposisi produk lainnya.

Tabel di bawah membandingkan kedua pendekatan tersebut.

Tabel 1. Solusi UEBA “murni” vs solusi bawaan

Kategori Platform UEBA "murni". Solusi lain dengan UEBA bawaan
Masalah yang harus dipecahkan Analisis perilaku dan entitas pengguna. Kurangnya data mungkin membatasi UEBA untuk menganalisis perilaku pengguna atau entitas saja.
Masalah yang harus dipecahkan Berfungsi untuk memecahkan berbagai macam masalah Mengkhususkan diri dalam serangkaian tugas terbatas
Analytics Deteksi anomali menggunakan berbagai metode analisis - terutama melalui model statistik dan pembelajaran mesin, bersama dengan aturan dan tanda tangan. Dilengkapi dengan analitik bawaan untuk membuat dan membandingkan aktivitas pengguna dan entitas dengan profil mereka dan kolega. Mirip dengan UEBA murni, namun analisis dapat dibatasi pada pengguna dan/atau entitas saja.
Analytics Kemampuan analitis tingkat lanjut, tidak hanya dibatasi oleh aturan. Misalnya, algoritma clustering dengan pengelompokan entitas yang dinamis. Mirip dengan UEBA “murni”, namun pengelompokan entitas dalam beberapa model ancaman tertanam hanya dapat diubah secara manual.
Analytics Korelasi aktivitas dan perilaku pengguna dan entitas lain (misalnya, menggunakan jaringan Bayesian) dan agregasi perilaku risiko individu untuk mengidentifikasi aktivitas anomali. Mirip dengan UEBA murni, namun analisis dapat dibatasi pada pengguna dan/atau entitas saja.
Sumber data Menerima peristiwa pada pengguna dan entitas dari sumber data secara langsung melalui mekanisme bawaan atau penyimpanan data yang ada, seperti SIEM atau Data lake. Mekanisme perolehan data biasanya hanya bersifat langsung dan hanya berdampak pada pengguna dan/atau entitas lain. Jangan gunakan alat manajemen log/SIEM/Data lake.
Sumber data Solusinya tidak hanya mengandalkan lalu lintas jaringan sebagai sumber data utama, juga tidak hanya mengandalkan agennya sendiri untuk mengumpulkan telemetri. Solusinya hanya dapat fokus pada lalu lintas jaringan (misalnya, NTA - analisis lalu lintas jaringan) dan/atau menggunakan agennya pada perangkat akhir (misalnya, utilitas pemantauan karyawan).
Sumber data Menjenuhkan data pengguna/entitas dengan konteks. Mendukung pengumpulan peristiwa terstruktur secara real-time, serta data kohesif terstruktur/tidak terstruktur dari direktori TI - misalnya, Direktori Aktif (AD), atau sumber informasi lain yang dapat dibaca mesin (misalnya, database SDM). Mirip dengan UEBA murni, namun cakupan data kontekstual mungkin berbeda dari kasus ke kasus. AD dan LDAP adalah penyimpanan data kontekstual yang paling umum digunakan oleh solusi UEBA tertanam.
Ketersediaan Menyediakan fitur-fitur yang terdaftar sebagai produk mandiri. Tidak mungkin membeli fungsionalitas UEBA bawaan tanpa membeli solusi eksternal yang memuat fungsionalitas tersebut.
Sumber: Gartner (Mei 2019)

Jadi, untuk memecahkan masalah tertentu, UEBA yang tertanam dapat menggunakan analitik UEBA dasar (misalnya, pembelajaran mesin sederhana tanpa pengawasan), namun pada saat yang sama, karena akses ke data yang diperlukan, secara keseluruhan bisa lebih efektif daripada “murni” solusi UEBA. Pada saat yang sama, platform UEBA “murni”, seperti yang diharapkan, menawarkan analisis yang lebih kompleks sebagai pengetahuan utama dibandingkan dengan alat UEBA bawaan. Hasil ini dirangkum dalam Tabel 2.

