Creare e visualizzare avvisi basati su regole e attivatori di avviso.
Le anomalie basate su regole identificano le attività recenti nella Gestione autorizzazioni che sono considerate insolite in base a regole esplicite definite nel trigger di avviso. L'obiettivo degli avvisi anomalie basati su regole è il rilevamento ad alta precisione.
È possibile configurare trigger di avviso anomalie basati su regole per le condizioni seguenti:
- Qualsiasi risorsa a cui si accede per la prima volta: l'identità accede a una risorsa per la prima volta durante l'intervallo di tempo specificato.
- Identity esegue un'attività specifica per la prima volta: l'identità esegue un'attività specifica per la prima volta durante l'intervallo di tempo specificato.
- Identity Esegue un'attività per la prima volta: l'identità esegue qualsiasi attività per la prima volta durante l'intervallo di tempo specificato.
I trigger di avviso si basano sui dati raccolti. Tutti gli avvisi, se attivati, vengono visualizzati ogni ora sotto la sottoscheda Avvisi.
Visualizzare gli avvisi anomalie basati su regole
È possibile visualizzare avvisi anomalie basati su regole per monitorare le attività insolite in Gestione autorizzazioni. Questa sezione illustra come accedere e interpretare gli avvisi.
Nella home page Gestione autorizzazioni selezionare Avvisi (icona a forma di campana).
Selezionare Anomalia basata su regole e quindi selezionare la sottoscheda Avvisi .
Nella sottoscheda Avvisi vengono visualizzate le informazioni seguenti:
Nome dell'Avviso: Elenca il nome dell'avviso.
Per visualizzare l'identità, la risorsa e i nomi di attività specifici che si sono verificati durante il periodo di raccolta degli avvisi, selezionare il nome dell'avviso.
Regola di avviso anomalie: visualizza il nome della regola selezionata durante la creazione dell'avviso.
Numero di occorrenze: quante volte si è verificato il trigger di avviso.
Attività: numero di attività eseguite dall'avviso.
Risorse: Quante risorse accessibili vengono attivate dall'avviso.
Identità: Quante identità che eseguono comportamenti insoliti vengono rilevate dall'avviso.
Sistema di autorizzazione: visualizza i sistemi di autorizzazione a cui si applica l'avviso, Amazon Web Services (AWS), Microsoft Azure o Google Cloud Platform (GCP).
Data/ora: elenca la data e l'ora dell'avviso.
Data/ora (UTC): Elenca la data e l'ora dell'allerta in ora Coordinata Universale (UTC).
Per filtrare gli avvisi:
Dal menu a discesa Nome avviso, selezionare Tutto o il nome dell'avviso appropriato.
Dal menu a discesa Data selezionare Ultime 24 ore, Ultimi 2 giorni, Ultima settimana o Intervallo personalizzato e selezionare Applica.
Se si seleziona l'Intervallo personalizzato, immettere inoltre le impostazioni di durata Da e A.
Per visualizzare i dettagli corrispondenti ai criteri di avviso, selezionare i puntini di sospensione (...).
- Visualizza trigger: visualizza le impostazioni del trigger correnti e i dettagli del sistema di autorizzazione applicabili
- Dettagli: visualizza i dettagli sul tipo di sistema di autorizzazione, sistemi di autorizzazione, risorse, attività, identità e attività
- Attività: visualizza i dettagli relativi a Identity Name, Resource Name, Task Name, Date/Time, Inactive For e IP Address. Selezionando l'icona "occhio" viene visualizzato il riepilogo degli eventi non elaborati
Creare un trigger di avviso anomalie basato su regole
È possibile configurare trigger di avviso anomalie basati su regole per condizioni specifiche per rilevare attività insolite. Questa sezione illustra i passaggi per creare questi trigger di avviso.
Nella home page Gestione autorizzazioni selezionare Avvisi (icona a forma di campana).
Selezionare Anomalia basata su regole e quindi selezionare la sottoscheda Avvisi .
Selezionare Crea trigger avviso.
Nella casella Nome dell'avviso inserisci un nome per l'avviso.
Selezionare il sistema di autorizzazione, AWS, Azure o GCP.
Selezionare una delle condizioni seguenti:
- Qualsiasi risorsa a cui si accede per la prima volta: l'identità accede a una risorsa per la prima volta durante l'intervallo di tempo specificato.
