Vytváření a zobrazení výstrah a spouštěčů anomálií založených na pravidlech

Anomálie založené na pravidlech identifikují nedávnou aktivitu ve správě oprávnění, která je určená tak, aby byla neobvyklá na základě explicitních pravidel definovaných v triggeru upozornění. Cílem upozornění na anomálie založené na pravidlech je detekce s vysokou přesností.

Triggery upozornění na anomálie založené na pravidlech můžete nakonfigurovat pro následující podmínky:

• Jakýkoli prostředek, ke který se přistupuje poprvé: Identita přistupuje k prostředku poprvé během zadaného časového intervalu.
• Identita provádí určitou úlohu poprvé: Identita provádí určitou úlohu poprvé během zadaného časového intervalu.
• Identita provádí úlohu poprvé: Identita provádí všechny úkoly poprvé během zadaného časového intervalu.

Spouště upozornění jsou založeny na shromážděných datech. Všechny výstrahy, pokud jsou aktivovány, se zobrazují každou hodinu pod podtabu Výstrahy.

Zobrazení upozornění na anomálie založené na pravidlech

Můžete zobrazit upozornění na anomálie založená na pravidlech pro monitorování neobvyklých aktivit ve správě oprávnění. Tato část vysvětluje, jak získat přístup k výstrahám a interpretovat je.

1. Na domovské stránce Správa oprávnění vyberte Výstrahy (ikona zvonku).

2. Vyberte anomálie založená na pravidlech a pak vyberte podtabutu Výstrahy .

   V podtabu Výstrahy se zobrazí následující informace:

   • Název výstrahy: Zobrazí název výstrahy.

   • Pokud chcete zobrazit konkrétní názvy identit, zdrojů a úkolů, ke kterým došlo během období shromažďování výstrah, vyberte název výstrahy.

   • Pravidlo upozornění anomálií: Při vytváření výstrahy zobrazí název vybraného pravidla.

   • # Výskytů: Kolikrát došlo ke spuštění upozornění.

   • Úkol: Kolik úkolů aktivuje výstraha.

   • Prostředky: Kolik prostředků bylo přístupno kvůli výstraze.

   • Identita: Kolik identit provádí neobvyklé chování, které výstraha aktivuje.

   • Systém autorizace: Zobrazí, na které systémy autorizace se výstraha vztahuje, Amazon Web Services (AWS), Microsoft Azure nebo Google Cloud Platform (GCP).

   • Datum a čas: Uvádí datum a čas výstrahy.

   • Datum a čas (UTC):: Uvádí datum a čas výstrahy ve standardu UTC (Coordinated Universal Time).

3. Filtrování výstrah:

   • V rozevíracím seznamu Název výstrahy vyberte Vše nebo odpovídající název výstrahy.

   • V rozevírací nabídce Datum vyberte posledních 24 hodin, posledních 2 dní, minulý týden nebo vlastní rozsah a vyberte Použít.

   • Pokud vyberete Vlastní rozsah, zadejte také nastavení doby trvání Od a Do.

4. Pokud chcete zobrazit podrobnosti odpovídající kritériím upozornění, vyberte tři tečky (...).

   • Zobrazit aktivační událost: Zobrazí aktuální nastavení aktivační události a příslušné podrobnosti o autorizačním systému.
   • Podrobnosti: Zobrazí podrobnosti o typu systému autorizace, autorizačních systémech, prostředcích, úkolech, identitách a aktivitě.
   • Aktivita: Zobrazí podrobnosti o názvu identity, názvu prostředku, názvu úkolu, datu a času, neaktivním stavu a IP adrese. Výběrem ikony "oko" se zobrazí souhrn nezpracovaných událostí.

Vytvoření triggeru upozornění na anomálii založené na pravidlech

Můžete nakonfigurovat triggery upozornění na anomálie založené na pravidlech pro konkrétní podmínky, aby se zjistily neobvyklé aktivity. Tato část vás provede postupem vytvoření těchto triggerů upozornění.

1. Na domovské stránce Správa oprávnění vyberte Výstrahy (ikona zvonku).

2. Vyberte anomálie založená na pravidlech a pak vyberte podtabutu Výstrahy .

3. Vyberte Vytvořit spouštěč upozornění.

4. Do pole Název upozornění zadejte název výstrahy.

5. Vyberte autorizační systém, AWS, Azure nebo GCP.

6. Vyberte jednu z následujících podmínek:

   • Jakýkoli prostředek, ke který se přistupuje poprvé: Identita přistupuje k prostředku poprvé během zadaného časového intervalu.
   • Identita provádí určitou úlohu poprvé: Identita provádí určitou úlohu poprvé během zadaného časového intervalu.
   • Identita provádí úlohu poprvé: Identita provádí všechny úkoly poprvé během zadaného časového intervalu.