Tabel 2. Hasil perbedaan antara UEBA “murni” dan bawaan

Kategori Platform UEBA "murni". Solusi lain dengan UEBA bawaan
Analytics Penerapan untuk memecahkan berbagai masalah bisnis menyiratkan serangkaian fungsi UEBA yang lebih universal dengan penekanan pada model analitik dan pembelajaran mesin yang lebih kompleks. Berfokus pada serangkaian masalah bisnis yang lebih kecil berarti fitur yang sangat terspesialisasi yang berfokus pada model spesifik aplikasi dengan logika yang lebih sederhana.
Analytics Kustomisasi model analitik diperlukan untuk setiap skenario aplikasi. Model analitik telah dikonfigurasikan sebelumnya untuk alat yang memiliki UEBA bawaan di dalamnya. Alat dengan UEBA bawaan umumnya mencapai hasil yang lebih cepat dalam memecahkan masalah bisnis tertentu.
Sumber data Akses ke sumber data dari seluruh penjuru infrastruktur perusahaan. Sumber data yang lebih sedikit, biasanya dibatasi oleh ketersediaan agen atau alat itu sendiri dengan fungsi UEBA.
Sumber data Informasi yang terkandung dalam setiap log mungkin dibatasi oleh sumber data dan mungkin tidak berisi semua data yang diperlukan untuk alat UEBA terpusat. Jumlah dan detail data mentah yang dikumpulkan oleh agen dan dikirimkan ke UEBA dapat dikonfigurasi secara spesifik.
Arsitektur Ini adalah produk UEBA yang lengkap untuk sebuah organisasi. Integrasi lebih mudah menggunakan kemampuan sistem SIEM atau Data lake. Memerlukan serangkaian fitur UEBA terpisah untuk setiap solusi yang memiliki UEBA bawaan. Solusi UEBA yang tertanam sering kali memerlukan instalasi agen dan pengelolaan data.
Integrasi Integrasi manual solusi UEBA dengan alat lain dalam setiap kasus. Memungkinkan organisasi untuk membangun tumpukan teknologinya berdasarkan pendekatan “yang terbaik di antara analog”. Kumpulan utama fungsi UEBA sudah disertakan dalam alat itu sendiri oleh pabrikan. Modul UEBA sudah terpasang dan tidak dapat dilepas, sehingga pelanggan tidak dapat menggantinya dengan milik mereka sendiri.
Sumber: Gartner (Mei 2019)

UEBA sebagai suatu fungsi

UEBA kini menjadi fitur solusi keamanan siber menyeluruh yang dapat memperoleh manfaat dari analisis tambahan. UEBA mendasari solusi ini, menyediakan lapisan analitik tingkat lanjut yang kuat berdasarkan pola perilaku pengguna dan/atau entitas.

Saat ini di pasaran, fungsionalitas UEBA bawaan diimplementasikan dalam solusi berikut, yang dikelompokkan berdasarkan cakupan teknologi:

  • Audit dan perlindungan yang berfokus pada data, adalah vendor yang fokus pada peningkatan keamanan penyimpanan data terstruktur dan tidak terstruktur (alias DCAP).

    Dalam kategori vendor ini, Gartner mencatat, antara lain, Platform keamanan siber Varonis, yang menawarkan analisis perilaku pengguna untuk memantau perubahan izin, akses, dan penggunaan data tidak terstruktur di berbagai penyimpanan informasi.

  • sistem CASB, menawarkan perlindungan terhadap berbagai ancaman dalam aplikasi SaaS berbasis cloud dengan memblokir akses ke layanan cloud untuk perangkat, pengguna, dan versi aplikasi yang tidak diinginkan menggunakan sistem kontrol akses adaptif.

    Semua solusi CASB yang memimpin pasar mencakup kemampuan UEBA.

  • Solusi DLP – berfokus pada pendeteksian transfer data penting ke luar organisasi atau penyalahgunaannya.

    Kemajuan DLP sebagian besar didasarkan pada pemahaman konten, dengan kurang fokus pada pemahaman konteks seperti pengguna, aplikasi, lokasi, waktu, kecepatan peristiwa, dan faktor eksternal lainnya. Agar efektif, produk DLP harus mengenali konten dan konteks. Inilah sebabnya mengapa banyak produsen mulai mengintegrasikan fungsionalitas UEBA ke dalam solusi mereka.

  • Pemantauan karyawan adalah kemampuan untuk merekam dan memutar ulang tindakan karyawan, biasanya dalam format data yang sesuai untuk proses hukum (jika diperlukan).

