Tworzenie i wyświetlanie alertów anomalii opartych na regułach i wyzwalaczy alertów

Anomalie oparte na regułach identyfikują ostatnie działania w usłudze Zarządzanie uprawnieniami, które są określane jako nietypowe na podstawie jawnych reguł zdefiniowanych w wyzwalaczu alertu. Celem alertów anomalii opartych na regułach jest wykrywanie o wysokiej precyzji.

Wyzwalacze alertów anomalii opartej na regułach można skonfigurować pod kątem następujących warunków:

• Dowolny zasób, do którego uzyskuje dostęp po raz pierwszy: tożsamość uzyskuje dostęp do zasobu po raz pierwszy w określonym przedziale czasu.
• Tożsamość wykonuje określone zadanie po raz pierwszy: tożsamość wykonuje określone zadanie po raz pierwszy w określonym przedziale czasu.
• Tożsamość wykonuje zadanie po raz pierwszy: tożsamość wykonuje dowolne zadanie po raz pierwszy w określonym interwale czasu.

Wyzwalacze alertów są oparte na zebranych danych. Wszystkie alerty, jeśli są wyzwalane, są wyświetlane co godzinę w podtabcie Alerty.

Wyświetlanie alertów anomalii opartych na regułach

Alerty anomalii oparte na regułach można wyświetlać w celu monitorowania nietypowych działań w usłudze Zarządzanie uprawnieniami. W tej sekcji wyjaśniono, jak uzyskiwać dostęp do alertów i interpretować je.

1. Na stronie głównej Zarządzanie uprawnieniami wybierz pozycję Alerty (ikona dzwonka).

2. Wybierz pozycję Anomalia oparta na regułach, a następnie wybierz podtabę Alerty .

   W podtabcie Alerty są wyświetlane następujące informacje:

   • Nazwa alertu: wyświetla nazwę alertu.

   • Aby wyświetlić określoną tożsamość, zasób i nazwy zadań, które wystąpiły w okresie zbierania alertów, wybierz nazwę alertu.

   • Reguła alertu anomalii: wyświetla nazwę reguły wybranej podczas tworzenia alertu.

   • Liczba wystąpień: ile razy wystąpił wyzwalacz alertu.

   • Zadanie: ile zadań wykonywanych jest wyzwalanych przez alert.

   • Zasoby: ile zasobów, do których uzyskuje dostęp, jest wyzwalanych przez alert.

   • Tożsamość: ile tożsamości wykonuje nietypowe zachowanie, jest wyzwalanych przez alert.

   • System autoryzacji: wyświetla systemy autoryzacji, których dotyczy alert, Amazon Web Services (AWS), Microsoft Azure lub Google Cloud Platform (GCP).

   • Data/godzina: wyświetla datę i godzinę alertu.

   • Data/godzina (UTC): Wyświetla datę i godzinę alertu w uniwersalnym czasie koordynowanym (UTC).

3. Aby filtrować alerty:

   • Z listy rozwijanej Nazwa alertu wybierz pozycję Wszystkie lub odpowiednią nazwę alertu.

   • Z menu rozwijanego Data wybierz pozycję Ostatnie 24 godziny, Ostatnie 2 dni, Ostatni tydzień lub Zakres niestandardowy, a następnie wybierz pozycję Zastosuj.

   • W przypadku wybrania pozycji Zakres niestandardowy wprowadź również ustawienia Od i Do czasu trwania.

4. Aby wyświetlić szczegóły spełniające kryteria alertu, wybierz wielokropek (...).

   • Wyzwalacz widoku: wyświetla bieżące ustawienia wyzwalacza i odpowiednie szczegóły systemu autoryzacji
   • Szczegóły: wyświetla szczegółowe informacje o typie systemu autoryzacji, systemach autoryzacji, zasobach, zadaniach, tożsamościach i działaniach
   • Działanie: wyświetla szczegółowe informacje o nazwie tożsamości, nazwie zasobu, nazwie zadania, dacie/godzinie, nieaktywnym dla i adresie IP. Wybranie ikony "oko" powoduje wyświetlenie podsumowania nieprzetworzonych zdarzeń

Tworzenie wyzwalacza alertu anomalii opartego na regułach

Wyzwalacze alertu anomalii opartego na regułach można skonfigurować pod kątem określonych warunków w celu wykrywania nietypowych działań. Ta sekcja przeprowadzi Cię przez kroki tworzenia tych wyzwalaczy alertów.

1. Na stronie głównej Zarządzanie uprawnieniami wybierz pozycję Alerty (ikona dzwonka).

2. Wybierz pozycję Anomalia oparta na regułach, a następnie wybierz podtabę Alerty .

3. Wybierz pozycję Utwórz wyzwalacz alertu.

4. W polu Nazwa alertu wprowadź nazwę alertu.

5. Wybierz pozycję System autoryzacji, AWS, Azure lub GCP.

6. Wybierz jeden z następujących warunków:

   • Dowolny zasób, do którego uzyskuje dostęp po raz pierwszy: tożsamość uzyskuje dostęp do zasobu po raz pierwszy w określonym przedziale czasu.
   • Tożsamość wykonuje określone zadanie po raz pierwszy: tożsamość wykonuje określone zadanie po raz pierwszy w określonym przedziale czasu.
   • Tożsamość wykonuje zadanie po raz pierwszy: tożsamość wykonuje dowolne zadanie po raz pierwszy w określonym interwale czasu.

