次の方法で共有

ルールベースの異常アラートとアラート トリガーを作成および表示する

  • [アーティクル]

ルールベースの異常は、アラート トリガーで定義されている明示的なルールに基づいて異常であると判断された Permissions Management 内の最近のアクティビティを特定します。 ルールベースの異常アラートの目標は、高精度の検出です。

ルールベースの異常アラート トリガーは、次の条件に対して構成できます。

  • 初めてアクセスされるすべてのリソース: ID で、指定された期間にリソースに初めてアクセスします。
  • ID により初めて実行されるアクセスされる特定のタスク: ID で、指定された期間に初めて特定のタスクを実行します。
  • ID により初めて実行されるタスク: ID で、指定された期間に任意のタスクを初めて実行します。

アラート トリガーは、収集されたデータに基づいています。 トリガーされた場合は、すべてのアラートが [アラート] サブタブの下に 1 時間ごとに表示されます。

ルールベースの異常アラートの表示

ルールベースの異常アラートを表示して、Permissions Management での異常なアクティビティを監視できます。 このセクションでは、アラートにアクセスしてそれを解釈する方法について説明します。

  1. Permissions Management ホーム ページで、[アラート] (ベル アイコン) を選択します。

  2. [ルールベースの異常] を選択し、[アラート] サブタブを選択します。

    [アラート] サブタブに、次の情報が表示されます。

    • [アラート名]: アラートの名前が一覧表示されます。

    • アラート コレクション期間中に発生した特定の ID、リソース、タスクの名前を表示するには、[アラート名] を選択します。

    • [異常アラート ルール]: アラートの作成時に選択したルールの名前が表示されます。

    • [出現回数]: 警告トリガーが発生した回数です。

    • タスク: 実行されたタスクのうちアラートによってトリガーされた数です。

    • リソース: アクセスされたリソースのうちアラートによってトリガーされた数です。

    • ID: 異常な動作を実行する ID のうち、アラートによってトリガーされた数です。

    • 認可システム: アラートが適用される認可システム (アマゾン ウェブ サービス (AWS)、Microsoft Azure、または Google Cloud Platform (GCP)) が表示されます。

    • [日付/時刻]: アラートの日付と時刻を提示します。

    • [日時 (UTC)]: アラートの日付と時刻を協定世界時 (UTC) で提示します。

  3. アラートをフィルター処理するには、次を行います。

    • [アラート名] ドロップダウンから、[すべて] または該当するアラート名を選択します。

    • [日付] ドロップダウン メニューから、[過去 24 時間][過去 2 日間][前週]、または[カスタム範囲] を選択して、[適用] を選択します。

    • カスタム範囲 を選択した場合は、開始終了 の期間設定も入力します。

  4. アラートの条件に一致する詳細を表示するには、省略記号 (...) を選択します。

    • [トリガーの表示]: 現在のトリガー設定と適用可能な認可システムの詳細が表示されます
    • 詳細: 認可システムの種類認可システムリソースタスクID、およびアクティビティに関する詳細が表示されます。
    • アクティビティ: ID 名リソース名タスク名日付時刻非アクティブ期間IP アドレスに関する詳細が表示されます。 "目" のアイコンを選択すると、生イベントの概要が表示されます。

ルールベースの異常アラート トリガーを作成する

異常なアクティビティが検出されるように、特定の条件に対してルールベースの異常アラート トリガーを構成できます。 このセクションでは、これらのアラート トリガーを作成する手順について説明します。

  1. Permissions Management ホーム ページで、[アラート] (ベル アイコン) を選択します。

  2. [ルールベースの異常] を選択し、[アラート] サブタブを選択します。

  3. [アラート トリガーの作成] を選択します。

  4. [アラート名] ボックスに、アラートの名前を入力します。

  5. 目的の認可システム ([AWS][Azure]、または [GCP]) を選択します。

  6. 次のいずれかの条件を選択します。

    • 初めてアクセスされるすべてのリソース: ID で、指定された期間にリソースに初めてアクセスします。
    • ID により初めて実行されるアクセスされる特定のタスク: ID で、指定された期間に初めて特定のタスクを実行します。
    • ID により初めて実行されるタスク: ID で、指定された期間に任意のタスクを初めて実行します。

  7. [次へ] を選択します。

  8. [認可システム] タブで、使用可能な認可システムとフォルダーを選択するか、[すべて]を選択します。

    この画面は既定でリスト ビューに設定されていますが、フォルダー ビューに変更することができます。 認可システムで個別に選択する代わりに、該当するフォルダーを選択できます。

    • [状態] 列には、認可システムがオンラインまたはオフラインのいずれであるかが表示されます。
    • [コントローラー] 列には、コントローラーが有効か無効かが表示されます。

  9. [構成] タブで、[期間] を更新するには、[時間範囲] ドロップダウンで [90 日][60 日]、または [30 日] を選択します。

  10. [保存] を選択します。

ルールベースの異常アラート トリガーを表示する

作成したルールベースの異常アラート トリガーを表示および管理できます。 このセクションでは、これらのトリガーにアクセスしてそれを変更する手順について説明します。

  1. Permissions Management ホーム ページで、[アラート] (ベル アイコン) を選択します。

  2. [ルールベースの異常] を選択し、その後 [アラート トリガー] サブタブを選択します。

    [アラート トリガー] サブタブには、次の情報が表示されます。

    • [アラート]: アラートの名前が表示されます。
    • [異常アラート ルール]: アラートの作成時に選択したルールの名前を表示します。
    • [サブスクライブしているユーザー数]: アラートをサブスクライブしているユーザーの数が表示されます。
    • [作成者]: アラートを作成したユーザーの電子メール アドレスが表示されます。
    • [最終更新者]: アラートを最後に変更したユーザーの電子メール アドレスが表示されます。
    • [最終更新日]: トリガーが最後に変更された日付と時刻が表示されます。
    • [サブスクリプション]: アラートの電子メールを受信するようにサブスクライブします。 オンオフを切り替えます。

  3. 使用可能なその他のオプションを表示するには、省略記号 (...) を選択して、使用可能なオプションから選択します。

    [サブスクリプション][オン] の場合は、次のオプションを使用できます。

    • [編集]: アラートのパラメーターを変更できます。

      トリガー画面の編集、アラート名の変更、アラートの非アクティブ化、アラートの削除をできるのは、アラートを作成したユーザーのみです。 他のユーザーが行った変更は保存されません。

    • [複製]: 選択したアラート トリガーの複製コピーを作成します。

    • [名前の変更]: クエリの新しい名前を入力して、[保存] を選択します。

    • [非アクティブ化]: アラートは引き続き一覧表示されますが、サブスクライブしているユーザーに電子メールが送信されなくなります。

    • [アクティブ化]: アラート トリガーをアクティブ化し、サブスクライブしているユーザーへの電子メールの送信を開始します。

    • [通知設定]: アラート トリガーをサブスクライブしているユーザーの [電子メール] が表示されます。

    • [削除]: アラートを削除します。

    [サブスクリプション][オフ] の場合は、次のオプションを使用できます。

    • [表示]: アラート トリガーの詳細が表示されます。
    • [通知設定]: アラート トリガーをサブスクライブしているユーザーの [電子メール] が表示されます。
    • [複製]: 選択したアラート トリガーの複製コピーを作成します。

  4. [アクティブ] または [非アクティブ] でフィルター処理するには、[状態] セクションで [すべて][アクティブ]、または [非アクティブ] を選択して、[適用] を選択します。

次のステップ