Могу нашим кейсом поделиться. Прорабатывали эту тему в Инфосекьюрити - была мысль предоставлять профилирование как часть сервиса SOC на рынок. Ситуация получилась довольно забавная

С одной стороны благодаря вендорам есть подогретый спрос у заказчиков. Иногда он формулируется как: "а у вас есть машинлернинг?"

С другой стороны оказалась реальность.
Профилировать админов (которые наиболее интересны в плане компрометации УЗ)  оказалось делом неблагодарным - слишком недетерминированная активность

С профилем обычного пользователя дела оказались чуть лучше, но получилась другая проблема: хитов на большой инфре все равно достаточно много, а разбираться с ними у заказчика нет никакого желания т.к. уровень риска значительно ниже.

Ситуация усугубляется тем, что трактовать отклонения от профиля на человеческий язык практически невозможно при большом количестве факторов в модели.

Серега, привет!!! Спасибо, что рассказал. А сколько фич/параметров было в модели (хотя бы порядок)?

Не много 3-6

Какую-то статистику считали или только запоминали действия пользователей, строя baseline?

Что можно считать действиями пользователей baseline ?

Да, слово baseline, как правило, применяют к статистическим методам. Поясню: здесь я говорю о подходе, когда в таблицу записывают все действия (или какую-то их часть, например только выполняемые им команды) пользователя за определенный период. Просматривают собранный профиль на предмет наличия аномалий или нарушений и объявляют его базовым профилем. Далее профиль блокируют на запись и любые действия, не содержащиеся в профиле объявляют подозрительными.

Под статистическими методами я понимаю создание модели из метрик (числовых), описывающих проведение пользователя. Например, кол-во удачных логинов за период, кол-во выполняемых команд, кол-во коммуникаций с разными активами в сутки и т.д. далее эти числа скармливают мат.аппарату (в нем происходит магия: нейронки, поиск апроксемирующей функции, прочий шабаш). Он выдает какие-то средневзвешанные оценки для каждой из метрик. Наборы средневзвешанных метрик объявляются baseline.

Если за новый период расчетные метрики выходят за доверительный интервал , относительно baseline, такие действия признаются аномалией.

Поэтому оно эффективно работает для однозадачных юзеров с постоянным профилем работы, у ИТ спеца задачи часто меняются и постоянно отклонения от baseline будут

Однозадачные 8битные юзеры ))

Это лишь вопрос фича-селекшена. Надо выбирать такие материки, в которых энтропия не такая высокая

И, да, именно для борьбы с подобным был придуман механизм группового профилирования. Когда baseline считается не от конкретного пользователя, а группы со схожим поведением.

Разве вариативность не может быть фичей?

Может, если вы хотите искать наиболее хаотичных пользователей.

или увеличить "допуски" и снизить количество срабатываний на относительно несущественные изменение профиля

Расширение и сужение доверительного интервала всегда влияет на точность детектирования.

Вот вот) потому для более опасных ИТ спецов оно детектирует хуже чем для безопасных простейших )

Как и писал выше, "опасных ИТ спецов" надо валидировать об групповой профиль. Модель поведения, построенная только для сетевых администраторов будет более "стабильна", чем модель, построенная для всех ИТ-спецов сразу

Например: было у вас поведение у сетевиков - работали только с сетевым оборудованием и тут бац, кто-то из них полез AD админить... Непорядок.

Да, можно сказать, что у нас универсальные солдаты и они и циски конфигурят и ad правой ногой настраивают. Тогда надо подбирать модель под конкретного клиента и как-то иначе проводить сегментацию.