Vytvoření a zobrazení upozornění a triggerů anomálií založených na pravidlech

Anomálie založené na pravidlech identifikují nedávnou aktivitu ve správě oprávnění, která je určená tak, aby byla neobvyklá na základě explicitních pravidel definovaných v triggeru upozornění. Cílem upozornění na anomálie založené na pravidlech je detekce s vysokou přesností.

Triggery upozornění na anomálie založené na pravidlech můžete nakonfigurovat pro následující podmínky:

• Jakýkoli prostředek, ke který se přistupuje poprvé: Identita přistupuje k prostředku poprvé během zadaného časového intervalu.
• Identita provádí určitou úlohu poprvé: Identita provádí určitou úlohu poprvé během zadaného časového intervalu.
• Identita provádí úlohu poprvé: Identita provádí všechny úkoly poprvé během zadaného časového intervalu.

Triggery upozornění jsou založené na shromážděných datech. Všechny výstrahy, pokud jsou aktivovány, se zobrazují každou hodinu pod podtabu Výstrahy.

Zobrazení upozornění na anomálie založené na pravidlech

Můžete zobrazit upozornění na anomálie založená na pravidlech pro monitorování neobvyklých aktivit ve správě oprávnění. Tato část vysvětluje, jak získat přístup k výstrahám a interpretovat je.

1. Na domovské stránce Správa oprávnění vyberte Výstrahy (ikona zvonku).

2. Vyberte anomálie založená na pravidlech a pak vyberte podtabutu Výstrahy .

   V podtabu Výstrahy se zobrazí následující informace:

   • Název výstrahy: Zobrazí název výstrahy.

   • Pokud chcete zobrazit konkrétní názvy identit, zdrojů a úkolů, ke kterým došlo během období shromažďování výstrah, vyberte název výstrahy.

   • Pravidlo upozornění anomálií: Při vytváření výstrahy zobrazí název vybraného pravidla.

   • # of Occurrences: How many times the alert trigger has occurred.

   • Úkol: Kolik úkolů aktivuje výstraha.

   • Prostředky: Kolik prostředků se aktivuje výstrahou.

   • Identita: Kolik identit provádí neobvyklé chování, které výstraha aktivuje.

   • Systém autorizace: Zobrazí, na které systémy autorizace se výstraha vztahuje, Amazon Web Services (AWS), Microsoft Azure nebo Google Cloud Platform (GCP).

   • Datum a čas: Uvádí datum a čas výstrahy.

   • Datum a čas (UTC):: Uvádí datum a čas výstrahy ve standardu UTC (Coordinated Universal Time).

3. Filtrování výstrah:

   • V rozevíracím seznamu Název výstrahy vyberte Možnost Vše nebo Odpovídající název výstrahy.

   • V rozevírací nabídce Datum vyberte posledních 24 hodin, posledních 2 dní, minulý týden nebo vlastní rozsah a vyberte Použít.

   • Pokud vyberete Vlastní rozsah, zadejte také nastavení Od a Do doby trvání.

4. Pokud chcete zobrazit podrobnosti odpovídající kritériím upozornění, vyberte tři tečky (...).

   • Zobrazit aktivační událost: Zobrazí aktuální nastavení aktivační události a příslušné podrobnosti o autorizačním systému.
   • Podrobnosti: Zobrazí podrobnosti o typu systému autorizace, autorizačních systémech, prostředcích, úkolech, identitách a aktivitě.
   • Aktivita: Zobrazí podrobnosti o názvu identity, názvu prostředku, názvu úkolu, datu a času, neaktivním stavu a IP adrese. Výběrem ikony "oko" se zobrazí souhrn nezpracovaných událostí.

Vytvoření triggeru upozornění na anomálii založené na pravidlech

Můžete nakonfigurovat triggery upozornění na anomálie založené na pravidlech pro konkrétní podmínky, aby se zjistily neobvyklé aktivity. Tato část vás provede postupem vytvoření těchto triggerů upozornění.

1. Na domovské stránce Správa oprávnění vyberte Výstrahy (ikona zvonku).

2. Vyberte anomálie založená na pravidlech a pak vyberte podtabutu Výstrahy .

3. Vyberte Vytvořit trigger upozornění.

4. Do pole Název upozornění zadejte název výstrahy.

5. Vyberte autorizační systém, AWS, Azure nebo GCP.

6. Vyberte jednu z následujících podmínek:

   • Jakýkoli prostředek, ke který se přistupuje poprvé: Identita přistupuje k prostředku poprvé během zadaného časového intervalu.
   • Identita provádí určitou úlohu poprvé: Identita provádí určitou úlohu poprvé během zadaného časového intervalu.
   • Identita provádí úlohu poprvé: Identita provádí všechny úkoly poprvé během zadaného časového intervalu.

