이상탐지 사용자정의 규칙
기본적으로 과거와 현재 분석하기에서 설명했듯 이상탐지는 비지도방식이며 머신러닝 모델은 데이터 도메인을 인식하지 못합니다.
결과적으로 이상탐지 잡은 큰 컨텍스트를 알고 있을때 흥미롭진 않지만 통계적으로 중요한 이벤트를 식별할 수 있습니다.
머신러닝 사용자정의 규칙은 이상탐지를 사용자정의화 할 수 있게 합니다.
사용자정의 규칙(또는 키바나가 참조하는 잡 규칙)은 사용자가 제공한 도메인관련 지식을 기반으로 그들의 행동을 변경하도록 이상탐지에 지시합니다.
규칙을 생성하면 조건, 범위와 행동을 정의합니다.
규칙의 조건이 충족되면 해당 행동이 트리거됩니다.
예로 들어, CPU의 사용량을 분석하는 이상 디텍터가 있을 경우 특정 임계치 이상의 CPU 사용량에 대한 이상치만 관심이 있을 것 입니다.
낮은 CPU 사용량과 관련된 이상치가 있을 경우 머신러닝 결과를 생성하지 않도록 디텍터에게 지시하는 조건과 행동을 규칙으로 정의할 수 있습니다.
특정 장치에만 적용할 수 있도록 규칙의 범위를 추가할 수 도 있습니다.
범위는 머신러닝 필터를 사용하여 정의됩니다.
필터는 머신러닝 분석에서 이벤트를 포함 또는 불포함하는데 사용할 수 있는 값의 목록을 포함하고 있습니다.
동일한 필터를 다중 이상탐지 잡에 사용할 수 있습니다.
웹 트래픽을 분석한다면 IP 주소 목록을 포함하는 필터를 생성하고자 할 것 입니다.
예로 들어, 웹사이트에 데이터를 업로드할 수 있는 또는 방화벽 뒤에서 대용량의 데이터를 전송할 수 있는 신뢰가능한 IP 주소가 있을 것 입니다.
데이터의 특정 필드가 필터에 하나의 값에 일치하는 경우에만 트리거 할 수 있는 규칙의 범위를 정의할 수 있습니다.
또는, 필드값이 필터값 중 하나도 일치하지 않는 경우에만 트리거할 수 도 있습니다.
따라서 머신러닝 모델에 영향을 미치고 머신러닝 결과에 나타나는 비정상 이벤트를 훨씬 더 잘 제어할 수 있습니다.
자세한 정보는, 사용자정의규칙으로 디텍터 사용자정의하기를 참고하세요.