Creare e visualizzare avvisi e trigger di avviso statistici

Le anomalie statistiche possono rilevare outlier nel comportamento di un'identità se l'attività recente è determinata come insolita in base ai modelli definiti in un trigger di attività. L'obiettivo di questo trigger di avviso è una frequenza di richiamo elevata.

È possibile configurare trigger di avviso anomalie statistici per gli scenari seguenti:

• Identità eseguita con un numero elevato di attività: l'identità esegue prestazioni superiori al volume consueto di attività. Ad esempio, un'identità esegue in genere 25 attività al giorno e ora esegue 100 attività al giorno.
• Identità eseguita con un numero ridotto di attività: l'identità esegue un numero inferiore rispetto al normale volume di attività. Ad esempio, un'identità esegue in genere 100 attività al giorno e ora esegue 25 attività al giorno.
• Identità eseguita attività con risultati insoliti: l'identità che esegue un'azione ottiene un risultato diverso rispetto al solito, ad esempio la maggior parte delle attività termina con esito positivo e ora termina con un risultato non riuscito o viceversa.
• Identità eseguita attività con tempi insoliti: l'identità esegue attività in momenti insoliti, come stabilito dalla baseline nel periodo di osservanza. Le ore sono raggruppate in base alle seguenti finestre utc di 4 ore.
• Identità eseguita attività con tipi insoliti: l'identità esegue tipi insoliti di attività come stabilito dalla baseline nel periodo di osservanza. Ad esempio, un'identità esegue attività di lettura, scrittura o eliminazione che normalmente non eseguono.
• Identità eseguita attività con più modelli insoliti: l'identità ha diversi modelli insoliti nelle attività eseguite dall'identità come stabilito dalla baseline nel periodo di osservanza.

I trigger di avviso si basano sui dati raccolti. Tutti gli avvisi, se attivati, vengono visualizzati ogni ora sotto la sottoscheda Avvisi.

Visualizzare le anomalie statistiche nel comportamento di un'identità

È possibile visualizzare anomalie statistiche nel comportamento di un'identità per monitorare le attività insolite in Gestione autorizzazioni. Questa sezione illustra come accedere e interpretare gli avvisi.

1. Nella home page Gestione autorizzazioni selezionare Avvisi (icona a forma di campana).

2. Selezionare Anomalie statistiche e quindi la sottoscheda Avvisi .

   Nella sottoscheda Avvisi vengono visualizzate le informazioni seguenti:

   • Nome avviso: elenca il nome dell'avviso.
   • Regola di avviso anomalie: visualizza il nome della regola selezionata durante la creazione dell'avviso.
   • Numero di occorrenze: visualizza il numero di occorrenze del trigger di avviso.
   • Sistema di autorizzazione: visualizza i sistemi di autorizzazione a cui si applica l'avviso.
   • Data/ora: elenca il giorno dell'outlier in corso.
   • Data/ora (UTC): elenca il giorno dell'outlier che si verifica nell'ora UTC (Coordinated Universal Time).

3. Per filtrare gli avvisi in base al nome, selezionare il nome dell'avviso appropriato o scegliere Tutti dal menu a discesa Nome avviso e selezionare Applica.

4. Per filtrare gli avvisi in base all'ora di avviso, selezionare Ultime 24 ore, Ultimi 2 giorni, Ultima settimana o Intervallo personalizzato dal menu a discesa Data e selezionare Applica.

5. Se si selezionano i puntini di sospensione (...) e si seleziona:

   • I dettagli consentono di visualizzare una visualizzazione Riepilogo avvisi con sistema di autorizzazione, modello statistico e periodo di osservanza visualizzati insieme a una tabella con una riga per identità che attiva questo avviso. Da qui è possibile fare clic su:
   • Dettagli: visualizza grafici che evidenziano l'anomalia con il contesto e fino alle prime 3 azioni eseguite nel giorno dell'anomalia
   • Visualizza trigger: visualizza le impostazioni del trigger correnti e i dettagli del sistema di autorizzazione applicabili
   • Visualizza trigger: visualizza le impostazioni del trigger correnti e i dettagli del sistema di autorizzazione applicabili

Creare un trigger di avviso di anomalia statistica

È possibile configurare trigger di avviso anomalie statistici per condizioni specifiche per rilevare attività insolite. Questa sezione illustra i passaggi per creare questi trigger di avviso.