7. Vyberte Další.

8. Na kartě Autorizační systémy vyberte dostupné systémy autorizace a složky nebo vyberte Vše.

   Tato obrazovka je ve výchozím nastavení zobrazení Seznam , ale můžete ji změnit na zobrazení Složky . Místo individuálního výběru podle autorizačního systému můžete vybrat příslušnou složku.

   • Sloupec Stav se zobrazí, pokud je systém autorizace online nebo offline.
   • Sloupec Kontroler se zobrazí, pokud je kontroler povolený nebo zakázaný.

9. Na kartě Konfigurace aktualizujte časový interval výběrem 90 dnů, 60 dnů nebo 30 dnů v rozevíracím seznamu Časový rozsah.

10. Zvolte Uložit.

Zobrazení triggeru upozornění na anomálii založené na pravidlech

Můžete zobrazit a spravovat triggery upozornění na anomálie založené na pravidlech, které jste vytvořili. Tato část obsahuje pokyny pro přístup k těmto triggerům a jejich úpravu.

1. Na domovské stránce Správa oprávnění vyberte Výstrahy (ikona zvonku).

2. Vyberte anomálii založenou na pravidlech a pak vyberte podtabu pro triggery upozornění.

   V dílčí tabulce Triggery výstrahy se zobrazí následující informace:

   • Výstrahy: Zobrazí název výstrahy.
   • Pravidlo upozornění anomálií: Při vytváření výstrahy zobrazí název vybraného pravidla.
   • # of Users Subscribed: Zobrazí počet uživatelů přihlášených k odběru výstrahy.
   • Autor: Zobrazí e-mailovou adresu uživatele, který výstrahu vytvořil.
   • Naposledy změněno: Zobrazí e-mailovou adresu uživatele, který výstrahu naposledy upravil.
   • Naposledy změněno: Zobrazí datum a čas poslední změny triggeru.
   • Odběr: Přihlásí vás k odběru, abyste dostávali e-maily s upozorněními. Přepíná mezi zapnutou a vypnutou.

3. Pokud chcete zobrazit další dostupné možnosti, vyberte tři tečky (...) a pak vyberte z dostupných možností:

   Pokud je předplatné zapnuté, jsou k dispozici následující možnosti:

   • Upravit: Umožňuje upravit parametry upozornění.

     Jenom uživatel, který výstrahu vytvořil, může upravit obrazovku triggeru, přejmenovat výstrahu, deaktivovat výstrahu a odstranit výstrahu. Změny provedené jinými uživateli se neuloží.

   • Duplicitní: Vytvořte duplicitní kopii vybraného triggeru upozornění.

   • Přejmenování: Zadejte nový název dotazu a pak vyberte Uložit.

   • Deaktivovat: Upozornění bude stále uvedené, ale už nebude posílat e-maily přihlášeným uživatelům.

   • Aktivovat: Aktivujte trigger upozornění a začněte odesílat e-maily přihlášeným uživatelům.

   • Nastavení oznámení: Umožňuje zobrazit e-mail uživatelů, kteří jsou přihlášeni k odběru triggeru upozornění.

   • Odstranění: Odstraňte výstrahu.

   Pokud je předplatné vypnuté, jsou k dispozici následující možnosti:

   • Zobrazení: Zobrazení podrobností o triggeru upozornění
   • Nastavení oznámení: Umožňuje zobrazit e-mail uživatelů, kteří jsou přihlášeni k odběru triggeru upozornění.
   • Duplicitní: Vytvořte duplicitní kopii vybraného triggeru upozornění.

4. Chcete-li filtrovat podle aktivovaných nebo deaktivovaných, vyberte v části Stav možnost Vše, Aktivováno nebo Deaktivované a pak vyberte Použít.

Další kroky

• Přehled výstrah a triggerů výstrah najdete v tématu Zobrazení informací o výstrahách a aktivačních událostech výstrah.
• Informace o upozorněních aktivit a aktivačních událostech výstrah najdete v tématu Vytváření a zobrazení upozornění a triggerů upozornění.
• Informace o zjišťování odlehlých hodnot v chování identity najdete v tématu Vytvoření a zobrazení upozornění na statistické anomálie a triggery výstrah.
• Informace o upozorněních analýzy oprávnění a triggerech upozornění najdete v tématu Vytváření a zobrazení upozornění a triggerů upozornění analýzy oprávnění.