Créer et afficher des alertes d’anomalie et des déclencheurs d’alertes statistiques
Les anomalies statistiques peuvent détecter des valeurs hors norme dans le comportement d’une identité si l’activité récente est considérée comme inhabituelle en fonction des modèles définis dans un déclencheur d’activité. L’objectif de ce déclencheur d’alertes est un taux de rappel élevé.
Vous pouvez configurer des déclencheurs d’alerte d’anomalie statistiques pour les scénarios suivants :
- Identity Performed High Number of Tasks: l’identité a effectué davantage que son volume habituel de tâches. Par exemple, une identité effectue généralement 25 tâches par jour, et désormais elle effectue 100 tâches par jour.
- Identity Performed High Number of Tasks : l’identité a effectué moins que son volume habituel de tâches. Par exemple, une identité effectue généralement 100 tâches par jour, et désormais elle effectue 25 tâches par jour.
- Identity Performed Tasks with Unusual Results : l’identité effectuant une action obtient un résultat différent du résultat ordinaire. Par exemple, la plupart des tâches aboutissent à une réussite et aboutissent à présent à un échec ou vice versa.
- Identity Performed Tasks with Unusual Timing : l’identité effectue des tâches à des moments inhabituels par rapport à leur ligne de base dans la période d’application. Les heures sont regroupées par les fenêtres UTC de 4 heures suivantes.
- Identity Performed Tasks with Unusual Types : l’identité effectue des types de tâches inhabituels par rapport à leur ligne de base dans la période d’application. Par exemple, une identité effectue des tâches de lecture, d’écriture ou de suppression qu’elle ne peut pas effectuer normalement.
- Identity Performed Tasks with Multiple Unusual Patterns : l’identité a plusieurs modèles inhabituels dans les tâches effectuées par l’identité par rapport à leur ligne de base dans la période d’application.
Les déclencheurs d’alerte sont basés sur les données collectées. Toutes les alertes, si elles sont déclenchées, sont affichées toutes les heures dans le sous-onglet Alertes.
Afficher les anomalies statistiques dans le comportement d’une identité
Vous pouvez afficher les anomalies statistiques dans le comportement d’une identité pour surveiller les activités inhabituelles dans la gestion des autorisations. Cette section vous explique comment accéder aux alertes et les interpréter.
Sur la page d’accueil de Gestion des autorisations, sélectionnez Alertes (l’icône en forme de cloche).
Sélectionnez Anomalie statistique, puis sélectionnez le sous-onglet Alertes.
Le sous-onglet Alertes affiche les informations suivantes :
- Nom de l’alerte : indique le nom de l’alerte.
- Règle d’alerte d’anomalie : affiche le nom de la règle sélectionnée lors de la création de l’alerte.
- Nombre d’occurrences : affiche le nombre de fois où le déclencheur d’alerte s’est produit.
- Système d’autorisation : affiche les systèmes d’autorisation auxquels l’alerte s’applique.
- Date/heure: indique le jour où la valeur hors norme a été enregistrée.
- Date/heure (UTC): indique le jour où la valeur hors norme a été enregistrée en temps universel coordonné (UTC).
Pour filtrer les alertes en fonction de leur nom, sélectionnez le nom de l’alerte appropriée ou choisissez Tout dans le menu déroulant Nom de l'alerte, puis sélectionnez Appliquer.
Pour filtrer les alertes en fonction de l’heure de l’alerte, sélectionnez Dernières 24 heures, 2 derniers jours, La semaine dernièreou Plage personnalisée dans le menu déroulant Date, puis sélectionnez Appliquer.
Si vous sélectionnez les points de suspension (...) et sélectionnez :
- Détails, vous accédez à une vue Résumé des alertes avec le Système d’autorisation, le Modèle statistique et la période d’application affichés avec une table comprenant une ligne par identité déclenchant cette alerte. À partir de là, vous pouvez cliquer sur :
- Détails : affiche le(s) graphique(s) mettant en évidence l’anomalie avec contexte et les 3 premières actions effectuées le jour de l’anomalie
- Afficher le déclencheur : affiche les paramètres actuels du déclencheur et les détails du système d’autorisation applicables
- Afficher le déclencheur : affiche les paramètres actuels du déclencheur et les détails du système d’autorisation applicables
Créer un déclencheur d’alertes d’anomalie statistiques
Vous pouvez configurer des déclencheurs d’alertes d’anomalies statistiques pour des conditions spécifiques afin de détecter des activités inhabituelles. Cette section vous guide tout au long des étapes de création de ces déclencheurs d’alerte.
Sur la page d’accueil de Gestion des autorisations, sélectionnez Alertes (l’icône en forme de cloche).
Sélectionnez Anomalie statistique, sélectionnez le sous-onglet Alertes, puis sélectionnez Créer un déclencheur d’alerte.
Dans la zone Nom d’alerte, entrez un nom pour l’alerte.
Sélectionnez le Système d’autorisation, Amazon Web Services (AWS), Microsoft Azure ou Google Cloud Platform (GCP).
Sélectionnez l’une des conditions suivantes :
- Identity Performed High Number of Tasks: l’identité a effectué davantage que son volume habituel de tâches. Par exemple, une identité effectue généralement 25 tâches par jour, et désormais elle effectue 100 tâches par jour.
- Identity Performed High Number of Tasks : l’identité a effectué moins que son volume habituel de tâches. Par exemple, une identité effectue généralement 100 tâches par jour, et désormais elle effectue 25 tâches par jour.