1. Nella home page Gestione autorizzazioni selezionare Avvisi (icona a forma di campana).

2. Selezionare Anomalie statistiche, selezionare la sottoscheda Avvisi e quindi selezionare Crea trigger di avviso.

3. Immettere un nome per l'avviso nella casella Nome avviso.

4. Selezionare il sistema di autorizzazione, Amazon Web Services (AWS), Microsoft Azure o Google Cloud Platform (GCP).

5. Selezionare una delle condizioni seguenti:

   • Identità eseguita con un numero elevato di attività: l'identità esegue prestazioni superiori al volume consueto di attività. Ad esempio, un'identità esegue in genere 25 attività al giorno e ora esegue 100 attività al giorno.
   • Identità eseguita con un numero ridotto di attività: l'identità esegue un numero inferiore rispetto al normale volume di attività. Ad esempio, un'identità esegue in genere 100 attività al giorno e ora esegue 25 attività al giorno.
   • Identità eseguita attività con risultati insoliti: l'identità che esegue un'azione ottiene un risultato diverso rispetto al solito, ad esempio la maggior parte delle attività termina con esito positivo e ora termina con un risultato non riuscito o viceversa.
   • Identità eseguita attività con tempi insoliti: l'identità esegue attività in momenti insoliti, come stabilito dalla baseline nel periodo di osservanza. Le ore sono raggruppate in base alle seguenti finestre di 4 ore UTC.
     • 12:00-4:00 UTC
     • 4:00 -8:00 UTC
     • 12:00 UTC
     • 12PM-4PM UTC
     • 14:00 UTC
     • 12:00 UTC
   • Identità eseguita attività con tipi insoliti: l'identità esegue tipi insoliti di attività come stabilito dalla baseline nel periodo di osservanza. Ad esempio, un'identità esegue attività di lettura, scrittura o eliminazione che normalmente non eseguono.
   • Identità eseguita attività con più modelli insoliti: l'identità ha diversi modelli insoliti nelle attività eseguite dall'identità come stabilito dalla baseline nel periodo di osservanza.

6. Selezionare Avanti.

7. Nella scheda Sistemi di autorizzazione selezionare i sistemi appropriati oppure selezionare Tutti i sistemi per selezionare tutti i sistemi.

   Per impostazione predefinita, la schermata è la visualizzazione Elenco , ma è possibile passare alla visualizzazione Cartella usando il menu e quindi selezionare la cartella applicabile anziché singolarmente in base al sistema.

   • La colonna Stato viene visualizzata se il sistema di autorizzazione è online o offline.

   • La colonna Controller viene visualizzata se il controller è abilitato o disabilitato.

8. Seleziona Salva.

Visualizzare i trigger di avviso di anomalia statistici

È possibile visualizzare e gestire i trigger di avviso di anomalie statistici creati. Questa sezione fornisce istruzioni su come accedere e modificare questi trigger.

1. Nella home page Gestione autorizzazioni selezionare Avvisi (icona a forma di campana).

2. Selezionare Anomalie statistiche e quindi la sottoscheda Trigger di avviso.

   Nella sottoscheda Trigger di avviso vengono visualizzate le informazioni seguenti:

   • Avviso: visualizza il nome dell'avviso.
   • Regola di avviso anomalie: visualizza il nome della regola selezionata durante la creazione dell'avviso.
   • Numero di utenti sottoscritti: visualizza il numero di utenti sottoscritti per l'avviso.
   • Creato da: visualizza l'indirizzo di posta elettronica dell'utente che ha creato l'avviso.
   • Ultima modifica da: visualizza l'indirizzo di posta elettronica dell'utente che ha modificato l'ultimo avviso.
   • Data e ora dell'ultima modifica: visualizza la data e l'ora dell'ultima modifica del trigger.
   • Sottoscrizione: consente di ricevere messaggi di posta elettronica di avviso. Attivare o disattivare il pulsante.

3. Per filtrare in base a Attivato o Disattivato, nella sezione Stato selezionare Tutto, Attivato o Disattivato e quindi selezionare Applica.

4. Per visualizzare altre opzioni disponibili, selezionare i puntini di sospensione (...) e quindi selezionare tra le opzioni disponibili:

   Se la sottoscrizione è attivata, sono disponibili le opzioni seguenti:

   • Modifica: consente di modificare i parametri di avviso

     Nota

     Solo l'utente che ha creato l'avviso può eseguire le azioni seguenti: modificare la schermata del trigger, rinominare un avviso, disattivare un avviso ed eliminare un avviso. Le modifiche apportate da altri utenti non vengono salvate.

   • Duplicato: creare una copia duplicata del trigger di avviso selezionato.

   • Rinomina: immettere il nuovo nome della query e quindi selezionare Salva.

   • Disattiva: l'avviso verrà comunque elencato, ma non invierà più messaggi di posta elettronica agli utenti sottoscritti.

   • Attiva: attiva il trigger di avviso e inizia a inviare messaggi di posta elettronica agli utenti sottoscritti.

   • Impostazioni di notifica: visualizzare l'indirizzo di posta elettronica degli utenti sottoscritti per il trigger di avviso.

   • Elimina: eliminare l'avviso.

   Se la sottoscrizione è disattivata, sono disponibili le opzioni seguenti:

   • Visualizza: visualizzare i dettagli del trigger di avviso.
   • Impostazioni di notifica: visualizzare l'indirizzo di posta elettronica degli utenti che hanno sottoscritto il trigger di avviso.
   • Duplicato: creare una copia duplicata del trigger di avviso selezionato.

5. Selezionare Applica.

Passaggi successivi

• Per una panoramica degli avvisi e dei trigger di avviso, vedere Visualizzare informazioni sugli avvisi e sui trigger di avviso.
• Per informazioni sugli avvisi di attività e sui trigger di avviso, vedere Creare e visualizzare avvisi e trigger di avviso per le attività.
• Per informazioni sugli avvisi di anomalie e sui trigger di avviso basati su regole, vedere Creare e visualizzare avvisi e trigger di avviso basati su regole.
• Per informazioni sugli avvisi di analisi delle autorizzazioni e sui trigger di avviso, vedere Creare e visualizzare avvisi e trigger di avviso per l'analisi delle autorizzazioni.