通过

创建和查看基于规则的异常警报和警报触发器

  • 项目

基于规则的异常可识别权限管理中根据警报触发器中定义的显式规则确定为异常的近期活动。 基于规则的异常警报的目标是高精度检测。

可以为以下条件配置基于规则的异常警报触发器:

  • 首次访问的任何资源:标识在指定的时间间隔内首次访问资源。
  • 标识首次执行特定任务:标识在指定时间间隔内首次执行特定任务。
  • 标识首次执行任务:标识在指定的时间间隔内首次执行任何任务。

警报触发器基于收集的数据。 所有警报(如果已触发)每隔一小时就会显示在“警报”子选项卡下。

查看基于规则的异常警报

  1. 在权限管理主页中,选择“警报”(铃铛图标)。

  2. 选择“基于规则的异常”,然后选择“警报”子标签。

    “警报”子标签显示以下信息:

    • “警报名称”:列出警报的名称。

    • 要查看警报收集期间发生的特定标识、资源和任务名称,请选择“警报名称”。

    • “异常警报规则”:显示创建警报时选择的规则名称。

    • 出现次数:警报触发器的发生次数。

    • 任务:执行的多少任务是由警报触发的。

    • 资源:警报触发了多少资源访问。

    • 标识:警报触发了多少个执行异常行为的标识。

    • 授权系统:显示警报适用于哪些授权系统,Amazon Web Services (AWS)、Microsoft Azure 或 Google Cloud Platform (GCP)。

    • 日期/时间:列出警报的日期和时间。

    • 日期/时间 (UTC):列出警报的日期和时间(采用协调世界时 (UTC))。

  3. 筛选警报:

    • 从“警报名称”下拉列表中,选择“全部”或适当的警报名称。

    • 从“日期”下拉菜单中,选择“最近 24 小时”、“过去 2 天”、“过去一周”或“自定义范围”,然后选择“应用”。

    • 如果你选择“自定义范围”,还请输入“从”和“到”持续时间设置。

  4. 要查看符合警报条件的详细信息,请选择省略号 (...)。

    • 查看触发器:显示当前的触发器设置和适用的授权系统详细信息
    • 详细信息:显示有关授权系统类型、授权系统、资源、任务、标识和活动的详细信息
    • 活动:显示有关标识名称、资源名称、任务名称、日期/时间、非活动对象和 IP 地址的详细信息。 选择“眼睛”图标会显示“原始事件摘要”

创建基于规则的异常警报触发器

  1. 在权限管理主页中,选择“警报”(铃铛图标)。

  2. 选择“基于规则的异常”,然后选择“警报”子标签。

  3. 选择“创建警报触发器”。

  4. 在“警报名称”框中,输入警报的名称。

  5. 选择“授权系统”:AWS、Azure 或 GCP。

  6. 请选择下列触发器之一:

    • 首次访问的任何资源:标识在指定的时间间隔内首次访问资源。
    • 标识首次执行特定任务:标识在指定时间间隔内首次执行特定任务。
    • 标识首次执行任务:标识在指定的时间间隔内首次执行任何任务。

  7. 选择“下一步”。

  8. 在“授权系统”选项卡上,选择可用的授权系统和文件夹,或选择“全部”。

    此屏幕默认为“列表”视图,但你可以将其更改为“文件夹”视图。 你可以选择适用的文件夹,而不是通过授权系统单独选择。

    • 如果授权系统处于联机状态还是脱机状态,则“状态”列将显示。
    • 如果启用或禁用控制器,“控制器”列将显示。

  9. 在“配置”选项卡上,若要更新“时间间隔”,请从“时间范围”下拉列表中选择“90 天”、“60 天”或“30 天”。

  10. 选择“保存”。

查看基于规则的异常警报触发器

  1. 在权限管理主页中,选择“警报”(铃铛图标)。

  2. 选择“基于规则的异常”,然后选择“警报触发器”子选项卡。

    “警报触发器”子标签显示以下信息:

    • 警报:显示警报的名称。
    • 异常警报规则:显示创建警报时选择的规则名称。
    • “订阅的用户数”:显示订阅到警报的用户的数量。
    • 创建者:显示创建警报的用户的电子邮件地址。
    • 上次修改者:显示最后修改警报的用户的电子邮件地址。
    • 上次修改时间:显示上次修改触发器的日期和时间。
    • 订阅:订阅接收警报电子邮件。 在打开和关闭之间切换。

  3. 若要查看其他可用的选项,请选择省略号(“...”),然后从可用选项中进行选择:

    如果“订阅”已“打开”,则可以使用以下选项:

    • 编辑:可用于修改警报参数。

      只有创建警报的用户才能编辑触发器屏幕、重命名警报、停用警报和删除警报。 其他用户所做的更改不会被保存。

    • 复制:创建所选警报触发器的重复副本。

    • 重命名:输入查询的新名称,然后选择“保存”。

    • “停用”:仍会列出警报,但不会再将电子邮件发送给订阅的用户。

    • 激活:激活警报触发器并开始将电子邮件发送给订阅的用户。

    • 通知设置:查看订阅了警报触发器的用户的“电子邮件”。

    • 删除:删除步骤。

    如果“订阅”已“关闭”,则可以使用以下选项:

    • 查看:查看警报触发器的详细信息。
    • 通知设置:查看订阅了警报触发器的用户的“电子邮件”。
    • 复制:创建所选警报触发器的重复副本。

  4. 若要按“激活”或“停用”方式进行筛选,请在“状态”部分中选择“全部”、“已激活”或“已停用”,然后选择“应用”。

后续步骤