Criar e visualizar alertas de anomalias estatísticas e gatilhos de alertas
As anomalias estatísticas podem detectar exceções no comportamento de uma identidade, se a atividade recente for considerada incomum com base em modelos definidos em um gatilho de atividade. A meta desse gatilho de anomalia é uma alta taxa de recall.
Você pode configurar gatilhos de alerta de anomalia estatística para os seguintes cenários:
- A Identidade Executou um Alto Número de Tarefas: a identidade executa um volume de tarefas maior do que o normal. Por exemplo, uma identidade normalmente executa 25 tarefas por dia e agora está executando 100 tarefas por dia.
- A Identidade Executou um Baixo Número de Tarefas: a identidade executa um volume de tarefas menor do que o normal. Por exemplo, uma identidade normalmente executa 100 tarefas por dia e agora está executando 25 tarefas por dia.
- A Identidade Executou Tarefas com Resultados Incomuns: a identidade que executa uma ação obtém um resultado diferente do normal, por exemplo, a maioria das tarefas termina em um resultado com sucesso e agora está terminando em um resultado com falha ou vice-versa.
- A Identidade Executou Tarefas com Horários Incomuns: a identidade realiza tarefas em horários incomuns, conforme estabelecido pela linha de base no período de observância. Os horários são agrupados pelas seguintes janelas de 4 horas UTC.
- A Identidade Executou Tarefas com Tipos Incomuns: a identidade realiza tipos incomuns de tarefas, conforme estabelecido pela linha de base no período de observância. Por exemplo, uma identidade executa tarefas de leitura, gravação ou exclusão que normalmente não executaria.
- A Identidade Executou Tarefas com Vários Padrões Incomuns: a identidade tem vários padrões incomuns nas tarefas executadas pela identidade, conforme estabelecido pela linha de base no período de observância.
Os gatilhos de alerta são baseados nos dados coletados. Todos os alertas, se disparados, são mostrados a cada hora na subguia Alertas.
Exibir anomalias estatísticas no comportamento de uma identidade
É possível analisar anomalias estatísticas no comportamento de uma identidade para monitorar atividades incomuns no Gerenciamento de Permissões. Esta seção explica como acessar e interpretar os alertas.
Na página inicial do Gerenciamento de Permissões, selecione Alertas (o ícone de sino).
Selecione Anomalia Estatística e, em seguida, selecione a subguia Alertas.
A subguia Alertas exibe as seguintes informações:
- Nome do Alerta: lista o nome do alerta.
- Regra de Alerta de Anomalia: exibe o nome da regra selecionada ao criar o alerta.
- Número de Ocorrências: exibe quantas vezes o gatilho de alerta ocorreu.
- Sistema de Autorização: exibe a quais sistemas de autorização o alerta se aplica.
- Data/Hora: lista o dia em que a exceção ocorre.
- Data/Hora (UTC): lista o dia em que a exceção ocorre no Tempo Universal Coordenado (UTC).
Para filtrar os alertas com base no nome, selecione o nome do alerta apropriado ou escolha Todos no menu suspenso Nome do Alerta e selecione Aplicar.
Para filtrar os alertas com base na hora do alerta, selecione Últimas 24 Horas, Últimos Dois Dias, Última Semana ou Intervalo Personalizado no menu suspenso Data e selecione Aplicar.
Se você selecionar as reticências (...) e escolher:
- Detalhes, você será levado a uma exibição de Resumo de Alertas em que o Sistema de Autorização, o Modelo Estatístico e o Período de Observância são exibidos juntamente com uma tabela com uma linha por identidade que dispara esse alerta. Nela você pode clicar em:
- Detalhes: exibe grafos que realçam a anomalia com contexto e até as três principais ações executadas no dia da anomalia
- Exibição de Gatilho: exibe as configurações atuais do gatilho e os detalhes aplicáveis do sistema de autorização
- Exibição de Gatilho: exibe as configurações atuais do gatilho e os detalhes aplicáveis do sistema de autorização
Criar um gatilho de anomalia estatística
É possível configurar gatilhos de alerta para anomalias estatísticas em condições específicas a fim de detectar atividades incomuns. Esta seção oferece etapas para a criação desses gatilhos de alerta.
Na página inicial do Gerenciamento de Permissões, selecione Alertas (o ícone de sino).
Selecione Anomalia Estatística, selecione a subguia Alertas e, em seguida, selecione Gatilho de Criar Alerta.
Insira um nome para o alerta na caixa Nome do Alerta.
Selecione o Sistema de Autorização, AWS (Amazon Web Services), Microsoft Azure ou GCP ( Google Cloud Platform).
Selecione uma das seguintes condições:
- A Identidade Executou um Alto Número de Tarefas: a identidade executa um volume de tarefas maior do que o normal. Por exemplo, uma identidade normalmente executa 25 tarefas por dia e agora está executando 100 tarefas por dia.