    Memantau pengguna secara terus-menerus sering kali menghasilkan data dalam jumlah besar yang memerlukan pemfilteran manual dan analisis manusia. Oleh karena itu, UEBA digunakan di dalam sistem pemantauan untuk meningkatkan kinerja solusi ini dan hanya mendeteksi insiden berisiko tinggi.

  • Keamanan Titik Akhir – Solusi deteksi dan respons titik akhir (EDR) dan platform perlindungan titik akhir (EPP) menyediakan instrumentasi dan telemetri sistem operasi yang kuat untuk
    perangkat akhir.

    Telemetri terkait pengguna tersebut dapat dianalisis untuk menyediakan fungsionalitas UEBA bawaan.

  • Penipuan daring – Solusi deteksi penipuan online mendeteksi aktivitas menyimpang yang mengindikasikan penyusupan akun pelanggan melalui spoof, malware, atau eksploitasi koneksi tidak aman/intersepsi lalu lintas browser.

    Sebagian besar solusi penipuan menggunakan esensi UEBA, analisis transaksi, dan pengukuran perangkat, dengan sistem yang lebih canggih melengkapinya dengan mencocokkan hubungan dalam database identitas.

  • IAM dan kontrol akses – Gartner mencatat tren evolusi di antara vendor sistem kontrol akses untuk berintegrasi dengan vendor murni dan membangun beberapa fungsi UEBA ke dalam produk mereka.
  • IAM dan sistem Tata Kelola dan Administrasi Identitas (IGA). gunakan UEBA untuk mencakup skenario analisis perilaku dan identitas seperti deteksi anomali, analisis pengelompokan dinamis entitas serupa, analisis login, dan analisis kebijakan akses.
  • IAM dan Manajemen Akses Istimewa (PAM) – Karena perannya dalam memantau penggunaan akun administratif, solusi PAM memiliki telemetri untuk menunjukkan bagaimana, mengapa, kapan, dan di mana akun administratif digunakan. Data ini dapat dianalisis menggunakan fungsionalitas bawaan UEBA untuk mengetahui adanya perilaku anomali administrator atau niat jahat.
  • Produsen NTA (Analisis Lalu Lintas Jaringan) – menggunakan kombinasi pembelajaran mesin, analitik tingkat lanjut, dan deteksi berbasis aturan untuk mengidentifikasi aktivitas mencurigakan di jaringan perusahaan.

    Alat NTA terus menganalisis lalu lintas sumber dan/atau catatan aliran (misalnya NetFlow) untuk membangun model yang mencerminkan perilaku jaringan normal, terutama berfokus pada analisis perilaku entitas.

  • SIEM – banyak vendor SIEM kini memiliki fungsi analisis data tingkat lanjut yang terpasang di SIEM, atau sebagai modul UEBA terpisah. Sepanjang tahun 2018 dan sejauh ini pada tahun 2019, batasan antara fungsi SIEM dan UEBA terus menjadi kabur, seperti yang dibahas dalam artikel "Wawasan Teknologi untuk SIEM Modern". Sistem SIEM menjadi lebih baik dalam bekerja dengan analitik dan menawarkan skenario aplikasi yang lebih kompleks.

Skenario Aplikasi UEBA

Solusi UEBA dapat memecahkan berbagai masalah. Namun, klien Gartner setuju bahwa kasus penggunaan utama melibatkan pendeteksian berbagai kategori ancaman, yang dicapai dengan menampilkan dan menganalisis korelasi yang sering terjadi antara perilaku pengguna dan entitas lain:

  • akses tidak sah dan pergerakan data;
  • perilaku mencurigakan dari pengguna yang memiliki hak istimewa, aktivitas karyawan yang berbahaya atau tidak sah;
  • akses non-standar dan penggunaan sumber daya cloud;
  • dan lain-lain

Ada juga sejumlah kasus penggunaan non-keamanan siber yang tidak biasa, seperti penipuan atau pemantauan karyawan, yang mungkin dapat dibenarkan oleh UEBA. Namun, mereka sering kali memerlukan sumber data di luar TI dan keamanan informasi, atau model analitik khusus dengan pemahaman mendalam tentang bidang ini. Lima skenario dan aplikasi utama yang disetujui oleh produsen UEBA dan pelanggannya dijelaskan di bawah ini.

