Delen via

Statistische anomaliewaarschuwingen en waarschuwingstriggers maken en weergeven

  • Artikel

Statistische afwijkingen kunnen uitbijters in het gedrag van een identiteit detecteren als wordt vastgesteld dat de recente activiteit ongebruikelijk is op basis van modellen die zijn gedefinieerd in een activiteitstrigger. Het doel van deze waarschuwingstrigger is een hoge terugroepsnelheid.

U kunt statistische triggers voor anomaliewaarschuwingen configureren voor de volgende scenario's:

  • Identiteit heeft een groot aantal taken uitgevoerd: de identiteit voert een hoger aantal taken dan gebruikelijk uit. Een identiteit voert bijvoorbeeld doorgaans 25 taken per dag uit en nu worden er 100 taken per dag uitgevoerd.
  • Identiteit heeft een laag aantal taken uitgevoerd: de identiteit voert een lager aantal taken dan gebruikelijk uit. Een identiteit voert bijvoorbeeld doorgaans 100 taken per dag uit en nu worden er 25 taken per dag uitgevoerd.
  • Identiteit heeft taken uitgevoerd met ongebruikelijke resultaten: de identiteit die een actie uitvoert, krijgt een ander resultaat dan normaal, bijvoorbeeld de meeste taken eindigen in een geslaagd resultaat en eindigen nu in een mislukt resultaat of omgekeerd.
  • Identiteit heeft taken uitgevoerd met ongebruikelijke timing: de identiteit voert taken uit op ongebruikelijke tijden zoals vastgesteld door de basislijn in de nalevingsperiode. Tijden worden gegroepeerd op de volgende UTC 4-uursvensters.
  • Identiteit heeft taken uitgevoerd met ongebruikelijke typen: de identiteit voert taken uit met ongebruikelijke typen zoals vastgesteld door de basislijn in de nalevingsperiode. Een identiteit voert bijvoorbeeld lees-, schrijf- of verwijdertaken uit die deze normaal gesproken niet zou uitvoeren.
  • Identiteit heeft taken uitgevoerd met meerdere ongebruikelijke patronen: de identiteit heeft verschillende ongebruikelijke patronen in de taken die door de identiteit zijn uitgevoerd, zoals vastgesteld door de basislijn in de nalevingsperiode.

Waarschuwingstriggers zijn gebaseerd op verzamelde gegevens. Alle waarschuwingen, indien geactiveerd, worden elk uur weergegeven onder het subtabblad Waarschuwingen.

Statistische anomalieën in het gedrag van een identiteit weergeven

U kunt statistische afwijkingen bekijken in het gedrag van een identiteit om ongebruikelijke activiteiten in Machtigingsbeheer te bewaken. In deze sectie wordt uitgelegd hoe u de waarschuwingen kunt openen en interpreteren.

  1. Selecteer op de startpagina machtigingenbeheer waarschuwingen (het belpictogram).

  2. Selecteer Statistische anomalie en selecteer vervolgens het subtabblad Waarschuwingen.

    Het subtabblad Waarschuwingen geeft de volgende informatie weer:

    • Waarschuwingsnaam: geeft de naam van de waarschuwing weer.
    • Anomaliewaarschuwingsregel: geeft de naam weer van de regel die wordt geselecteerd bij het maken van de waarschuwing.
    • Aantal exemplaren: geeft weer hoe vaak de waarschuwingstrigger heeft plaatsgevonden.
    • Autorisatiesysteem: geeft weer op welke autorisatiesystemen de waarschuwing van toepassing is.
    • Datum/tijd: geeft de dag weer van de uitbijter die is opgetreden.
    • Datum/tijd (UTC): geeft de dag weer van de uitbijter die is opgetreden in Coordinated Universal Time (UTC).

  3. Als u de waarschuwingen wilt filteren op basis van naam, selecteer dan de gewenste waarschuwingsnaam of kies Alles in het vervolgkeuzemenu Waarschuwingsnaam en selecteer Toepassen.

  4. Om de waarschuwingen te filteren op basis van de waarschuwingstijd, selecteert u Afgelopen 24 Uur, Afgelopen 2 dagen, Vorige week of Aangepast bereik in het vervolgkeuzemenu Datum en selecteert u Toepassen.

