Creare e visualizzare avvisi e trigger di avviso basati su regole

Le anomalie basate su regole identificano le attività recenti in Gestione autorizzazioni che è determinata in modo insolito in base a regole esplicite definite nel trigger di avviso. L'obiettivo degli avvisi anomalie basati su regole è il rilevamento ad alta precisione.

È possibile configurare trigger di avviso anomalie basati su regole per le condizioni seguenti:

• Qualsiasi risorsa a cui si accede per la prima volta: l'identità accede a una risorsa per la prima volta durante l'intervallo di tempo specificato.
• Identity esegue un'attività specifica per la prima volta: l'identità esegue un'attività specifica per la prima volta durante l'intervallo di tempo specificato.
• Identity Esegue un'attività per la prima volta: l'identità esegue qualsiasi attività per la prima volta durante l'intervallo di tempo specificato.

I trigger di avviso si basano sui dati raccolti. Tutti gli avvisi, se attivati, vengono visualizzati ogni ora sotto la sottoscheda Avvisi.

Visualizzare gli avvisi anomalie basati su regole

È possibile visualizzare avvisi anomalie basati su regole per monitorare le attività insolite in Gestione autorizzazioni. Questa sezione illustra come accedere e interpretare gli avvisi.

1. Nella home page Gestione autorizzazioni selezionare Avvisi (icona a forma di campana).

2. Selezionare Anomalia basata su regole e quindi selezionare la sottoscheda Avvisi .

   Nella sottoscheda Avvisi vengono visualizzate le informazioni seguenti:

   • Nome avviso: elenca il nome dell'avviso.

   • Per visualizzare l'identità, la risorsa e i nomi di attività specifici che si sono verificati durante il periodo di raccolta degli avvisi, selezionare il nome dell'avviso.

   • Regola di avviso anomalie: visualizza il nome della regola selezionata durante la creazione dell'avviso.

   • Numero di occorrenze: quante volte si è verificato il trigger di avviso.

   • Attività: numero di attività eseguite dall'avviso.

   • Risorse: il numero di risorse a cui si accede viene attivato dall'avviso.

   • Identità: il numero di identità che eseguono comportamenti insoliti viene attivato dall'avviso.

   • Sistema di autorizzazione: visualizza i sistemi di autorizzazione a cui si applica l'avviso, Amazon Web Services (AWS), Microsoft Azure o Google Cloud Platform (GCP).

   • Data/ora: elenca la data e l'ora dell'avviso.

   • Data/ora (UTC): elenca la data e l'ora dell'avviso nell'ora UTC (Coordinated Universal Time).

3. Per filtrare gli avvisi:

   • Nell'elenco a discesa Nome avviso selezionare Tutto o il nome dell'avviso appropriato.

   • Dal menu a discesa Data selezionare Ultime 24 ore, Ultimi 2 giorni, Ultima settimana o Intervallo personalizzato e selezionare Applica.

   • Se si seleziona Intervallo personalizzato, immettere anche le impostazioni Da e A durata.

4. Per visualizzare i dettagli corrispondenti ai criteri di avviso, selezionare i puntini di sospensione (...).

   • Visualizza trigger: visualizza le impostazioni del trigger correnti e i dettagli del sistema di autorizzazione applicabili
   • Dettagli: visualizza i dettagli sul tipo di sistema di autorizzazione, sistemi di autorizzazione, risorse, attività, identità e attività
   • Attività: visualizza i dettagli relativi a Identity Name, Resource Name, Task Name, Date/Time, Inactive For e IP Address. Selezionando l'icona "occhio" viene visualizzato il riepilogo degli eventi non elaborati

Creare un trigger di avviso anomalie basato su regole

È possibile configurare trigger di avviso anomalie basati su regole per condizioni specifiche per rilevare attività insolite. Questa sezione illustra i passaggi per creare questi trigger di avviso.

1. Nella home page Gestione autorizzazioni selezionare Avvisi (icona a forma di campana).

2. Selezionare Anomalia basata su regole e quindi selezionare la sottoscheda Avvisi .

3. Selezionare Crea trigger di avviso.

4. Nella casella Nome avviso immettere un nome per l'avviso.

5. Selezionare il sistema di autorizzazione, AWS, Azure o GCP.

6. Selezionare una delle condizioni seguenti:

   • Qualsiasi risorsa a cui si accede per la prima volta: l'identità accede a una risorsa per la prima volta durante l'intervallo di tempo specificato.
   • Identity esegue un'attività specifica per la prima volta: l'identità esegue un'attività specifica per la prima volta durante l'intervallo di tempo specificato.
   • Identity Esegue un'attività per la prima volta: l'identità esegue qualsiasi attività per la prima volta durante l'intervallo di tempo specificato.

