Leo Yeh's Blog

SAS Viya (134)

教學目標

初步了解在 SAS Visual Investigator 中以實體為基礎進行操作的基本概念。

重點概念

首先在 SAS Visual Investigator 主要能夠讓我們能夠在調查過程中查看資料,根據解決方案管理員的設定,這些資料將會被分組在一起,並且顯示為資料物件,通常我們能夠以類似的方式使用不同類型的資料物件,然而在 SAS Visual Investigator 中所有的資料物件皆稱為實體 (Entity),不同實體的基礎類型決定了如何進行互動的方式,其中主要有以下幾種類型的物件,分別為:

  1. 內部實體 (Internal Entities):主要儲存在內部系統資料儲存中的物件內容。
  2. 外部實體 (External Entities):主要儲存在外部連接資料儲存中的物件內容。
  3. 解析實體 (Resolved Entities):主要是由對內系統資料儲存中實體和網路產生過程自動建立,過程中會將來自其它資料組合在一起產生和維護已解析的實體。
  4. 警示 (Alert):主要是儲存在內部系統資料儲存中的物件內容,其通常是由警示產生過程中自動建立,但是我們能夠手動建立警示,並且在業務定義中警示主要是實體潛在的可疑行為以及活動的歷史事件,以及用於告知最終使用者需要進行檢查,同時允許最終使用者決定如何進行警示處理。

此外資料儲存主要能夠定義 Postgres、Oracle、DB2、Teradata、SQL Server 和 MySQL 等外部資料庫類型連線,以及在 SAS Visual Investigator 中使用物件的能力取決我們是否有權限存取該實體類型的物件,以及執行每種操作類型的權限,此時管理員將能夠將使用者的存取權限授予角色群組,並且存取權限取決於所屬的角色群組。

接著當 SAS Visual Investigator 是記錄系統時,並且需要透過網站界面編輯實體時,以及需要與實體關聯工作流程時,將會採用內部實體,像是案例物件。當 SAS Visual Investigator 不是記錄系統時 ,並且無需要透過網站界面編輯實體時,也就是實體僅能夠讀取,以及當最終使用者無法控制資料時,像是客戶資料物件,請注意外部實體無法關聯工作流程。至於警示非常特別,其被視為外部實體,因為其在 Datahub 服務外部,但是 SAS Visual Investigator 卻是警示的記錄系統。

再來在 SAS Visual Investigator 主要能夠針對內部實體建立操作頁面建立新的實體資料,並且啟用內部實體專屬的工作流程,至於操作頁面和工作流程皆能夠在 SAS Visual Investigator 中透過拖拉點選的網站操作方式很方便的以內部實體為基礎建立專屬的操作頁面和工作流程。所以企業組織將能夠根據偵測、調查和分析的需求建立最合適的操作頁面和工作流程,像是我們能夠建立案件實體的操作頁面,當建立時自動啟動工作流程,並且執行特定 REST API 進行自動化處理,以及在每個案件實體的操作頁面關聯多個警示,以利調查人員根據不同案例針對相關警示進行處置。

最後在 SAS Visual Investigator 主要能夠建立與現有實體和實體之間的關係,關係將能夠用於建立事件和人員的網路,以利作為偵測、調查和分析的一部分。其中關係主要能夠分為一對多和多對多的關係,同時若是針對外部實體的關係,則能夠關聯外部資料庫中的關係資料表,並且需要進行重新索引所有關係之後, 才能夠在調查和資料頁面中查看外部實體中的網路關係,以利調查人員以實體為基礎新增工作區轉換網路檢視模式進行偵測、調查和分析相關警示資訊。

相關資源

⬅️ Go back