  5. Selecteer het beletselteken (...) en vervolgens:

    • Details, dit brengt u naar een overzicht van waarschuwingen met Autorisatiesysteem, Statistisch model en Nalevingsperiode, samen met een tabel met een rij per identiteit die deze waarschuwing activeert. Hier kunt u op het volgende klikken:
    • Details: geeft grafiek(en) weer waarin de anomalie wordt gemarkeerd met context en de maximaal drie belangrijkste acties die zijn uitgevoerd op de dag van de anomalie
    • Trigger weergeven: geeft de huidige triggerinstellingen en de toepasselijke autorisatiesysteemdetails weer
    • Trigger weergeven: geeft de huidige triggerinstellingen en de toepasselijke autorisatiesysteemdetails weer

Een statistische anomaliewaarschuwingstrigger maken

U kunt statistische triggers voor anomaliewaarschuwingen configureren voor specifieke voorwaarden om ongebruikelijke activiteiten te detecteren. In deze sectie wordt u begeleid bij de stappen voor het maken van deze waarschuwingstriggers.

  1. Selecteer op de startpagina machtigingenbeheer waarschuwingen (het belpictogram).

  2. Selecteer Statistische anomalie, selecteer het subtabblad Waarschuwingen en selecteer vervolgens Waarschuwingstrigger maken.

  3. Voer een naam in voor de waarschuwing in het vak Waarschuwingsnaam.

  4. Selecteer het Autorisatiesysteem, Amazon Web Services (AWS), Microsoft Azure of Google Cloud Platform (GCP).

  5. Selecteer een van de volgende voorwaarden:

    • Identiteit heeft een groot aantal taken uitgevoerd: de identiteit voert een hoger aantal taken dan gebruikelijk uit. Een identiteit voert bijvoorbeeld doorgaans 25 taken per dag uit en nu worden er 100 taken per dag uitgevoerd.
    • Identiteit heeft een laag aantal taken uitgevoerd: de identiteit voert een lager aantal taken dan gebruikelijk uit. Een identiteit voert bijvoorbeeld doorgaans 100 taken per dag uit en nu worden er 25 taken per dag uitgevoerd.
    • Identiteit heeft taken uitgevoerd met ongebruikelijke resultaten: de identiteit die een actie uitvoert, krijgt een ander resultaat dan normaal, bijvoorbeeld de meeste taken eindigen in een geslaagd resultaat en eindigen nu in een mislukt resultaat of omgekeerd.
    • Identiteit heeft taken uitgevoerd met ongebruikelijke timing: de identiteit voert taken uit op ongebruikelijke tijden zoals vastgesteld door de basislijn in de nalevingsperiode. Tijden worden gegroepeerd op de volgende 4-uurs vensters.
      • 0.00 - 4.00 UTC
      • 4.00 - 8.00 UTC
      • 8.00 - 12.00 UTC
      • 12.00 - 16.00 UTC
      • 16.00 - 20.00 UTC
      • 20.00 - 0.00 UTC
    • Identiteit heeft taken uitgevoerd met ongebruikelijke typen: de identiteit voert taken uit met ongebruikelijke typen zoals vastgesteld door de basislijn in de nalevingsperiode. Een identiteit voert bijvoorbeeld lees-, schrijf- of verwijdertaken uit die deze normaal gesproken niet zou uitvoeren.
    • Identiteit heeft taken uitgevoerd met meerdere ongebruikelijke patronen: de identiteit heeft verschillende ongebruikelijke patronen in de taken die door de identiteit zijn uitgevoerd, zoals vastgesteld door de basislijn in de nalevingsperiode.

  6. Selecteer Volgende.

  7. Selecteer op het tabblad Autorisatiesystemen de gewenste systemen of selecteer Alle om alle systemen te selecteren.

    Het scherm gebruikt standaard de weergave Lijst, maar u kunt via het menu overschakelen naar de weergave Map en vervolgens de toepasselijke map selecteren in plaats van afzonderlijk per systeem.

    • De kolom Status geeft aan of het autorisatiesysteem online of offline is.

    • De kolom Controller geeft aan of de controller is ingeschakeld of uitgeschakeld.