"Orang Dalam yang Berbahaya"

Penyedia solusi UEBA yang mencakup skenario ini hanya memantau karyawan dan kontraktor tepercaya untuk mengetahui adanya perilaku yang tidak biasa, “buruk”, atau jahat. Vendor di bidang keahlian ini tidak memantau atau menganalisis perilaku akun layanan atau entitas non-manusia lainnya. Oleh karena itu, mereka tidak fokus dalam mendeteksi ancaman tingkat lanjut yang memungkinkan peretas mengambil alih akun yang ada. Sebaliknya, mereka bertujuan untuk mengidentifikasi karyawan yang terlibat dalam aktivitas berbahaya.

Pada dasarnya, konsep “orang dalam yang jahat” berasal dari pengguna tepercaya dengan niat jahat yang mencari cara untuk merugikan perusahaan mereka. Karena niat jahat sulit diukur, vendor terbaik dalam kategori ini menganalisis data perilaku kontekstual yang tidak mudah tersedia di log audit.

Penyedia solusi di bidang ini juga secara optimal menambahkan dan menganalisis data tidak terstruktur, seperti konten email, laporan produktivitas, atau informasi media sosial, untuk memberikan konteks perilaku.

Ancaman dari dalam dan mengganggu

Tantangannya adalah mendeteksi dan menganalisis perilaku “buruk” dengan cepat setelah penyerang memperoleh akses ke organisasi dan mulai bergerak dalam infrastruktur TI.
Ancaman asertif (APT), seperti ancaman yang tidak diketahui atau belum sepenuhnya dipahami, sangat sulit dideteksi dan sering kali bersembunyi di balik aktivitas pengguna atau akun layanan yang sah. Ancaman tersebut biasanya memiliki model operasi yang kompleks (lihat, misalnya, artikel “ Mengatasi Rantai Pembunuhan Cyber") atau perilaku mereka belum dinilai berbahaya. Hal ini membuat mereka sulit dideteksi menggunakan analisis sederhana (seperti pencocokan berdasarkan pola, ambang batas, atau aturan korelasi).

Namun, banyak dari ancaman yang mengganggu ini menghasilkan perilaku yang tidak standar, sering kali melibatkan pengguna atau entitas yang tidak menaruh curiga (alias orang dalam yang telah disusupi). Teknik UEBA menawarkan beberapa peluang menarik untuk mendeteksi ancaman tersebut, meningkatkan rasio signal-to-noise, mengkonsolidasikan dan mengurangi volume notifikasi, memprioritaskan peringatan yang tersisa, dan memfasilitasi respons dan investigasi insiden yang efektif.

Vendor UEBA yang menargetkan area masalah ini sering kali memiliki integrasi dua arah dengan sistem SIEM organisasi.

Eksfiltrasi Data

Tugas dalam hal ini adalah mendeteksi fakta bahwa data sedang ditransfer ke luar organisasi.
Vendor yang berfokus pada tantangan ini biasanya memanfaatkan kemampuan DLP atau DAG dengan deteksi anomali dan analitik tingkat lanjut, sehingga meningkatkan rasio signal-to-noise, mengkonsolidasikan volume notifikasi, dan memprioritaskan pemicu yang tersisa. Untuk konteks tambahan, vendor biasanya lebih bergantung pada lalu lintas jaringan (seperti proxy web) dan data titik akhir, karena analisis sumber data ini dapat membantu penyelidikan penyelundupan data.

Deteksi penyelundupan data digunakan untuk menangkap orang dalam dan peretas eksternal yang mengancam organisasi.

Identifikasi dan pengelolaan akses istimewa

Produsen solusi UEBA independen di bidang keahlian ini mengamati dan menganalisis perilaku pengguna dengan latar belakang sistem hak yang sudah terbentuk untuk mengidentifikasi hak istimewa yang berlebihan atau akses yang tidak wajar. Ini berlaku untuk semua jenis pengguna dan akun, termasuk akun istimewa dan akun layanan. Organisasi juga menggunakan UEBA untuk menghilangkan akun yang tidak aktif dan hak pengguna yang lebih tinggi dari yang dibutuhkan.