7. Vyberte Další.

8. Na kartě Autorizační systémy vyberte dostupné systémy autorizace a složky nebo vyberte Vše.

   Tato obrazovka je ve výchozím nastavení zobrazení Seznam , ale můžete ji změnit na zobrazení Složky . Místo individuálního výběru podle autorizačního systému můžete vybrat příslušnou složku.

   • Sloupec Stav se zobrazí, pokud je systém autorizace online nebo offline.
   • Sloupec Kontroler se zobrazí, pokud je kontroler povolený nebo zakázaný.

9. Na kartě Konfigurace aktualizujte časový interval výběrem 90 dnů, 60 dnů nebo 30 dnů v rozevíracím seznamu Časový rozsah.

10. Zvolte Uložit.

Zobrazení spouštěče upozornění na anomálii založeného na pravidlech

Můžete zobrazit a spravovat triggery upozornění na anomálie založené na pravidlech, které jste vytvořili. Tato část obsahuje pokyny pro přístup k těmto triggerům a jejich úpravu.

1. Na domovské stránce Správa oprávnění vyberte Výstrahy (ikona zvonku).

2. Vyberte Pravidly řízenou anomálii a pak vyberte podzáložku Spouštěče upozornění.

   V podzáložce Výstražné spouště se zobrazují následující informace:

   • Výstrahy: Zobrazí název výstrahy.
   • Pravidlo upozornění anomálií: Při vytváření výstrahy zobrazí název vybraného pravidla.
   • # of Users Subscribed: Zobrazí počet uživatelů přihlášených k odběru výstrahy.
   • Autor: Zobrazí e-mailovou adresu uživatele, který výstrahu vytvořil.
   • Naposledy změněno: Zobrazí e-mailovou adresu uživatele, který výstrahu naposledy upravil.
   • Naposledy změněno: Zobrazí datum a čas poslední změny triggeru.
   • Odběr: Přihlásí vás k odběru, abyste dostávali e-maily s upozorněními. Přepíná mezi zapnutou a vypnutou.

3. Pokud chcete zobrazit další dostupné možnosti, vyberte tři tečky (...) a pak vyberte z dostupných možností:

   Pokud je předplatné zapnuté, jsou k dispozici následující možnosti:

   • Upravit: Umožňuje upravit parametry upozornění.

     Jenom uživatel, který výstrahu vytvořil, může upravit obrazovku triggeru, přejmenovat výstrahu, deaktivovat výstrahu a odstranit výstrahu. Změny provedené jinými uživateli se neuloží.

   • Duplicitní: Vytvořte duplicitní kopii vybraného triggeru upozornění.

   • Přejmenování: Zadejte nový název dotazu a pak vyberte Uložit.

   • Deaktivovat: Upozornění bude stále uvedené, ale už nebude posílat e-maily přihlášeným uživatelům.

   • Aktivovat: Aktivujte trigger upozornění a začněte odesílat e-maily přihlášeným uživatelům.

   • Nastavení oznámení: Umožňuje zobrazit e-mail uživatelů, kteří jsou přihlášeni k odběru triggeru upozornění.

   • Odstranění: Odstraňte výstrahu.

   Pokud je předplatné vypnuté, jsou k dispozici následující možnosti:

   • Zobrazení: Zobrazit podrobnosti o spouštěči upozornění.
   • Nastavení oznámení: Umožňuje zobrazit e-mail uživatelů, kteří jsou přihlášeni k odběru triggeru upozornění.
   • Duplicitní: Vytvořte duplicitní kopii vybraného triggeru upozornění.

4. Chcete-li filtrovat podle aktivovaných nebo deaktivovaných, vyberte v části Stav možnost Vše, Aktivováno nebo Deaktivované a pak vyberte Použít.

Další kroky

• Pro přehled výstrah a spouštěčů výstrah, viz Zobrazení informací o výstrahách a aktivačních událostech.
• Informace o upozorněních z aktivit a triggerů upozornění najdete v tématu Vytváření a zobrazení upozornění a triggerů.
• Informace o zjišťování odlehlých hodnot v chování identity najdete v tématu Vytvoření a zobrazení upozornění na statistické anomálie a triggery výstrah.
• Pro informace o upozorněních analýzy oprávnění a spouštěčích upozornění viz Vytváření a zobrazení upozornění a spouštěčů analýzy oprávnění.