Создание и просмотр оповещений на основе правил и триггеров оповещений на основе правил

Аномалии на основе правил определяют недавние действия в службе управления разрешениями, которые определяются как необычные на основе явных правил, определенных в триггере генерации оповещений. Цель оповещений аномалий на основе правил — это обнаружение высокоточия.

Триггеры оповещений на основе правил можно настроить для следующих условий:

• Любой ресурс, к которому осуществлялся доступ в первый раз: удостоверение обращается к ресурсу в первый раз за указанный интервал времени.
• Удостоверение выполняет определенную задачу в первый раз: удостоверение выполняет определенную задачу в первый раз за указанный интервал времени.
• Удостоверение выполняет задачу в первый раз: удостоверение выполняет любую задачу в первый раз в течение указанного интервала времени.

Триггеры оповещений основаны на собранных данных. Все оповещения, если они активируются, отображаются каждый час в подзадаче оповещений.

Просмотр оповещений об аномалиях на основе правил

Вы можете просматривать оповещения аномалий на основе правил, чтобы отслеживать необычные действия в службе управления разрешениями. В этом разделе объясняется, как получить доступ к оповещениям и интерпретировать их.

1. На домашней странице управления разрешениями выберите "Оповещения " (значок колокольчика).

2. Выберите пункт Rule-Based Anomaly (Аномалия на основе правил), а затем щелкните вложенную вкладку Alerts (Оповещения).

   Вложенная вкладка Оповещения содержит следующие сведения:

   • Имя оповещения: выводит наименование оповещения.

   • Чтобы просмотреть конкретные имена удостоверений, ресурсов и задач, имевших место в течение периода сбора оповещений, выберите Имя оповещения.

   • Правило оповещения об аномалиях: имя правила, которое выбирается при создании оповещения.

   • # of Occurrences (Число возникновений): сколько раз возникала активация триггера.

   • Задача: количество задач, которые были выполнены и активировали оповещение.

   • Ресурсы: количество ресурсов, к которым выполнялось обращение и которые активировали оповещение.

   • Удостоверение: количество удостоверений, проявлявших необычное поведение и которые активировали оповещение.

   • Authorization System (Система авторизации): отображает системы авторизации, к которым относится оповещение, Amazon Web Services (AWS), Microsoft Azure или Google Cloud Platform (GCP).

   • Дата и время: дата и время возникновения оповещения.

   • Дата и время (UTC). Дату и время оповещения в формате UTC.

3. Фильтрация оповещений

   • В раскрывающемся списке Имя оповещения выберите Все или соответствующее имя оповещения.

   • В раскрывающемся меню Дата выберите Последние 24 часа, Последние 2 дня, Последняя неделя или Настраиваемый диапазон, а затем нажмите кнопку Применить.

   • Если выбрана опция Пользовательский диапазон, требуется ввести параметры задания продолжительности От и До.

4. Чтобы просмотреть сведения, соответствующие условиям оповещения, нажмите кнопку с многоточием (...).

   • Просмотр триггера: текущие параметры триггера и сведения о применимой системе авторизации
   • Сведения: отображаются сведения о типе системы авторизации, системах авторизации, ресурсах, задачах, удостоверениях и действиях
   • Действие: содержит сведения об имени идентификатора, имени ресурса, имени задачи, дате, периоде неактивности и IP-адресе. При выборе значка «глаз» отображается Сводка по необработанным событиям

Создание триггера оповещений на основе правил

Вы можете настроить триггеры оповещений на основе правил для определенных условий для обнаружения необычных действий. В этом разделе описаны действия по созданию этих триггеров оповещений.

1. На домашней странице управления разрешениями выберите "Оповещения " (значок колокольчика).

2. Выберите пункт Rule-Based Anomaly (Аномалия на основе правил), а затем щелкните вложенную вкладку Alerts (Оповещения).

3. Выберите " Создать триггер генерации оповещений".

4. В поле Имя оповещения введите имя оповещения.

5. Выберите нужную систему авторизации: AWS, Azure или GCP.

6. Выберите одно из указанных ниже условий.