7. Selezionare Avanti.

8. Nella scheda Sistemi di autorizzazione selezionare i sistemi e le cartelle di autorizzazione disponibili oppure selezionare Tutti.

   Per impostazione predefinita, questa schermata è Visualizzazione elenco , ma è possibile modificarla in Visualizzazione Cartelle . È possibile selezionare la cartella applicabile anziché selezionare singolarmente il sistema di autorizzazione.

   • La colonna Stato viene visualizzata se il sistema di autorizzazione è online o offline.
   • La colonna Controller viene visualizzata se il controller è abilitato o disabilitato.

9. Nella scheda Configurazione, per aggiornare l'intervallo di tempo, selezionare 90 giorni, 60 giorni o 30 giorni dall'elenco a discesa Intervallo di tempo.

10. Seleziona Salva.

Visualizzare un trigger di avviso anomalie basato su regole

È possibile visualizzare e gestire i trigger di avviso anomalie basati su regole creati. Questa sezione fornisce istruzioni su come accedere e modificare questi trigger.

1. Nella home page Gestione autorizzazioni selezionare Avvisi (icona a forma di campana).

2. Selezionare Anomalia basata su regole e quindi selezionare la sottoscheda Trigger di avviso.

   Nella sottoscheda Trigger di avviso vengono visualizzate le informazioni seguenti:

   • Avvisi: visualizza il nome dell'avviso.
   • Regola di avviso anomalie: visualizza il nome della regola selezionata durante la creazione dell'avviso.
   • Numero di utenti sottoscritti: visualizza il numero di utenti sottoscritti per l'avviso.
   • Creato da: visualizza l'indirizzo di posta elettronica dell'utente che ha creato l'avviso.
   • Ultima modifica da: visualizza l'indirizzo di posta elettronica dell'utente che ha modificato l'ultimo avviso.
   • Data e ora dell'ultima modifica: visualizza la data e l'ora dell'ultima modifica del trigger.
   • Sottoscrizione: consente di ricevere messaggi di posta elettronica di avviso. Passa da On a Off.

3. Per visualizzare altre opzioni disponibili, selezionare i puntini di sospensione (...) e quindi selezionare tra le opzioni disponibili:

   Se la sottoscrizione è attivata, sono disponibili le opzioni seguenti:

   • Modifica: consente di modificare i parametri di avviso.

     Solo l'utente che ha creato l'avviso può modificare la schermata del trigger, rinominare un avviso, disattivare un avviso ed eliminare un avviso. Le modifiche apportate da altri utenti non vengono salvate.

   • Duplicato: creare una copia duplicata del trigger di avviso selezionato.

   • Rinomina: immettere il nuovo nome della query e quindi selezionare Salva.

   • Disattiva: l'avviso verrà comunque elencato, ma non invierà più messaggi di posta elettronica agli utenti sottoscritti.

   • Attiva: attiva il trigger di avviso e inizia a inviare messaggi di posta elettronica agli utenti sottoscritti.

   • Impostazioni di notifica: visualizzare l'indirizzo di posta elettronica degli utenti sottoscritti per il trigger di avviso.

   • Elimina: eliminare l'avviso.

   Se la sottoscrizione è disattivata, sono disponibili le opzioni seguenti:

   • Visualizza: visualizzare i dettagli del trigger di avviso.
   • Impostazioni di notifica: visualizzare l'indirizzo di posta elettronica degli utenti sottoscritti per il trigger di avviso.
   • Duplicato: creare una copia duplicata del trigger di avviso selezionato.

4. Per filtrare in base a Attivato o Disattivato, nella sezione Stato selezionare Tutto, Attivato o Disattivato e quindi selezionare Applica.

Passaggi successivi

• Per una panoramica degli avvisi e dei trigger di avviso, vedere Visualizzare informazioni sugli avvisi e sui trigger di avviso.
• Per informazioni sugli avvisi di attività e sui trigger di avviso, vedere Creare e visualizzare avvisi e trigger di avviso per le attività.
• Per informazioni sull'individuazione degli outlier nel comportamento dell'identità, vedere Creare e visualizzare avvisi statistici di anomalie e trigger di avviso.
• Per informazioni sugli avvisi di analisi delle autorizzazioni e sui trigger di avviso, vedere Creare e visualizzare avvisi e trigger di avviso per l'analisi delle autorizzazioni.