統計的異常アラートとアラート トリガーを作成および表示する

統計的異常では、アクティビティ トリガーで定義されたモデルに基づいて最近のアクティビティが異常であると判断された場合に、ID の動作の外れ値を検出できます。 このアラート トリガーの目的は、再呼び出し率を高くすることです。

次のシナリオに対して、統計的異常アラート トリガーを構成できます。

• [ID で実行されたタスクが多い]: ID で、通常よりも多くのタスクが実行されている。 たとえば、ID では通常 1 日に 25 個のタスクが実行されるが、1 日に 100 個のタスクが実行されている。
• [ID で実行されたタスクが少ない]: ID で、通常よりも少ないタスクが実行されている。 たとえば、ID では通常 1 日に 100 個のタスクが実行されるが、1 日に 25 個のタスクが実行されている。
• [ID でタスクが実行され、異常な結果が発生した]: アクションが実行された ID で、通常とは異なる結果が発生する。たとえば、ほとんどのタスクは成功で終わるが、失敗で終わる場合 (またはその逆の場合)。
• [ID で異常なタイミングでタスクが実行された]: ID で、監視期間の基準による設定に従うと、異常な時間にタスクが実行される。 時間は、次の UTC の 4 時間の時間帯でグループ化されます。
• [ID で異常な種類のタスクが実行された]: ID で、監視期間の基準による設定に従うと、異常な種類のタスクが実行される。 たとえば、ID で通常は実行されない読み取り、書き込み、または削除のタスクが実行されている。
• [ID で複数の異常なパターンでタスクが実行された]: 監視期間の基準による設定に従うと、ID によって実行されるタスクにいくつかの異常なパターンがある。

アラート トリガーは、収集されたデータに基づいています。 トリガーされた場合は、すべてのアラートが [アラート] サブタブの下に 1 時間ごとに表示されます。

ID の動作の統計的異常を表示する

ID の動作の統計的異常を表示して、Permissions Management で異常なアクティビティを監視できます。 このセクションでは、アラートにアクセスして解釈する方法について説明します。

1. Permissions Management ホーム ページで、[アラート] (ベル アイコン) を選択します。

2. [統計的異常] を選択して、[アラート] サブタブを選択します。

   [アラート] サブタブに、次の情報が表示されます。

   • [アラート名]: アラートの名前が一覧表示されます。
   • [異常アラート ルール]: アラートの作成時に選択したルールの名前が表示されます。
   • [出現回数]: アラート トリガーが発生した回数が表示されます。
   • [認可システム]: アラートが適用される認可システムが表示されます。
   • [日付/時刻]: 外れ値の発生日を一覧表示します。
   • [日付/時刻 (UTC)]: 発生した外れ値の日付を協定世界時 (UTC) で一覧表示します。

3. 名前に基づいてアラートをフィルター処理するには、[アラート名] ドロップダウン メニューで、該当するアラート名を選択するか、[すべて] を選択して、[適用] を選択します。

4. アラート時間に基づいてアラートをフィルター処理するには、[日付] ドロップダウン メニューで [過去 24 時間]、[過去 2 日間]、[先週]、または [カスタム範囲] を選択して、[適用] を選択します。

5. 省略記号 (...) を選択して、次のように選択します。

   • [詳細] を選択すると、[認可システム]、[統計モデル]、[監視期間] を含む [アラートの概要] ビューが、このアラートがトリガーされた ID ごとの行を含むテーブルと共に表示されます。 ここでは、次の項目をクリックできます。
   • [詳細]: 異常を強調表示したグラフとコンテキスト、および異常があった日に実行された上位 3 件までのアクションが表示されます
   • [トリガーの表示]: 現在のトリガー設定と適用可能な認可システムの詳細が表示されます
   • [トリガーの表示]: 現在のトリガー設定と適用可能な認可システムの詳細が表示されます

統計的異常アラート トリガーを作成する

異常なアクティビティが検出されるように、特定の条件に対して統計的異常アラート トリガーを構成できます。 このセクションでは、これらのアラート トリガーを作成する手順について説明します。

1. Permissions Management ホーム ページで、[アラート] (ベル アイコン) を選択します。

2. [統計的異常] を選択し、[アラート] サブタブを選択して、[アラート トリガーの作成] を選択します。

3. [アラート名] ボックスに、アラートの名前を入力します。

4. [認証システム]、アマゾン ウェブ サービス (AWS)、Microsoft Azure、または Google Cloud Platform (GCP) を選択します。