  8. Selecteer Opslaan.

Statistische anomaliewaarschuwingstriggers weergeven

U kunt de triggers voor statistische anomaliewaarschuwingen bekijken en beheren die u hebt gemaakt. In deze sectie vindt u instructies voor het openen en wijzigen van deze triggers.

  1. Selecteer op de startpagina machtigingenbeheer waarschuwingen (het belpictogram).

  2. Selecteer Statistische anomalie en selecteer vervolgens het subtabblad Waarschuwingstriggers.

    Het subtabblad Waarschuwingstriggers geeft de volgende informatie weer:

    • Waarschuwing: geeft de naam van de waarschuwing weer.
    • Anomaliewaarschuwingsregel: geeft de naam weer van de regel die wordt geselecteerd bij het maken van de waarschuwing.
    • Aantal gebruikers geabonneerd: het aantal gebruikers dat is geabonneerd op de waarschuwing.
    • Gemaakt door: het e-mailadres van de gebruiker die de waarschuwingstrigger heeft gemaakt.
    • Laatst gewijzigd door: het e-mailadres van de gebruiker die de waarschuwingstrigger het laatst heeft gewijzigd.
    • Laatst gewijzigd op: geeft de datum en tijd weer waarop de trigger het laatst is gewijzigd.
    • Abonnement: hiermee abonneert u zich op het ontvangen van waarschuwings-e-mails. Schakel de knop naar Aan of Uit.

  3. Om te filteren op Geactiveerd of Gedeactiveerd, selecteert u in de sectie Status de optie Alle, Geactiveerd of Gedeactiveerd en selecteert u vervolgens Toepassen.

  4. Om andere beschikbare opties weer te geven, selecteert u het beletselteken (...) en selecteert u vervolgens uit de beschikbare opties:

    Als het abonnement is ingesteld op Aan, zijn de volgende opties beschikbaar:

    • Bewerken: hiermee kunt u waarschuwingsparameters wijzigen

      Notitie

      Alleen de gebruiker die de waarschuwing heeft gemaakt, kan de volgende acties uitvoeren: het triggerscherm bewerken, de naam van een waarschuwing wijzigen, een waarschuwing deactiveren en een waarschuwing verwijderen. Wijzigingen die door andere gebruikers zijn aangebracht, worden niet opgeslagen.

    • Dupliceren: maak een duplicaat van de geselecteerde waarschuwingstrigger.

    • Naam wijzigen: voer de nieuwe naam van de query in en selecteer Opslaan.

    • Deactiveren: de waarschuwing wordt nog steeds vermeld, maar er worden geen e-mailberichten meer verzonden naar geabonneerde gebruikers.

    • Activeren: activeer de waarschuwingstrigger en begin met het verzenden van e-mailberichten naar geabonneerde gebruikers.

    • Meldingsinstellingen: bekijk de E-mail van gebruikers die zijn geabonneerd op de waarschuwingstrigger.

    • Verwijderen: verwijder de waarschuwing.

    Als het Abonnement is ingesteld op Uit, dan zijn de volgende opties beschikbaar:

    • Weergeven: geef details van de waarschuwingstrigger weer.
    • Meldingsinstellingen: bekijk de E-mail van gebruikers die zijn geabonneerd op de waarschuwingstrigger.
    • Dupliceren: maak een duplicaat van de geselecteerde waarschuwingstrigger.

  5. Selecteer Toepassen.

Volgende stappen

  • Zie Informatie over waarschuwingen en waarschuwingstriggers weergeven voor een overzicht van waarschuwingen en waarschuwingstriggers.
  • Zie Activiteitswaarschuwingen en waarschuwingstriggers maken en weergeven voor informatie over activiteitswaarschuwingen en waarschuwingstriggers.
  • Zie Anomaliewaarschuwingen en waarschuwingstriggers op basis van regels maken en weergeven voor informatie over anomaliewaarschuwingen en waarschuwingstriggers op basis van regels.
  • Zie Waarschuwingen en waarschuwingstriggers voor machtigingsanalyse maken en weergeven voor informatie over waarschuwingen voor machtigingsanalyse en waarschuwingstriggers.