Создание и просмотр статистических оповещений о аномалиях и триггеров оповещений

Статистические аномалии могут обнаруживать излиятели в поведении удостоверения, если недавнее действие определяется как необычное на основе моделей, определенных в триггере действия. Цель этого триггера оповещений — это высокая скорость отзыва.

Для следующих сценариев можно настроить триггеры статистических оповещений об аномалиях:

• Удостоверение выполняет большое число задач: удостоверение выполняет больше обычного объема задач. Например, обычно удостоверение выполняет 25 задач в день, но сейчас оно выполняет 100 задач в день.
• Удостоверение выполняет малое число задач: удостоверение выполняет меньше обычного объема задач. Например, обычно удостоверение выполняет 100 задач в день, но сейчас оно выполняет 25 задач в день.
• Удостоверение выполняет задачи с необычными результатами: удостоверение, выполняющее действие, получает результат, отличный от обычного. Например большинство задач завершается успешно, но теперь завершается с ошибкой или наоборот.
• Удостоверение выполняет задачи с необычным расписанием: удостоверение выполняет задачи в необычное время, установленное по сравнению с базовыми показателями за период наблюдения. Время сгруппировано по следующим окнам в формате UTC 4 часа.
• Удостоверение выполняет задачи необычного типа: удостоверение выполняет отличные задачи по сравнению с установленными базовыми показателями за период наблюдения. Например, удостоверение выполняет задачи чтения, записи или удаления, которые ранее не выполнялись.
• Удостоверение выполняет задачи по нескольким необычным шаблонами: удостоверение выполняет задачи по нескольким необычным шаблонам по сравнению с базовыми показателями выполнения удостоверением задач на протяжении периода наблюдения.

Триггеры оповещений основаны на собранных данных. Все оповещения, если они активируются, отображаются каждый час в подзадаче оповещений.

Просмотр статистических аномалий в поведении удостоверения

Статистические аномалии можно просмотреть в поведении удостоверения, чтобы отслеживать необычные действия в службе управления разрешениями. В этом разделе объясняется, как получить доступ к оповещениям и интерпретировать их.

1. На домашней странице управления разрешениями выберите "Оповещения " (значок колокольчика).

2. Выберите пункт Статистическая аномалия, а затем щелкните внутреннюю вкладку Оповещения.

   Вложенная вкладка Оповещения содержит следующие сведения:

   • Имя оповещения: выводит наименование оповещения.
   • Правило оповещения об аномалиях: имя правила, которое выбирается при создании оповещения.
   • Число возникновений: количество возникновений оповещения.
   • Система авторизации: к каким системам авторизации относится оповещение.
   • Дата и время: содержит день, когда произошло отклонение.
   • Дата и время (UTC): указывает день отклонения, происходящих в формате универсального координированного времени (UTC).

3. Чтобы отфильтровать оповещения по имени, выберите соответствующее имя оповещения или выберите Все в раскрывающемся меню Имя оповещения и нажмите кнопку Применить.

4. Чтобы отфильтровать оповещения на основе времени оповещения, выберите Последние 24 часа, Последние 2 дня, Прошлая неделя или введите Пользовательский диапазон в раскрывающемся меню Дата и выберите Применить.

5. Выберите меню с многоточием (...) и выберите следующее.

   • Сведения: данная опция отображает к представлению сводки оповещения, в которой приведены Система авторизации, Статистическая модель и Период наблюдения, а также таблица по каждому удостоверению, активировавшему данное оповещение. Здесь вы можете выбрать следующее.
   • Сведения: отображаются диаграммы, отражающие аномалию в контексте и до 3 действий, выполненных в день аномалии
   • Просмотр триггера: текущие параметры триггера и сведения о применимой системе авторизации
   • Просмотр триггера: текущие параметры триггера и сведения о применимой системе авторизации

Создание триггера статистической аномалии

Вы можете настроить триггеры статистических оповещений об аномалиях для определенных условий для обнаружения необычных действий. В этом разделе описаны действия по созданию этих триггеров оповещений.

1. На домашней странице управления разрешениями выберите "Оповещения " (значок колокольчика).

2. Выберите пункт Статистическая аномалия, щелкните внутреннюю вкладку Оповещения и выберите Создать триггер оповещений.

3. В поле Имя оповещения введите имя оповещения.

4. Выберите Тип системы авторизации: Amazon Web Services (AWS), Microsoft Azure или Google Cloud Platform (GCP).

5. Выберите одно из указанных ниже условий.

