通过

创建和查看统计异常警报与警报触发器

  • 项目

如果根据活动触发器中定义的模型确定最近的活动为异常活动,则统计异常可以检测到标识行为中的离群值。 此警报触发器的目标是高召回率。

可以为以下方案配置统计异常警报触发器:

  • “标识执行了大量任务”:标识执行的任务比常规任务量更高。 例如,标识通常每天执行 25 个任务,现在它每天执行 100 个任务。
  • “标识执行了少量任务”:标识的执行频率低于其常规任务量。 例如,标识通常每天执行 100 个任务,现在它每天执行 25 个任务。
  • “标识执行了异常结果的任务”:执行操作的标识将获取与平时不同的结果,如平时大多数任务都以成功结束,此时将以失败结束,反之亦然。
  • “标识执行了异常时间的任务”:标识在异常时间执行任务,这是由其观察期的基线确定的。 时间按以下 UTC 4 小时窗口分组。
  • “标识执行了具有异常类型的任务”:标识执行的任务类型在了期间由其基线建立。 例如,标识执行通常不会执行的读取、写入或删除任务。
  • “标识执行了多个异常模式的任务”:标识在了期间通过其基线建立的任务中有几种异常模式。

警报触发器基于收集的数据。 所有警报(如果已触发)每隔一小时就会显示在“警报”子选项卡下。

查看标识行为中的统计异常

可以查看标识行为中的异常统计信息,以在权限管理中监视异常活动。 本部分说明了如何访问和解释警报。

  1. 在权限管理主页中,选择“警报”(铃铛图标)。

  2. 选择“统计异常”,然后选择“警报”子选项卡。

    “警报”子标签显示以下信息:

    • “警报名称”:列出警报的名称。
    • “异常警报规则”:显示创建警报时选择的规则名称。
    • “# 的发生次数”:显示警报触发器的发生次数。
    • “授权系统”:显示警报适用的授权系统。
    • “日期/时间”:列出离群值的出现日期。
    • “日期/时间 (UTC)”:列出离群值的出现日期,采用协调世界时 (UTC)。

  3. 若要根据名称筛选警报,请选择相应的警报名称或从“警报名称”下拉菜单中选择“全部”,并选择“应用”。

  4. 若要根据警报时间筛选警报,请从“日期”下拉菜单中选择“最近 24 小时”、“最近 2 天”、“上周”或“自定义范围”,然后选择“应用”。

  5. 如果选择省略号(“...”)并选择:

    • “详细信息”,这会使你转到警报摘要视图,显示了“授权系统”、“统计模型”和“观察期”以及每个标识触发此警报的表。 可以从此页执行下列操作:
    • “详细信息”:显示了突出显示上下文异常的图形,并最多执行异常当天执行的前 3 个操作
    • “查看触发器”:显示当前的触发器设置和适用的授权系统详细信息
    • “查看触发器”:显示当前的触发器设置和适用的授权系统详细信息

创建统计异常警报触发器

可以为特定条件配置统计异常警报触发器来检测异常活动。 本部分将指导你完成创建这些警报触发器的步骤。

  1. 在权限管理主页中,选择“警报”(铃铛图标)。

  2. 选择“统计异常”,选择“警报”子选项卡,然后选择“创建警报触发器”。

  3. 在“警报名称”框中输入警报的名称。

  4. 选择“授权系统”、Amazon Web Services (AWS)、Microsoft Azure 或 Google Cloud Platform (GCP)。

  5. 请选择下列触发器之一:

    • “标识执行了大量任务”:标识执行的任务比常规任务量更高。 例如,标识通常每天执行 25 个任务,现在它每天执行 100 个任务。
    • “标识执行了少量任务”:标识的执行频率低于其常规任务量。 例如,标识通常每天执行 100 个任务,现在它每天执行 25 个任务。
    • “标识执行了异常结果的任务”:执行操作的标识将获取与平时不同的结果,如平时大多数任务都以成功结束,此时将以失败结束,反之亦然。
    • “标识执行了异常时间的任务”:标识在异常时间执行任务,这是由其观察期的基线确定的。 时间按以下 UTC 4 小时窗口分组。
      • 午夜 12 -午夜 4 点 UTC
      • 午夜 4-早晨 8 点 UTC
      • 早晨 8 点-中午 12 点 UTC
      • 中午 12 点-下午 4 点 UTC
      • 下午 4 点-晚上 8 点 UTC
      • 晚上 8 点-晚上 12 点 UTC
    • “标识执行了具有异常类型的任务”:标识执行的任务类型在了期间由其基线建立。 例如,标识执行通常不会执行的读取、写入或删除任务。
    • “标识执行了多个异常模式的任务”:标识在了期间通过其基线建立的任务中有几种异常模式。

  6. 选择“下一步”。

  7. 在“授权系统”选项卡上,选择相应的系统,也可选择“所有”以选择所有系统。

    屏幕默认为“列表”视图,但你可以使用菜单切换到“文件夹”视图,然后选择适用的文件夹,而不是逐个地选择“系统”。

    • 如果授权系统处于联机状态还是脱机状态,则“状态”列将显示。

    • 如果启用或禁用控制器,“控制器”列将显示。

  8. 选择“保存”。

查看统计异常警报触发器

可以查看和管理已创建的统计异常警报触发器。 本部分提供了有关如何访问和修改这些触发器的说明。

  1. 在权限管理主页中,选择“警报”(铃铛图标)。

  2. 选择“统计异常”,然后选择“警报触发器”子选项卡。

    “警报触发器”子选项卡显示以下信息:

    • “警报”:显示警报的名称。
    • “异常警报规则”:显示创建警报时选择的规则名称。
    • “订阅的用户数”:显示订阅到警报的用户的数量。
    • 创建者:显示创建警报的用户的电子邮件地址。
    • 上次修改者:显示最后修改警报的用户的电子邮件地址。
    • 上次修改时间:显示上次修改触发器的日期和时间。
    • “订阅”:订阅接收警报电子邮件。 将按钮切换为“打开”或“关闭”。

  3. 若要按“激活”或“停用”方式进行筛选,请在“状态”部分中选择“全部”、“已激活”或“已停用”,然后选择“应用”。

  4. 若要查看其他可用的选项,请选择省略号(“...”),然后从可用选项中进行选择:

    如果“订阅”已“打开”,则可以使用以下选项:

    • “编辑”:可用于修改警报参数

      注意

      只有创建警报的用户才能执行以下操作:编辑触发器屏幕、重命名警报、停用警报和删除警报。 其他用户所做的更改不会被保存。

    • 复制:创建所选警报触发器的重复副本。

    • 重命名:输入查询的新名称,然后选择“保存”。

    • “停用”:仍会列出警报,但不会再将电子邮件发送给订阅的用户。

    • 激活:激活警报触发器并开始将电子邮件发送给订阅的用户。

    • 通知设置:查看订阅了警报触发器的用户的“电子邮件”。

    • 删除:删除步骤。

    如果“订阅”已“关闭”,则可以使用以下选项:

    • 查看:查看警报触发器的详细信息。
    • “通知设置”:查看订阅了警报触发器的用户的“电子邮件”。
    • “复制”:创建所选警报触发器的重复副本。

  5. 选择“应用”。

后续步骤