Delen via

Anomaliewaarschuwingen en waarschuwingstriggers op basis van regels maken en weergeven

  • Artikel

Afwijkingen op basis van regels identificeren recente activiteiten in Machtigingsbeheer die ongebruikelijk zijn op basis van expliciete regels die zijn gedefinieerd in de waarschuwingstrigger. Het doel van anomaliewaarschuwingen op basis van regels is detectie van hoge precisie.

U kunt triggers voor anomaliewaarschuwingen op basis van regels configureren voor de volgende voorwaarden:

  • Elke resource die voor het eerst wordt geopend: de identiteit heeft de eerste keer toegang tot een resource tijdens het opgegeven tijdsinterval.
  • Identiteit voert een bepaalde taak voor de eerste keer uit: De identiteit voert een specifieke taak uit voor de eerste keer tijdens het opgegeven tijdsinterval.
  • Identiteit voert een taak voor de eerste keer uit: De identiteit voert een taak voor de eerste keer uit tijdens het opgegeven tijdsinterval.

Waarschuwingstriggers zijn gebaseerd op verzamelde gegevens. Alle waarschuwingen, indien geactiveerd, worden elk uur weergegeven onder het subtabblad Waarschuwingen.

Anomaliewaarschuwingen op basis van regels weergeven

U kunt anomaliewaarschuwingen op basis van regels bekijken om ongebruikelijke activiteiten in Machtigingsbeheer te bewaken. In deze sectie wordt uitgelegd hoe u de waarschuwingen kunt openen en interpreteren.

  1. Selecteer op de startpagina machtigingenbeheer waarschuwingen (het belpictogram).

  2. Selecteer anomalie op basis van regels en selecteer vervolgens het subtabblad Waarschuwingen .

    Het subtabblad Waarschuwingen geeft de volgende informatie weer:

    • Waarschuwingsnaam: geeft de naam van de waarschuwing weer.

    • Als u de specifieke identiteit, resource en taaknamen wilt weergeven die zijn opgetreden tijdens de periode voor het verzamelen van waarschuwingen, selecteert u de naam van de waarschuwing.

    • Anomaliewaarschuwingsregel: geeft de naam weer van de regel die wordt geselecteerd bij het maken van de waarschuwing.

    • Aantal exemplaren: hoe vaak de waarschuwingstrigger heeft plaatsgevonden.

    • Taak: Hoeveel taken worden uitgevoerd door de waarschuwing.

    • Resources: hoeveel resources er worden geopend, worden geactiveerd door de waarschuwing.

    • Identiteit: hoeveel identiteiten ongebruikelijk gedrag uitvoeren, worden geactiveerd door de waarschuwing.

    • Autorisatiesysteem: Geeft weer op welke autorisatiesystemen de waarschuwing van toepassing is, Amazon Web Services (AWS), Microsoft Azure of Google Cloud Platform (GCP).

    • Datum/tijd: geeft de datum en tijd van de waarschuwing weer.

    • Datum/tijd (UTC): geeft de datum en tijd van de waarschuwing weer in Coordinated Universal Time (UTC).

  3. Waarschuwingen filteren:

    • Selecteer in de vervolgkeuzelijst Waarschuwingsnaam alle of de juiste waarschuwingsnaam.

    • Selecteer in het vervolgkeuzemenu Datum de optie Afgelopen 24 uur, Afgelopen 2 dagen, Vorige week of Aangepast bereik en selecteer Toepassen.

    • Als u Aangepast bereik selecteert, voert u ook instellingen voor Van en Tot in.

  4. Als u details wilt weergeven die overeenkomen met de waarschuwingscriteria, selecteert u het beletselteken (...).

    • Trigger weergeven: geeft de huidige triggerinstellingen en de toepasselijke autorisatiesysteemdetails weer
    • Details: Geeft details weer over autorisatiesysteemtype, autorisatiesystemen, resources, taken, identiteiten en activiteit
    • Activiteit: geeft details weer over de identiteitsnaam, resourcenaam, taaknaam, datum/tijd, inactief voor en IP-adres. Als u het pictogram 'oog' selecteert, wordt de samenvatting van onbewerkte gebeurtenissen weergegeven

Een waarschuwingstrigger op basis van regels maken

U kunt triggers voor anomaliewaarschuwingen op basis van regels configureren voor specifieke voorwaarden om ongebruikelijke activiteiten te detecteren. In deze sectie wordt u begeleid bij de stappen voor het maken van deze waarschuwingstriggers.

  1. Selecteer op de startpagina machtigingenbeheer waarschuwingen (het belpictogram).

  2. Selecteer anomalie op basis van regels en selecteer vervolgens het subtabblad Waarschuwingen .

  3. Selecteer Waarschuwingstrigger maken.

  4. Voer in het vak Waarschuwingsnaam een naam in voor de waarschuwing.

  5. Selecteer het autorisatiesysteem, AWS, Azure of GCP.

  6. Selecteer een van de volgende voorwaarden:

    • Elke resource die voor het eerst wordt geopend: de identiteit heeft de eerste keer toegang tot een resource tijdens het opgegeven tijdsinterval.
    • Identiteit voert een bepaalde taak voor de eerste keer uit: De identiteit voert een specifieke taak uit voor de eerste keer tijdens het opgegeven tijdsinterval.
    • Identiteit voert een taak voor de eerste keer uit: De identiteit voert een taak voor de eerste keer uit tijdens het opgegeven tijdsinterval.