Prioritas insiden

Tujuan dari tugas ini adalah untuk memprioritaskan pemberitahuan yang dihasilkan oleh solusi dalam tumpukan teknologi mereka untuk memahami insiden atau potensi insiden mana yang harus ditangani terlebih dahulu. Metodologi dan alat UEBA berguna dalam mengidentifikasi insiden yang sangat anomali atau berbahaya bagi organisasi tertentu. Dalam hal ini, mekanisme UEBA tidak hanya menggunakan model aktivitas dan ancaman tingkat dasar, tetapi juga memenuhi data dengan informasi tentang struktur organisasi perusahaan (misalnya, sumber daya atau peran penting dan tingkat akses karyawan).

Masalah penerapan solusi UEBA

Kerugian pasar dari solusi UEBA adalah harganya yang mahal, implementasi, pemeliharaan, dan penggunaannya yang rumit. Sementara perusahaan berjuang dengan jumlah portal internal yang berbeda, mereka mendapatkan konsol lain. Besarnya investasi waktu dan sumber daya pada alat baru bergantung pada tugas yang ada dan jenis analitik yang diperlukan untuk menyelesaikannya, dan seringkali memerlukan investasi besar.

Bertentangan dengan klaim banyak produsen, UEBA bukanlah alat “atur dan lupakan” yang kemudian dapat berjalan terus menerus selama berhari-hari.
Klien Gartner, misalnya, mencatat bahwa dibutuhkan waktu 3 hingga 6 bulan untuk meluncurkan inisiatif UEBA dari awal untuk mendapatkan hasil pertama dari penyelesaian masalah yang menjadi dasar penerapan solusi ini. Untuk tugas yang lebih kompleks, seperti mengidentifikasi ancaman orang dalam dalam suatu organisasi, jangka waktunya bertambah menjadi 18 bulan.

Faktor-faktor yang mempengaruhi kesulitan penerapan UEBA dan efektivitas alat ini di masa depan:

  • Kompleksitas arsitektur organisasi, topologi jaringan dan kebijakan manajemen data
  • Ketersediaan data yang tepat pada tingkat detail yang tepat
  • Kompleksitas algoritme analitik vendor—misalnya, penggunaan model statistik dan pembelajaran mesin versus pola dan aturan sederhana.
  • Jumlah analitik yang telah dikonfigurasi sebelumnya yang disertakan—yaitu, pemahaman produsen tentang data apa yang perlu dikumpulkan untuk setiap tugas dan variabel serta atribut apa yang paling penting untuk melakukan analisis.
  • Betapa mudahnya bagi pabrikan untuk berintegrasi secara otomatis dengan data yang diperlukan.

    Sebagai contoh:

    • Jika solusi UEBA menggunakan sistem SIEM sebagai sumber utama datanya, apakah SIEM mengumpulkan informasi dari sumber data yang diperlukan?
    • Bisakah log peristiwa dan data konteks organisasi yang diperlukan dialihkan ke solusi UEBA?
    • Jika sistem SIEM belum mengumpulkan dan mengontrol sumber data yang dibutuhkan oleh solusi UEBA, lalu bagaimana sumber data tersebut dapat ditransfer ke sana?

  • Seberapa penting skenario aplikasi bagi organisasi, berapa banyak sumber data yang diperlukan, dan seberapa besar tugas ini tumpang tindih dengan bidang keahlian pabrikan.
  • Seberapa besar kematangan dan keterlibatan organisasi yang diperlukan – misalnya, pembuatan, pengembangan, dan penyempurnaan aturan dan model; memberikan bobot pada variabel untuk evaluasi; atau menyesuaikan ambang penilaian risiko.
  • Seberapa terukur solusi vendor dan arsitekturnya dibandingkan dengan ukuran organisasi saat ini dan kebutuhan masa depan.
  • Saatnya membangun model dasar, profil, dan grup utama. Produsen sering kali memerlukan setidaknya 30 hari (dan terkadang hingga 90 hari) untuk melakukan analisis sebelum mereka dapat mendefinisikan konsep “normal”. Memuat data historis satu kali dapat mempercepat pelatihan model. Beberapa kasus menarik dapat diidentifikasi lebih cepat menggunakan aturan dibandingkan menggunakan pembelajaran mesin dengan jumlah data awal yang sangat kecil.
  • Tingkat upaya yang diperlukan untuk membangun pengelompokan dinamis dan pembuatan profil akun (layanan/orang) dapat sangat bervariasi antar solusi.

Sumber: www.habr.com

Tambah komentar