Gruppenmitgliedschaftsabweichung (Z-Score)
Was ist ein Z-Score
Z-Score-Formel
Ein Z-Score misst, wie weit ein Wert vom Mittelwert abweicht, ausgedrueckt in Standardabweichungen:
Z = (Gruppenanzahl des Kontos − Mittelwert) / Standardabweichung
Ein hoeherer Z-Score zeigt an, dass ein Konto deutlich mehr Gruppen angehoert als der Durchschnitt, was auf uebermaeßigen Zugriff oder ein potenzielles Sicherheitsrisiko hinweisen kann.
Risikoregel: Gruppenmitgliedschaftsabweichung (Z-Score)
Die Risikoregel Gruppenmitgliedschaftsabweichung (Z-Score) erkennt Konten, deren Gruppenmitgliedschaft außerhalb der Standardverteilung fuer Konten liegt. Sie ermoeglicht die Auswahl eines Min/Max-Z-Scores und einer Min/Max-Durchschnittsgruppenmitgliedschaft, um potenzielle Ausreißer fuer die Kontogruppenmitgliedschaft auf einer Plattform zu identifizieren. Kunden sollten die Standardregel anpassen, um die Min/Max-Werte entsprechend den Anforderungen ihrer Organisation zu optimieren.
Standardparameter
| Parameter | Standardwert | Beschreibung |
|---|---|---|
| Min Z-Score | 3 | Mindestanzahl von Standardabweichungen ueber dem Mittelwert zur Kennzeichnung (3 = 99,7. Perzentil) |
| Max Z-Score | — | Standardmaeßig keine Obergrenze |
| Min Durchschnittliche Mitglieder | — | Standardmaeßig keine Mindestdurchschnittsgruppenzahl |
| Max Durchschnittliche Mitglieder | — | Standardmaeßig keine Hoechstdurchschnittsgruppenzahl |
| Bewertung | 5 | Punkte, die zur Kategorie Kontostatistiken beigetragen werden |
Compliance-Framework
Diese Regel ist NIST CSF V2.0 / PR.AA-05 (Zugangsverwaltung) zugeordnet.
Ergebnisse interpretieren
Berechnungsbeispiel
Ein Konto gehoert zu 20 Gruppen auf einer Plattform, auf der der Mittelwert 8 Gruppen und die Standardabweichung 3 Gruppen betraegt:
Z = (20 − 8) / 3 = 4,0
Dieser Z-Score von 4,0 ueberschreitet den Standardschwellenwert von 3, sodass die Regel dieses Konto kennzeichnet und eine Bewertung von 5 zur Kategorie Kontostatistiken beitraegt.
Was die Z-Score-Werte bedeuten
| Z-Score-Bereich | Interpretation |
|---|---|
| < 2 | Innerhalb der Normalverteilung; wird wahrscheinlich nicht gekennzeichnet |
| 2–3 | Ueberdurchschnittlich; je nach Schwellenwert moeglicherweise pruefenswert |
| 3–4 | Deutlich ueberdurchschnittlich; wird bei Standardeinstellungen gekennzeichnet |
| > 4 | Weit außerhalb der Normalverteilung; starker Ausreißer |
Schwellenwerte anpassen
Optimierungshinweise
- Niedrigerer Min Z-Score → empfindlichere Erkennung, mehr gekennzeichnete Konten, potenziell mehr Rauschen
- Hoeherer Min Z-Score → weniger empfindliche Erkennung, weniger gekennzeichnete Konten, weniger Rauschen
- Min/Max Durchschnittliche Mitglieder festlegen → Plattformen mit sehr kleiner oder sehr großer durchschnittlicher Gruppenanzahl ausschließen, die zu irrefuehrenden Z-Scores fuehren koennen
Beginnen Sie mit dem Standard-Min-Z-Score von 3 und passen Sie ihn basierend auf der Anzahl der gekennzeichneten Konten in Ihrer Umgebung an.
Bericht: Konto-Z-Score
Navigieren Sie zu Suchbibliothek | Erkennungen und waehlen Sie Account Z-Score aus.
Der Konto-Z-Score-Bericht zeigt den berechneten Mittelwert (Group Membership Z-Score) und die Standardabweichungswerte an. Mithilfe der Filteroptionen koennen Organisationen nach bestimmten Bereichen suchen, um Konten zu identifizieren, die eine Bedrohung darstellen. Je hoeher der Z-Score, desto hoeher die potenzielle Bedrohung.
Verwenden Sie die Spalten-Konfiguration, um Ihre Tabellenansicht anzupassen. Jede Spalte bietet Filter- und Sortieroptionen.
Berichtsspalten
| Spalte | Beschreibung |
|---|---|
| Standardabweichung | Die Standardabweichung der Gruppenmitgliedschaftszahlen ueber alle Konten auf der Plattform |
| Durchschnittliche Mitgliederanzahl | Die durchschnittliche Anzahl von Gruppen pro Konto auf der Plattform |
| Gruppenanzahl | Die tatsaechliche Anzahl von Gruppen, denen dieses Konto angehoert |
| Gruppendifferenz | Die Differenz zwischen der Gruppenanzahl dieses Kontos und dem Plattformdurchschnitt |
| Group Membership Z-Score | Der berechnete Z-Score-Wert fuer dieses Konto |