Criar e exibir alertas de anomalias baseadas em regras e gatilhos de alertas

As anomalias baseadas em regras identificam a atividade recente no Permissions Management considerada incomum de acordo com as regras explícitas definidas no gatilho de alerta. O objetivo dos alertas de anomalias baseados em regras é a detecção de alta precisão.

Você pode configurar gatilhos de alerta de anomalia baseados em regras para as seguintes condições:

• Qualquer Recurso Acessado pela Primeira Vez: a identidade acessa um recurso pela primeira vez durante o intervalo de tempo especificado.
• A Identidade Executa uma Tarefa Específica pela Primeira Vez: a identidade executa uma tarefa específica pela primeira vez durante o intervalo de tempo especificado.
• A Identidade Executa uma Tarefa pela Primeira Vez: a identidade executa qualquer tarefa pela primeira vez durante o intervalo de tempo especificado.

Os gatilhos de alerta são baseados nos dados coletados. Todos os alertas, se disparados, são mostrados a cada hora na subguia Alertas.

Exibir alertas de anomalias baseadas em regras

Você pode exibir alertas de anomalias baseados em regras para monitorar atividades incomuns no Gerenciamento de Permissões. Esta seção explica como acessar e interpretar os alertas.

1. Na página inicial do Gerenciamento de Permissões, selecione Alertas (o ícone de sino).

2. Selecione Anomalia Baseada em Regras e, em seguida, clique na subguia Alertas.

   A subguia Alertas exibe as seguintes informações:

   • Nome do Alerta: lista o nome do alerta.

   • Para exibir os nomes específicos de identidade, recurso e tarefa que ocorreram durante o período de coleta de alertas, selecione o Nome do Alerta.

   • Regra de Alerta de Anomalia: exibe o nome da regra selecionada ao criar o alerta.

   • Número de Ocorrências: quantas vezes o gatilho de alerta ocorreu.

   • Tarefa: quantas tarefas executadas são disparadas pelo alerta.

   • Recursos: quantos recursos acessados são disparados pelo alerta.

   • Identidade: quantas identidades que executam um comportamento incomum são disparadas pelo alerta.

   • Sistema de Autorização: exibe a quais sistemas de autorização o alerta se aplica, AWS (Amazon Web Services), Microsoft Azure ou GCP (Google Cloud Platform).

   • Data/Hora: lista a data e a hora do alerta.

   • Data/Hora (UTC): lista a data e a hora do alerta no UTC (Tempo Universal Coordenado).

3. Para filtrar alertas:

   • No menu suspenso Nome do Alerta, selecione Todos ou o nome do alerta apropriado.

   • No menu suspenso Data, selecione Últimas 24 Horas, Últimos Dois Dias, Última Semana ou Intervalo Personalizado e selecione Aplicar.

   • Se você selecionar Intervalo Personalizado, insira também as configurações de duração De e Para.

4. Para exibir os detalhes que corresponderem aos critérios de alerta, selecione as reticências (...).

   • Exibição de Gatilho: exibe as configurações atuais do gatilho e os detalhes aplicáveis do sistema de autorização
   • Detalhes: exibe os detalhes sobre o Tipo de Sistema de Autorização, Sistemas de Autorização, Recursos, Tarefas, Identidades e Atividade
   • Atividade: exibe os detalhes sobre o Nome da Identidade, Nome do Recurso, Nome da Tarefa, Data/Hora, Inativo Para e Endereço IP. Selecionar o ícone de "olho" exibe o Resumo Bruto de Eventos

Criar um gatilho de alerta de anomalia baseado em regra

Você pode configurar gatilhos de alerta de anomalias baseados em regra para condições específicas para detectar atividades incomuns. Esta seção orienta você pelas etapas para criar esses gatilhos de alerta.

1. Na página inicial do Gerenciamento de Permissões, selecione Alertas (o ícone de sino).

2. Selecione Anomalia Baseada em Regras e, em seguida, clique na subguia Alertas.

3. Selecione Criar gatilho de alerta.

4. Na caixa Nome do Alerta, insira um nome para o alerta.

5. Selecione o Sistema de Autorização, AWS, Azure ou GCP.

6. Selecione uma das seguintes condições:

   • Qualquer Recurso Acessado pela Primeira Vez: a identidade acessa um recurso pela primeira vez durante o intervalo de tempo especificado.
   • A Identidade Executa uma Tarefa Específica pela Primeira Vez: a identidade executa uma tarefa específica pela primeira vez durante o intervalo de tempo especificado.
   • A Identidade Executa uma Tarefa pela Primeira Vez: a identidade executa qualquer tarefa pela primeira vez durante o intervalo de tempo especificado.