5. 次のいずれかの条件を選択します。

   • [ID で実行されたタスクが多い]: ID で、通常よりも多くのタスクが実行されている。 たとえば、ID では通常 1 日に 25 個のタスクが実行されるが、1 日に 100 個のタスクが実行されている。
   • [ID で実行されたタスクが少ない]: ID で、通常よりも少ないタスクが実行されている。 たとえば、ID では通常 1 日に 100 個のタスクが実行されるが、1 日に 25 個のタスクが実行されている。
   • [ID でタスクが実行され、異常な結果が発生した]: アクションが実行された ID で、通常とは異なる結果が発生する。たとえば、ほとんどのタスクは成功で終わるが、失敗で終わる場合 (またはその逆の場合)。
   • [ID で異常なタイミングでタスクが実行された]: ID で、監視期間の基準による設定に従うと、異常な時間にタスクが実行される。 時間は、次の UTC の 4 時間の時間帯でグループ化されます。
     • 午前 0 時 - 午前 4 時 (UTC)
     • 午前 4 時 - 午前 8 時 (UTC)
     • 午前 8 時 - 午後 0 時 (UTC)
     • 午後 0 時 - 午後 4 時 (UTC)
     • 午後 4 時 - 午後 8 時 (UTC)
     • 午後 8 時 - 午前 0 時 (UTC)
   • [ID で異常な種類のタスクが実行された]: ID で、監視期間の基準による設定に従うと、異常な種類のタスクが実行される。 たとえば、ID で通常は実行されない読み取り、書き込み、または削除のタスクが実行されている。
   • [ID で複数の異常なパターンでタスクが実行された]: 監視期間の基準による設定に従うと、ID によって実行されるタスクにいくつかの異常なパターンがある。

6. [次へ] を選択します。

7. [認可システム] タブで、適切なシステムを選択します。すべてのシステムを選択するには [すべて] を選択します。

   既定では、画面は [リスト] ビューで表示されますが、メニューを使用して [フォルダー] ビューに切り替えて、システムを個別に選択するのではなく、適切なフォルダーを選択できます。

   • [状態] 列には、認証システムがオンラインまたはオフラインのいずれであるかが表示されます。

   • [コントローラー] 列には、コントローラーが有効か無効かが表示されます。

8. [保存] を選択します。

統計的異常アラート トリガーを表示する

作成した統計的異常アラート トリガーを表示および管理できます。 このセクションでは、これらのトリガーにアクセスして変更する手順について説明します。

1. Permissions Management ホーム ページで、[アラート] (ベル アイコン) を選択します。

2. [統計的異常] を選択して、[アラート トリガー] サブタブを選択します。

   [アラート トリガー] サブタブには、次の情報が表示されます。

   • [アラート]: アラートの名前が表示されます。
   • [異常アラート ルール]: アラートの作成時に選択したルールの名前が表示されます。
   • [サブスクライブしているユーザー数]: アラートをサブスクライブしているユーザーの数が表示されます。
   • [作成者]: アラートを作成したユーザーの電子メール アドレスが表示されます。
   • [最終更新者]: アラートを最後に変更したユーザーの電子メール アドレスが表示されます。
   • [最終更新日]: トリガーが最後に変更された日付と時刻が表示されます。
   • [サブスクリプション]: サブスクライブしてアラートの電子メールを受け取ります。 ボタンでオンまたはオフに切り替えます。

3. [アクティブ] または [非アクティブ] でフィルター処理するには、[状態] セクションで [すべて]、[アクティブ]、または [非アクティブ] を選択して、[適用] を選択します。

4. 使用可能なその他のオプションを表示するには、省略記号 (...) を選択し、使用可能なオプションから選択します。

   [サブスクリプション] が [オン] の場合は、次のオプションを使用できます。

   • [編集]: アラートのパラメーターを変更できます

     注意

     トリガー画面の編集、アラート名の変更、アラートの非アクティブ化、アラートの削除のアクションを実行できるのは、アラートを作成したユーザーのみです。 他のユーザーが行った変更は保存されません。

   • [複製]: 選択したアラート トリガーの複製コピーを作成します。

   • [名前の変更]: クエリの新しい名前を入力して、[保存] を選択します。

   • [非アクティブ化]: アラートは引き続き一覧表示されますが、サブスクライブしているユーザーに電子メールが送信されなくなります。

   • [アクティブ化]: アラート トリガーをアクティブ化し、サブスクライブしているユーザーへの電子メールの送信を開始します。

   • [通知設定]: アラート トリガーをサブスクライブしているユーザーの [電子メール] が表示されます。

   • [削除]: アラートを削除します。

   [サブスクリプション] が [オフ] の場合は、次のオプションを使用できます。

   • [表示]: アラート トリガーの詳細が表示されます。
   • [通知設定]: アラート トリガーをサブスクライブしているユーザーの [電子メール] が表示されます。
   • [複製]: 選択したアラート トリガーの複製コピーを作成します。

5. [適用] を選択します。

次のステップ

• アラートとアラート トリガーの概要については、「アラートとアラート トリガーに関する情報の表示」を参照してください。
• アクティビティ アラートとアラート トリガーの詳細については、アクティビティ アラートとアラート トリガーの作成と表示に関する記事を参照してください。
• ルールベースの異常アラートとアラート トリガーの詳細については、「ルールベースの異常アラートとアラート トリガーを作成および表示する」を参照してください。
• アクセス許可分析アラートとアラート トリガーの詳細については、「アクセス許可分析アラートとアラート トリガーを作成および表示する」を参照してください。