  7. Selecteer Volgende.

  8. Selecteer op het tabblad Autorisatiesystemen de beschikbare autorisatiesystemen en mappen of selecteer Alles.

    Dit scherm is standaard ingesteld op de lijstweergave, maar u kunt deze wijzigen in de mappenweergave. U kunt de betreffende map selecteren in plaats van afzonderlijk te selecteren door het autorisatiesysteem.

    • De kolom Status geeft aan of het autorisatiesysteem online of offline is.
    • De kolom Controller geeft aan of de controller is ingeschakeld of uitgeschakeld.

  9. Selecteer op het tabblad Configuratie in de vervolgkeuzelijst Tijdsinterval de optie 90 dagen, 60 dagen of 30 dagen om het Tijdsinterval bij te werken.

  10. Selecteer Opslaan.

Een waarschuwingstrigger op basis van regels weergeven

U kunt de waarschuwingstriggers op basis van regels bekijken en beheren die u hebt gemaakt. In deze sectie vindt u instructies voor het openen en wijzigen van deze triggers.

  1. Selecteer op de startpagina machtigingenbeheer waarschuwingen (het belpictogram).

  2. Selecteer anomalie op basis van regels en selecteer vervolgens het subtabblad Waarschuwingstriggers .

    Het subtabblad Waarschuwingstriggers geeft de volgende informatie weer:

    • Waarschuwingen: Geeft de naam van de waarschuwing weer.
    • Anomaliewaarschuwingsregel: geeft de naam van de geselecteerde regel weer bij het maken van de waarschuwing.
    • Aantal gebruikers dat is geabonneerd: geeft het aantal gebruikers weer dat is geabonneerd op de waarschuwing.
    • Gemaakt door: het e-mailadres van de gebruiker die de waarschuwingstrigger heeft gemaakt.
    • Laatst gewijzigd door: het e-mailadres van de gebruiker die de waarschuwingstrigger het laatst heeft gewijzigd.
    • Laatst gewijzigd op: geeft de datum en tijd weer waarop de trigger het laatst is gewijzigd.
    • Abonnement: hiermee abonneert u zich op het ontvangen van waarschuwings-e-mails. Schakelt tussen aan en uit.

  3. Om andere beschikbare opties weer te geven, selecteert u het beletselteken (...) en selecteert u vervolgens uit de beschikbare opties:

    Als het abonnement is ingesteld op Aan, zijn de volgende opties beschikbaar:

    • Bewerken: Hiermee kunt u waarschuwingsparameters wijzigen.

      Alleen de gebruiker die de waarschuwing heeft gemaakt, kan het triggerscherm bewerken, de naam van een waarschuwing wijzigen, een waarschuwing deactiveren en een waarschuwing verwijderen. Wijzigingen die door andere gebruikers zijn aangebracht, worden niet opgeslagen.

    • Dupliceren: maak een duplicaat van de geselecteerde waarschuwingstrigger.

    • Naam wijzigen: voer de nieuwe naam van de query in en selecteer Opslaan.

    • Deactiveren: de waarschuwing wordt nog steeds vermeld, maar er worden geen e-mailberichten meer verzonden naar geabonneerde gebruikers.

    • Activeren: activeer de waarschuwingstrigger en begin met het verzenden van e-mailberichten naar geabonneerde gebruikers.

    • Meldingsinstellingen: bekijk de E-mail van gebruikers die zijn geabonneerd op de waarschuwingstrigger.

    • Verwijderen: verwijder de waarschuwing.

    Als het Abonnement is ingesteld op Uit, dan zijn de volgende opties beschikbaar:

    • Weergeven: geef details van de waarschuwingstrigger weer.
    • Meldingsinstellingen: bekijk de E-mail van gebruikers die zijn geabonneerd op de waarschuwingstrigger.
    • Dupliceren: maak een duplicaat van de geselecteerde waarschuwingstrigger.

  4. Om te filteren op Geactiveerd of Gedeactiveerd, selecteert u in de sectie Status de optie Alle, Geactiveerd of Gedeactiveerd en selecteert u vervolgens Toepassen.

Volgende stappen

  • Zie Informatie over waarschuwingen en waarschuwingstriggers weergeven voor een overzicht van waarschuwingen en waarschuwingstriggers.
  • Zie Activiteitswaarschuwingen en waarschuwingstriggers maken en weergeven voor informatie over activiteitswaarschuwingen en waarschuwingstriggers.
  • Zie Statistische anomaliewaarschuwingen en waarschuwingstriggers maken en weergeven voor informatie over het vinden van uitbijters in het gedrag van identiteiten.
  • Zie Waarschuwingen en waarschuwingstriggers voor machtigingsanalyse maken en weergeven voor informatie over waarschuwingen voor machtigingsanalyse en waarschuwingstriggers.