- Identity Performed Tasks with Unusual Results : l’identité effectuant une action obtient un résultat différent du résultat ordinaire. Par exemple, la plupart des tâches aboutissent à une réussite et aboutissent à présent à un échec ou vice versa.
- Identity Performed Tasks with Unusual Timing : l’identité effectue des tâches à des moments inhabituels par rapport à leur ligne de base dans la période d’application. Les heures sont regroupées par les fenêtres horaires UTC+4 suivantes.
- 0 h - 4 h UTC
- 4 h -8 h UTC
- 8 h -12 h UTC
- 12 h -16 h UTC
- 16 h -20 h UTC
- 20 h -0 h UTC
- Identity Performed Tasks with Unusual Types : l’identité effectue des types de tâches inhabituels par rapport à leur ligne de base dans la période d’application. Par exemple, une identité effectue des tâches de lecture, d’écriture ou de suppression qu’elle ne peut pas effectuer normalement.
- Identity Performed Tasks with Multiple Unusual Patterns : l’identité a plusieurs modèles inhabituels dans les tâches effectuées par l’identité par rapport à leur ligne de base dans la période d’application.
Sélectionnez Suivant.
Sous l’onglet Systèmes d’autorisation, sélectionnez les systèmes appropriés ou, pour sélectionner tous les systèmes, sélectionnez Tous.
L’écran utilise par défaut le mode Liste, mais vous pouvez basculer vers l’affichage des Dossiers à l’aide du menu, puis sélectionner le dossier applicable au lieu de le faire individuellement par système.
La colonne Status indique si le système d’autorisation est en ligne ou hors connexion.
La colonne Contrôleur indique si le contrôleur est activé ou désactivé.
Cliquez sur Enregistrer.
Afficher les déclencheurs d’alertes d’anomalie statistiques
Vous pouvez consulter et gérer les déclencheurs d’alertes d’anomalies statistiques que vous avez créés. Cette section fournit des instructions sur la manière d’accéder à ces déclencheurs et de les modifier.
Sur la page d’accueil de Gestion des autorisations, sélectionnez Alertes (l’icône en forme de cloche).
Sélectionnez Anomalie statistique, puis sélectionnez le sous-onglet Alertes.
Le sous-onglet Déclencheurs d’alertes affiche les informations suivantes :
- Alert : affiche le nom de l’alerte.
- Règle d’alerte d’anomalie : affiche le nom de la règle sélectionnée lors de la création de l’alerte.
- # of users subscribed : affiche le nombre d’utilisateurs abonnés à l’alerte.
- Created by : affiche l’adresse e-mail de l’utilisateur ayant créé l’alerte.
- Last modified by : affiche l’adresse e-mail de l’utilisateur ayant modifié l’alerte pour la dernière fois.
- Last Modified On : affiche la date et l’heure de la dernière modification du déclencheur.
- Subscription : vous abonne pour recevoir des e-mails d’alerte. Réglez le bouton sur On ou Off.
Pour filtrer sur Activated ou Deactivated, dans la section Status, sélectionnez All, Activated ou Deactivated, puis sélectionnez Apply.
Pour afficher les autres options disponibles, sélectionnez les points de suspension (...), puis sélectionnez l’une des options disponibles :
Si l’Abonnement est Activé, les options suivantes sont disponibles :
Modifier : vous permet de modifier les paramètres d’alerte
Notes
Seul l’utilisateur qui a créé l’alerte peut effectuer les actions suivantes : modifier l’écran du déclencheur, renommer une alerte, désactiver une alerte et supprimer une alerte. Les modifications apportées par d’autres utilisateurs ne sont pas enregistrées.
Dupliquer : créez une copie dupliquée du déclencheur d’alerte sélectionné.
Renommer : entrez le nouveau nom de la requête, puis sélectionnez Enregistrer.
Désactiver : l’alerte reste listée, mais n’envoie plus d’e-mails aux utilisateurs abonnés.
Activer : activez le déclencheur d’alerte et commencez à envoyer des e-mails aux utilisateurs abonnés.
Paramètres de notification : affichez l'adresse e-mail des utilisateurs qui sont abonnés au déclencheur d’alerte.
Supprimer : supprimez l’alerte.
Si l'Abonnement est Désactivé, les options suivantes sont disponibles :
- Afficher : affichez les détails du déclencheur d’alerte.
- Paramètres de notification : affichez l'adresse e-mail des utilisateurs qui sont abonnés au déclencheur d’alerte.
- Dupliquer : créez une copie dupliquée du déclencheur d’alerte sélectionné.
Sélectionnez Appliquer.
Étapes suivantes
- Pour obtenir une vue d’ensemble des alertes et des déclencheurs d’alertes, consultez Afficher des informations sur les alertes et les déclencheurs d’alerte.
- Pour plus d’informations sur les alertes d’activité et les déclencheurs d’alerte, consultez Créer et afficher des alertes d’activité et des déclencheurs d’alerte.
- Pour plus d’informations sur les alertes d’anomalie et les déclencheurs d’alertes basés sur des règles, consultez Créer et afficher des alertes d’anomalie et des déclencheurs d’alertes basés sur des règles.
- Pour plus d’informations sur les alertes et les déclencheurs d’alertes analytiques d’autorisations, consultez Créer et afficher des alertes et des déclencheurs d’alertes analytiques d’autorisations.