   • Любой ресурс, к которому осуществлялся доступ в первый раз: удостоверение обращается к ресурсу в первый раз за указанный интервал времени.
   • Удостоверение выполняет определенную задачу в первый раз: удостоверение выполняет определенную задачу в первый раз за указанный интервал времени.
   • Удостоверение выполняет задачу в первый раз: удостоверение выполняет любую задачу в первый раз в течение указанного интервала времени.

7. Выберите Далее.

8. На вкладке Системы авторизации выберите доступные системы и папки авторизации или выберите Все.

   По умолчанию этот экран имеет вид Список, но его можно изменить на представление Папки. Можно выбрать подходящую папку вместо того, чтобы выбирать индивидуально по системе авторизации.

   • В столбце Состояние отображается, находится ли система авторизации в сети или нет.
   • Столбец Контроллер показывает, включен или отключен контроллер.

9. На вкладке Конфигурация для изменения интервала времени выберите 90 дней, 60 дней или 30 дней из раскрывающегося списка Диапазон времени.

10. Выберите Сохранить.

Просмотр триггера оповещений на основе правил

Вы можете просматривать созданные триггеры аномалий на основе правил и управлять ими. В этом разделе приведены инструкции по доступу к этим триггерам и их изменению.

1. На домашней странице управления разрешениями выберите "Оповещения " (значок колокольчика).

2. Выберите пункт Rule-Based Anomaly (Аномалия на основе правил), а затем щелкните вложенную вкладку Alert Triggers (Триггеры оповещений).

   Вложенная вкладка Alert Triggers (Триггеры оповещений) содержит следующие сведения:

   • Оповещение: отображает имя оповещения.
   • Правило оповещения об аномалиях: имя правила, которое выбирается при создании оповещения.
   • # of Users Subscribed (Количество подписанных пользователей): количество пользователей, подписанных на оповещение.
   • Created By (Кем создано): адрес электронной почты пользователя, создавшего оповещение.
   • Автор изменения: адрес электронной почты пользователя, который последним изменил оповещение.
   • Последнее изменение: дата и время последнего изменения триггера.
   • Подписка: подписка на получение оповещений по электронной почте. Переключение между состояниями Вкл и Откл.

3. Чтобы просмотреть другие доступные параметры, нажмите кнопку с многоточием (...), а затем выберите из доступных параметров.

   Если состояние подписки имеет значение Вкл, доступны следующие параметры.

   • Изменить: позволяет изменить параметры оповещений.

     Только пользователь, создавший оповещение, может изменить экран триггера, переименовать оповещение, отключить оповещение и удалить оповещение. Изменения, внесенные другими пользователями, не сохраняются.

   • Дублировать: создает копию выбранного триггера оповещения.

   • Переименовать: введите новое имя оповещения и нажмите кнопку Сохранить.

   • Деактивировать: оповещение по-прежнему будет отображаться в списке, но больше не будет отправлять сообщения электронной почты подписанным пользователям.

   • Активировать: активировать триггер оповещения и начать отправку сообщений электронной почты подписанным пользователям.

   • Notification Settings (Параметры уведомлений): позволяет просмотреть адреса электронной почты пользователей, которые подписаны на триггер оповещений.

   • Удалить: удалить оповещение.

   Если состояние Подписка имеет значение Откл, доступны следующие параметры.

   • Просмотр: просмотр сведений о триггере оповещения.
   • Notification Settings (Параметры уведомлений): позволяет просмотреть адреса электронной почты пользователей, которые подписаны на триггер оповещений.
   • Дублировать: создает копию выбранного триггера оповещения.

4. Чтобы выполнить фильтрацию по активированным или деактивированным триггерам, в разделе Состояние выберите Все, Активированные или Деактивированные, а затем нажмите кнопку Применить.

Следующие шаги

• Обзор оповещений и триггеров оповещений см. в разделе "Просмотр сведений о оповещениях и триггерах оповещений".
• Сведения об оповещениях о действиях и триггерах оповещений см. в статье Создание и просмотр оповещений о действиях и триггеров оповещений.
• Сведения об обнаружении выбросов в поведении удостоверений см. в статье "Создание и просмотр статистических оповещений об аномалиях" и триггеров оповещений.
• Сведения об оповещениях аналитики разрешений и триггерах оповещений см. в статье "Создание и просмотр оповещений аналитики разрешений" и триггеров оповещений.