7. Wybierz Dalej.

8. Na karcie Systemy autoryzacji wybierz dostępne systemy autoryzacji i foldery lub wybierz pozycję Wszystkie.

   Ten ekran jest domyślnie wyświetlany w widoku Lista , ale można go zmienić na Widok folderów . Możesz wybrać odpowiedni folder zamiast indywidualnie wybierać przez system autoryzacji.

   • Kolumna Stan jest wyświetlana, jeśli system autoryzacji jest w trybie online lub offline.
   • Kolumna Kontroler jest wyświetlana, jeśli kontroler jest włączony lub wyłączony.

9. Na karcie Konfiguracja, aby zaktualizować interwał czasu, wybierz pozycję 90 dni, 60 dni lub 30 dni z listy rozwijanej Zakres czasu.

10. Wybierz pozycję Zapisz.

Wyświetlanie wyzwalacza alertu anomalii opartego na regule

Możesz wyświetlać utworzone wyzwalacze alertu anomalii opartego na regułach i zarządzać nimi. Ta sekcja zawiera instrukcje dotyczące uzyskiwania dostępu do tych wyzwalaczy i modyfikowania ich.

1. Na stronie głównej Zarządzanie uprawnieniami wybierz pozycję Alerty (ikona dzwonka).

2. Wybierz pozycję Anomalia oparta na regułach, a następnie wybierz podtabę Wyzwalacze alertów .

   W podtabcie Wyzwalacze alertu są wyświetlane następujące informacje:

   • Alerty: wyświetla nazwę alertu.
   • Reguła alertu anomalii: wyświetla nazwę wybranej reguły podczas tworzenia alertu.
   • Liczba subskrybowanych użytkowników: wyświetla liczbę użytkowników subskrybowanych do alertu.
   • Utworzone przez: wyświetla adres e-mail użytkownika, który utworzył alert.
   • Ostatnio zmodyfikowane przez: wyświetla adres e-mail użytkownika, który ostatnio zmodyfikował alert.
   • Data ostatniej modyfikacji: wyświetla datę i godzinę ostatniej modyfikacji wyzwalacza.
   • Subskrypcja: Subskrybuj, aby otrzymywać wiadomości e-mail z alertami. Przełącza się między włączonym i wyłączonym.

3. Aby wyświetlić inne dostępne opcje, wybierz wielokropek (...), a następnie wybierz z dostępnych opcji:

   Jeśli subskrypcja jest włączona, dostępne są następujące opcje:

   • Edycja: umożliwia modyfikowanie parametrów alertu.

     Tylko użytkownik, który utworzył alert, może edytować ekran wyzwalacza, zmienić nazwę alertu, dezaktywować alert i usunąć alert. Zmiany wprowadzone przez innych użytkowników nie są zapisywane.

   • Duplikat: utwórz zduplikowaną kopię wybranego wyzwalacza alertu.

   • Zmień nazwę: wprowadź nową nazwę zapytania, a następnie wybierz pozycję Zapisz.

   • Dezaktywuj: alert będzie nadal wyświetlany, ale nie będzie już wysyłać wiadomości e-mail do subskrybowanych użytkowników.

   • Aktywowanie: aktywuj wyzwalacz alertu i rozpocznij wysyłanie wiadomości e-mail do subskrybowanych użytkowników.

   • Ustawienia powiadomień: wyświetl wiadomość e-mail użytkowników, którzy subskrybują wyzwalacz alertu.

   • Usuń: usuń alert.

   Jeśli subskrypcja jest wyłączona, dostępne są następujące opcje:

   • Widok: Wyświetl szczegóły wyzwalacza alertu.
   • Ustawienia powiadomień: wyświetl wiadomość e-mail użytkowników, którzy subskrybują wyzwalacz alertu.
   • Duplikat: utwórz zduplikowaną kopię wybranego wyzwalacza alertu.

4. Aby filtrować według aktywowanych lub dezaktywowanych, w sekcji Stan wybierz pozycję Wszystkie, Aktywowane lub Dezaktywowane, a następnie wybierz pozycję Zastosuj.

Następne kroki

• Aby zapoznać się z omówieniem alertów i wyzwalaczy alertów, zobacz Wyświetlanie informacji o alertach i wyzwalaczach alertów.
• Aby uzyskać informacje na temat alertów działań i wyzwalaczy alertów, zobacz Tworzenie i wyświetlanie alertów działań oraz wyzwalaczy alertów.
• Aby uzyskać informacje na temat znajdowania wartości odstających w zachowaniu tożsamości, zobacz Tworzenie i wyświetlanie statystycznych alertów anomalii i wyzwalaczy alertów.
• Aby uzyskać informacje na temat alertów analizy uprawnień i wyzwalaczy alertów, zobacz Tworzenie i wyświetlanie alertów analizy uprawnień i wyzwalaczy alertów.