Tworzenie i wyświetlanie alertów anomalii opartych na regułach i wyzwalaczy alertów

Anomalie oparte na regułach identyfikują ostatnie działania w usłudze Zarządzanie uprawnieniami, które są określane jako nietypowe na podstawie jawnych reguł zdefiniowanych w wyzwalaczu alertu. Celem alertów anomalii opartych na regułach jest precyzyjne wykrywanie.

Konfigurację wyzwalaczy alertów anomalii opartych na regułach można przeprowadzić dla następujących warunków.

• Każdy zasób, do którego dostęp uzyskiwany jest po raz pierwszy: tożsamość uzyskuje dostęp do zasobu po raz pierwszy w określonym przedziale czasu.
• Tożsamość wykonuje określone zadanie po raz pierwszy: tożsamość wykonuje określone zadanie po raz pierwszy w określonym przedziale czasu.
• Tożsamość wykonuje zadanie po raz pierwszy: tożsamość wykonuje dowolne zadanie po raz pierwszy w określonym interwale czasu.

Wyzwalacze alertów są oparte na zebranych danych. Wszystkie alerty, jeśli są wyzwalane, są wyświetlane co godzinę w podtabcie Alerty.

Wyświetl alerty anomalii oparte na regułach

Alerty anomalii oparte na regułach można wyświetlać w celu monitorowania nietypowych działań w usłudze Zarządzanie uprawnieniami. W tej sekcji wyjaśniono, jak uzyskiwać dostęp do alertów i interpretować je.

1. Na stronie głównej Zarządzanie uprawnieniami wybierz pozycję Alerty (ikona dzwonka).

2. Wybierz pozycję Anomalia oparta na regułach, a następnie wybierz podtabę Alerty .

   W podtabcie Alerty są wyświetlane następujące informacje:

   • Nazwa alertu: wyświetla nazwę alertu.

   • Aby wyświetlić określoną tożsamość, zasób i nazwy zadań, które wystąpiły w okresie zbierania alertów, wybierz Nazwę Alertu.

   • Reguła alertu anomalii: wyświetla nazwę reguły wybranej podczas tworzenia alertu.

   • Liczba wystąpień: ile razy wystąpił wyzwalacz alertu.

   • Zadanie: ile zadań jest uruchamianych przez alert.

   • Zasoby: Ile zasobów wyzwala alert podczas uzyskiwania do nich dostępu.

   • Tożsamość: ile tożsamości wykazujących nietypowe zachowanie jest wyzwalanych przez alert.

   • System autoryzacji: wyświetla systemy autoryzacji, których dotyczy alert, Amazon Web Services (AWS), Microsoft Azure lub Google Cloud Platform (GCP).

   • Data/godzina: wyświetla datę i godzinę alertu.

   • Data/godzina (UTC): Wyświetla datę i godzinę alertu w uniwersalnym czasie koordynowanym (UTC).

3. Aby filtrować alerty:

   • Z listy rozwijanej Nazwa alertu wybierz pozycję Wszystkie lub odpowiednią nazwę alertu.

   • Z menu rozwijanego Data wybierz pozycję Ostatnie 24 godziny, Ostatnie 2 dni, Ostatni tydzień lub Zakres niestandardowy, a następnie wybierz pozycję Zastosuj.

   • W przypadku wybrania Zakresu niestandardowego wprowadź również ustawienia dotyczące czasu trwania, czyli Od i Do.

4. Aby wyświetlić szczegóły spełniające kryteria alertu, wybierz wielokropek (...).

   • Widok wyzwalacza: wyświetla aktualne ustawienia wyzwalacza i szczegóły dotyczące systemu autoryzacji
   • Szczegóły: wyświetla szczegółowe informacje o typie systemu autoryzacji, systemach autoryzacji, zasobach, zadaniach, tożsamościach i działaniach
   • Działanie: wyświetla szczegółowe informacje o nazwie tożsamości, nazwie zasobu, nazwie zadania, dacie/godzinie, czasie nieaktywności i adresie IP. Kliknięcie ikony "oko" powoduje wyświetlenie Podsumowania Surowych Zdarzeń

Tworzenie wyzwalacza alertu anomalii opartego na regułach

Wyzwalacze alertu anomalii opartego na regułach można skonfigurować pod kątem określonych warunków w celu wykrywania nietypowych działań. Ta sekcja przeprowadzi Cię przez kroki tworzenia tych wyzwalaczy alertów.

1. Na stronie głównej Zarządzanie uprawnieniami wybierz pozycję Alerty (ikona dzwonka).

2. Wybierz pozycję Anomalia oparta na regułach, a następnie wybierz podtabę Alerty .

3. Wybierz pozycję Utwórz wyzwalacz alertu.

4. W polu Nazwa alertu wprowadź nazwę alertu.

5. Wybierz System autoryzacji, AWS, Azure lub GCP.

6. Wybierz jeden z następujących warunków:

   • Dowolny zasób, do którego tożsamość uzyskuje dostęp po raz pierwszy: tożsamość uzyskuje dostęp do zasobu po raz pierwszy w określonym przedziale czasu.
   • Tożsamość wykonuje określone zadanie po raz pierwszy: tożsamość wykonuje określone zadanie po raz pierwszy w określonym przedziale czasu.
   • Tożsamość wykonuje zadanie po raz pierwszy: tożsamość wykonuje dowolne zadanie po raz pierwszy w określonym interwale czasu.