7. Selecione Avançar.

8. Na guia Sistemas de Autorização, selecione os sistemas de autorização e as pastas disponíveis ou selecione Todos.

   O padrão dessa tela é a exibição de Lista, mas você pode alterar para a exibição de Pastas. Você pode selecionar a pasta aplicável, em vez de selecionar individualmente por sistema de autorização.

   • A coluna Status será exibida, se o sistema de autorização estiver online ou offline.
   • A coluna Controlador será exibida, se o controlador estiver habilitado ou desabilitado.

9. Na guia Configuração, para atualizar o Intervalo de Tempo, selecione 90 Dias, 60 Dias ou 30 Dias no menu suspenso Intervalo de tempo.

10. Selecione Salvar.

Exibir um gatilho de alerta de anomalia baseado em regra

Você pode exibir e gerenciar os gatilhos de alerta de anomalia baseados em regra que você criou. Esta seção fornece instruções sobre como acessar e modificar esses gatilhos.

1. Na página inicial do Gerenciamento de Permissões, selecione Alertas (o ícone de sino).

2. Selecione Anomalia Baseada em Regras e, em seguida, clique na subguia Gatilhos de Alerta.

   A subguia Gatilhos de Alerta exibe as seguintes informações:

   • Alertas: exibe o nome do alerta.
   • Regra de Alerta de Anomalias: exibe o nome da regra selecionada ao criar o alerta.
   • Número de Usuários Inscritos: exibe o número de usuários inscritos no alerta.
   • Criado Por: exibe o endereço de email do usuário que criou o alerta.
   • Última Modificação por: exibe o endereço de email do usuário que modificou o alerta pela última vez.
   • Última Modificação em: exibe a data e a hora em que o gatilho foi modificado pela última vez.
   • Assinatura: inscreve você para receber emails de alerta. Alterna entre Ativado e Desativado.

3. Para exibir outras opções disponíveis, selecione as reticências (...) e, em seguida, escolha entre as opções disponíveis:

   Se a Assinatura estiver Ativada, as seguintes opções estarão disponíveis:

   • Editar: permite modificar os parâmetros de alerta.

     Somente o usuário que criou o alerta pode editar a tela de gatilho, renomear um alerta, desativar um alerta e excluir um alerta. As alterações feitas por outros usuários não são salvas.

   • Duplicar: crie uma cópia duplicada do gatilho de alerta selecionado.

   • Renomear: insira o novo nome da consulta e selecione Salvar.

   • Desativar: o alerta ainda será listado, mas não enviará mais emails aos usuários inscritos.

   • Ativar: ative o gatilho de alerta e comece a enviar emails para os usuários inscritos.

   • Configurações de Notificação: exiba o Email dos usuários inscritos no gatilho de alerta.

   • Excluir: exclua o alerta.

   Se a Assinatura estiver Desativada, as seguintes opções estarão disponíveis:

   • Exibir: exiba os detalhes do gatilho de alerta.
   • Configurações de Notificação: exiba o Email dos usuários inscritos no gatilho de alerta.
   • Duplicar: crie uma cópia duplicada do gatilho de alerta selecionado.

4. Para filtrar por Ativado ou Desativado, na seção Status, selecione Todos, Ativado ou Desativado e, em seguida, clique em Aplicar.

Próximas etapas

• Para obter uma visão geral sobre alertas e gatilhos de alerta, consulte Exibir informações sobre alertas e gatilhos de alerta.
• Para obter informações sobre os alertas de atividades e os gatilhos de alertas, confira Criar e visualizar alertas de atividades e gatilhos de alertas.
• Para obter informações sobre como encontrar exceções no comportamento da identidade, confira Criar e visualizar alertas de anomalias estatísticas e gatilhos de alertas.
• Para obter informações sobre os gatilhos de análises de permissões, consulte Criar e visualizar gatilhos de análises de permissões.