- A Identidade Executou um Baixo Número de Tarefas: a identidade executa um volume de tarefas menor do que o normal. Por exemplo, uma identidade normalmente executa 100 tarefas por dia e agora está executando 25 tarefas por dia.
- A Identidade Executou Tarefas com Resultados Incomuns: a identidade que executa uma ação obtém um resultado diferente do normal, por exemplo, a maioria das tarefas termina em um resultado com sucesso e agora está terminando em um resultado com falha ou vice-versa.
- A Identidade Executou Tarefas com Horários Incomuns: a identidade realiza tarefas em horários incomuns, conforme estabelecido pela linha de base no período de observância. Os horários são agrupados pelas seguintes janelas de 4 horas UTC.
- 00:00 às 04:00 UTC
- 04:00 às 08:00 UTC
- 08:00 às 12:00 UTC
- 12:00 às 16:00 UTC
- 16:00 às 20:00 UTC
- 20:00 às 00:00 UTC
- A Identidade Executou Tarefas com Tipos Incomuns: a identidade realiza tipos incomuns de tarefas, conforme estabelecido pela linha de base no período de observância. Por exemplo, uma identidade executa tarefas de leitura, gravação ou exclusão que normalmente não executaria.
- A Identidade Executou Tarefas com Vários Padrões Incomuns: a identidade tem vários padrões incomuns nas tarefas executadas pela identidade, conforme estabelecido pela linha de base no período de observância.
Selecione Avançar.
Na guia Sistemas de Autorização, selecione os sistemas apropriados ou, para selecionar todos os sistemas, selecione Todos.
O padrão dessa tela é a exibição de Lista, mas você pode mudar para a exibição de Pasta usando o menu e, em seguida, selecionar a pasta aplicável, em vez de individualmente pelo sistema.
A coluna Status será exibida, se o sistema de autorização estiver online ou offline.
A coluna Controlador será exibida, se o controlador estiver habilitado ou desabilitado.
Selecione Salvar.
Criar um gatilho de anomalia estatística
Ao criar gatilhos de alerta para anomalias estatísticas, é possível exibir e gerenciar esses gatilhos. Esta seção oferece instruções sobre como acessar e modificar esses gatilhos.
Na página inicial do Gerenciamento de Permissões, selecione Alertas (o ícone de sino).
Selecione Anomalia Estatística e, em seguida, selecione a subguia Gatilhos de Alerta.
A subguia Gatilhos de Alerta exibe as seguintes informações:
- Alerta: exibe o nome do alerta.
- Regra de Alerta de Anomalia: exibe o nome da regra selecionada ao criar o alerta.
- Número de usuários inscritos: exibe o número de usuários inscritos no alerta.
- Criado Por: exibe o endereço de email do usuário que criou o alerta.
- Última Modificação por: exibe o endereço de email do usuário que modificou o alerta pela última vez.
- Última Modificação em: exibe a data e a hora em que o gatilho foi modificado pela última vez.
- Assinatura: inscreve você para receber emails de alerta. Alterne o botão para Ativado ou Desativado.
Para filtrar por Ativado ou Desativado, na seção Status, selecione Todos, Ativado ou Desativado e, em seguida, clique em Aplicar.
Para exibir outras opções disponíveis, selecione as reticências (...) e, em seguida, escolha entre as opções disponíveis:
Se a Assinatura estiver Ativada, as seguintes opções estarão disponíveis:
Editar: permite modificar os parâmetros de alerta
Observação
Somente o usuário que criou o alerta pode realizar as ações a seguir: editar a tela de gatilho, renomear um alerta, desativar um alerta e excluir um alerta. As alterações feitas por outros usuários não são salvas.
Duplicar: crie uma cópia duplicada do gatilho de alerta selecionado.
Renomear: insira o novo nome da consulta e selecione Salvar.
Desativar: o alerta ainda será listado, mas não enviará mais emails aos usuários inscritos.
Ativar: ative o gatilho de alerta e comece a enviar emails para os usuários inscritos.
Configurações de Notificação: exiba o Email dos usuários inscritos no gatilho de alerta.
Excluir: exclua o alerta.
Se a Assinatura estiver Desativada, as seguintes opções estarão disponíveis:
- Exibir: exiba os detalhes do gatilho de alerta.
- Configurações de notificação: exiba o Email dos usuários inscritos no gatilho de alerta.
- Duplicar: crie uma cópia duplicada do gatilho de alerta selecionado.
Escolha Aplicar.
Próximas etapas
- Para obter uma visão geral sobre alertas e gatilhos de alerta, consulte Exibir informações sobre alertas e gatilhos de alerta.
- Para obter informações sobre os alertas de atividades e os gatilhos de alertas, confira Criar e visualizar alertas de atividades e gatilhos de alertas.
- Para obter informações sobre alertas de anomalias baseados em regras e gatilhos de alerta, consulte Criar e exibir alertas de anomalias baseados em regras e gatilhos de alerta.
- Para obter informações sobre os gatilhos de análises de permissões, consulte Criar e visualizar gatilhos de análises de permissões.