   • Удостоверение выполняет большое число задач: удостоверение выполняет больше обычного объема задач. Например, обычно удостоверение выполняет 25 задач в день, но сейчас оно выполняет 100 задач в день.
   • Удостоверение выполняет малое число задач: удостоверение выполняет меньше обычного объема задач. Например, обычно удостоверение выполняет 100 задач в день, но сейчас оно выполняет 25 задач в день.
   • Удостоверение выполняет задачи с необычными результатами: удостоверение, выполняющее действие, получает результат, отличный от обычного. Например большинство задач завершается успешно, но теперь завершается с ошибкой или наоборот.
   • Удостоверение выполняет задачи с необычным расписанием: удостоверение выполняет задачи в необычное время, установленное по сравнению с базовыми показателями за период наблюдения. Время группируются на интервалы в 4 часа в формате UTC.
     • 12AM–4AM UTC
     • 4AM–8AM UTC
     • 8AM–12PM UTC
     • 12PM–4PM UTC
     • 4PM–8PM UTC
     • 8PM–12AM UTC
   • Удостоверение выполняет задачи необычного типа: удостоверение выполняет отличные задачи по сравнению с установленными базовыми показателями за период наблюдения. Например, удостоверение выполняет задачи чтения, записи или удаления, которые ранее не выполнялись.
   • Удостоверение выполняет задачи по нескольким необычным шаблонами: удостоверение выполняет задачи по нескольким необычным шаблонам по сравнению с базовыми показателями выполнения удостоверением задач на протяжении периода наблюдения.

6. Выберите Далее.

7. На вкладке Системы авторизации выберите соответствующие системы или значение Все, чтобы использовать все системы авторизации.

   На экране по умолчанию используется представление Списка, но можно переключиться в представление Папки с помощью меню, а затем выбрать соответствующий каталог, вместо того, чтобы делать это индивидуально для каждой системы.

   • В столбце Состояние отображается, находится ли система авторизации в сети или нет.

   • Столбец Контроллер показывает, включен или отключен контроллер.

8. Выберите Сохранить.

Просмотр триггеров статистических оповещений об аномалиях

Вы можете просматривать созданные вами статистические триггеры оповещений об аномалиях и управлять ими. В этом разделе приведены инструкции по доступу к этим триггерам и их изменению.

1. На домашней странице управления разрешениями выберите "Оповещения " (значок колокольчика).

2. Выберите пункт Статистическая аномалия и щелкните подчиненную вкладку Триггеры оповещений.

   Вложенная вкладка Alert Triggers (Триггеры оповещений) содержит следующие сведения:

   • Оповещение: отображает имя оповещения.
   • Правило оповещения об аномалиях: имя правила, которое выбирается при создании оповещения.
   • Количество подписанных пользователей.: количество пользователей, подписанных на оповещение.
   • Created By (Кем создано): адрес электронной почты пользователя, создавшего оповещение.
   • Автор изменения: адрес электронной почты пользователя, который последним изменил оповещение.
   • Последнее изменение: дата и время последнего изменения триггера.
   • Подписка: подписка на получение оповещений по электронной почте. Введите переключатель в положение Вкл или Откл.

3. Чтобы выполнить фильтрацию по активированным или деактивированным триггерам, в разделе Состояние выберите Все, Активированные или Деактивированные, а затем нажмите кнопку Применить.

4. Чтобы просмотреть другие доступные параметры, нажмите кнопку с многоточием (...), а затем выберите из доступных параметров.

   Если состояние подписки имеет значение Вкл, доступны следующие параметры.

   • Изменить: позволяет изменить параметры оповещений

     Примечание.

     Только пользователь, создавший оповещение, может выполнять следующие действия: изменить экран триггера, переименовать оповещение, отключить оповещение и удалить оповещение. Изменения, внесенные другими пользователями, не сохраняются.

   • Дублировать: создает копию выбранного триггера оповещения.

   • Переименовать: введите новое имя оповещения и нажмите кнопку Сохранить.

   • Деактивировать: оповещение по-прежнему будет отображаться в списке, но больше не будет отправлять сообщения электронной почты подписанным пользователям.

   • Активировать: активировать триггер оповещения и начать отправку сообщений электронной почты подписанным пользователям.

   • Notification Settings (Параметры уведомлений): позволяет просмотреть адреса электронной почты пользователей, которые подписаны на триггер оповещений.

   • Удалить: удалить оповещение.

   Если состояние Подписка имеет значение Откл, доступны следующие параметры.

   • Просмотр: просмотр сведений о триггере оповещения.
   • Параметры уведомлений: позволяет просмотреть адреса электронной почты пользователей, которые подписаны на триггер оповещений.
   • Дублировать: создает копию выбранного триггера оповещения.

5. Выберите Применить.

Следующие шаги

• Обзор оповещений и триггеров оповещений см. в разделе "Просмотр сведений о оповещениях и триггерах оповещений".
• Сведения об оповещениях о действиях и триггерах оповещений см. в статье Создание и просмотр оповещений о действиях и триггеров оповещений.
• Сведения о оповещениях аномалий на основе правил и триггерах оповещений см. в статье "Создание и просмотр оповещений на основе правил" и триггеров оповещений на основе правил.
• Сведения об оповещениях аналитики разрешений и триггерах оповещений см. в статье "Создание и просмотр оповещений аналитики разрешений" и триггеров оповещений.