7. Wybierz Dalej.

8. Na karcie Systemy autoryzacji wybierz dostępne systemy autoryzacji i foldery lub wybierz pozycję Wszystkie.

   Ten ekran jest domyślnie wyświetlany w widoku Lista , ale można go zmienić na Widok folderów . Możesz wybrać odpowiedni folder zamiast indywidualnie wybierać przy użyciu systemu autoryzacji.

   • Kolumna Stan jest wyświetlana, jeśli system autoryzacji jest w trybie online lub offline.
   • Kolumna Kontroler jest wyświetlana, jeśli kontroler jest włączony lub wyłączony.

9. Na karcie Konfiguracja, aby zaktualizować interwał czasu, wybierz pozycję 90 dni, 60 dni lub 30 dni z listy rozwijanej Zakres czasu.

10. Wybierz pozycję Zapisz.

Wyświetlanie wyzwalacza alertu anomalii opartego na regule

Możesz wyświetlać utworzone wyzwalacze alertu anomalii opartego na regułach i zarządzać nimi. Ta sekcja zawiera instrukcje dotyczące uzyskiwania dostępu do tych wyzwalaczy i modyfikowania ich.

1. Na stronie głównej Zarządzanie uprawnieniami wybierz pozycję Alerty (ikona dzwonka).

2. Wybierz pozycję Anomalia oparta na regułach, a następnie wybierz podtabę Wyzwalacze alertów .

   W podtabcie Wyzwalacze alertu są wyświetlane następujące informacje:

   • Alerty: wyświetla nazwę alertu.
   • Reguła alertu anomalii: wyświetla nazwę wybranej reguły podczas tworzenia alertu.
   • Liczba subskrybowanych użytkowników: wyświetla liczbę użytkowników subskrybowanych do alertu.
   • Utworzone przez: wyświetla adres e-mail użytkownika, który utworzył alert.
   • Ostatnio zmodyfikowane przez: wyświetla adres e-mail użytkownika, który ostatnio zmodyfikował alert.
   • Data ostatniej modyfikacji: wyświetla datę i godzinę ostatniej modyfikacji wyzwalacza.
   • Subskrypcja: Subskrybuj, aby otrzymywać wiadomości e-mail z alertami. Przełącza się między włączonym i wyłączonym.

3. Aby wyświetlić inne dostępne opcje, wybierz wielokropek (...), a następnie wybierz z dostępnych opcji:

   Jeśli subskrypcjajest włączona, dostępne są następujące opcje:

   • Edycja: umożliwia modyfikowanie parametrów alertu.

     Tylko użytkownik, który utworzył alert, może edytować ekran wyzwalacza, zmienić nazwę alertu, dezaktywować alert i usunąć alert. Zmiany wprowadzone przez innych użytkowników nie są zapisywane.

   • Duplikat: utwórz zduplikowaną kopię wybranego wyzwalacza alertu.

   • Zmień nazwę: wprowadź nową nazwę zapytania, a następnie wybierz pozycję Zapisz.

   • Dezaktywuj: alert będzie nadal wyświetlany, ale nie będzie już wysyłać wiadomości e-mail do subskrybowanych użytkowników.

   • Aktywowanie: aktywuj wyzwalacz alertu i rozpocznij wysyłanie wiadomości e-mail do subskrybowanych użytkowników.

   • Ustawienia powiadomień: wyświetl adresy e-mail użytkowników, którzy są zapisani do subskrypcji wyzwalacza alertu.

   • Usuń: Usuń alert.

   Jeśli subskrypcjajest wyłączona, dostępne są następujące opcje:

   • Widok: Wyświetl szczegóły wyzwalacza alertu.
   • Ustawienia powiadomień: wyświetl adres e-mail użytkowników, którzy są zapisani na wyzwalacz alertu.
   • Duplikat: utwórz zduplikowaną kopię wybranego wyzwalacza alertu.

4. Aby filtrować według Aktywowane lub Dezaktywowane, w sekcji Status wybierz Wszystkie, Aktywowane lub Dezaktywowane, a następnie wybierz Zastosuj.

Następne kroki

• Aby zapoznać się z omówieniem alertów i wyzwalaczy alertów, zobacz Wyświetlanie informacji o alertach i wyzwalaczach alertów.
• Aby uzyskać informacje na temat alertów działań i wyzwalaczy alertów, zobacz Tworzenie i wyświetlanie alertów działań oraz wyzwalaczy alertów.
• Aby uzyskać informacje o znajdowaniu odstępstw dotyczących zachowania tożsamości, zobacz Tworzenie i wyświetlanie statystycznych alertów anomalii i wyzwalaczy alertów.
• Aby uzyskać informacje na temat alertów analizy uprawnień i wyzwalaczy alertów, zobacz Tworzenie i wyświetlanie alertów analizy uprawnień i wyzwalaczy alertów.