- Identity esegue un'attività specifica per la prima volta: l'identità esegue un'attività specifica per la prima volta durante l'intervallo di tempo specificato.
- Identity Esegue un'attività per la prima volta: l'identità esegue qualsiasi attività per la prima volta durante l'intervallo di tempo specificato.
Selezionare Avanti.
Nella scheda Sistemi di autorizzazione selezionare i sistemi e le cartelle di autorizzazione disponibili oppure selezionare Tutti.
Per impostazione predefinita, questa schermata è Visualizzazione elenco , ma è possibile modificarla in Visualizzazione Cartelle . È possibile selezionare la cartella applicabile anziché selezionare singolarmente il sistema di autorizzazione.
- La colonna Stato viene visualizzata se il sistema di autorizzazione è online o offline.
- La colonna Controller viene visualizzata se il controller è abilitato o disabilitato.
Nella scheda Configurazione, per aggiornare l'intervallo di tempo, selezionare 90 giorni, 60 giorni o 30 giorni dall'elenco a discesa Intervallo di tempo.
Seleziona Salva.
Visualizzare un attivatore di avviso di anomalie basato su regole
È possibile visualizzare e gestire i trigger di avviso anomalie basati su regole creati. Questa sezione fornisce istruzioni su come accedere e modificare questi trigger.
Nella home page Gestione autorizzazioni selezionare Avvisi (icona a forma di campana).
Selezionare Anomalia basata su regole e quindi selezionare la scheda Trigger di avviso.
La sottoscheda Avvisi Trigger visualizza le seguenti informazioni:
- Avvisi: visualizza il nome dell'avviso.
- Regola di avviso anomalie: visualizza il nome della regola selezionata durante la creazione dell'avviso.
- Numero di utenti sottoscritti: visualizza il numero di utenti sottoscritti per l'avviso.
- Creato da: visualizza l'indirizzo di posta elettronica dell'utente che ha creato l'avviso.
- Ultima modifica da: visualizza l'indirizzo di posta elettronica dell'utente che ha modificato l'ultimo avviso.
- Data e ora dell'ultima modifica: visualizza la data e l'ora dell'ultima modifica del trigger.
- Sottoscrizione: consente di ricevere messaggi di posta elettronica di avviso. Passa da On a Off.
Per visualizzare altre opzioni disponibili, selezionare i puntini di sospensione (...) e quindi selezionare tra le opzioni disponibili:
Se la sottoscrizione è attivata, sono disponibili le opzioni seguenti:
Modifica: consente di modificare i parametri di avviso.
Solo l'utente che ha creato l'avviso può modificare la schermata del trigger, rinominare un avviso, disattivare un avviso ed eliminare un avviso. Le modifiche apportate da altri utenti non vengono salvate.
Duplicato: creare una copia duplicata del trigger di avviso selezionato.
Rinomina: immettere il nuovo nome della query e quindi selezionare Salva.
Disattiva: l'avviso verrà comunque elencato, ma non invierà più messaggi di posta elettronica agli utenti sottoscritti.
Attiva: attiva il trigger di avviso e inizia a inviare messaggi di posta elettronica agli utenti sottoscritti.
Impostazioni di notifica: visualizzare l'indirizzo di posta elettronica degli utenti sottoscritti per il trigger di avviso.
Elimina: eliminare l'avviso.
Se la sottoscrizione è disattivata, sono disponibili le opzioni seguenti:
- Visualizza: visualizzare i dettagli del trigger di avviso.
- Impostazioni di notifica: visualizzare l'indirizzo di posta elettronica degli utenti sottoscritti per il trigger di avviso.
- Duplicato: creare una copia duplicata del trigger di avviso selezionato.
Per filtrare in base a Attivato o Disattivato, nella sezione Stato selezionare Tutto, Attivato o Disattivato e quindi selezionare Applica.
Passaggi successivi
- Per una panoramica sugli avvisi e sui trigger di avviso, vedere Visualizzare informazioni sugli avvisi e sui trigger di avviso.
- Per informazioni sugli avvisi di attività e sui trigger di avviso, vedere Creare e visualizzare avvisi di attività e trigger di avviso.
- Per informazioni sull'individuazione degli outlier nel comportamento dell'identità, vedere Creare e visualizzare avvisi di anomalie statistiche e trigger di avviso.
- Per informazioni sugli avvisi e sui trigger di analisi delle autorizzazioni, vedere Creare e visualizzare avvisi e trigger di analisi delle autorizzazioni.