Crear y ver alertas de anomalías basadas en reglas y activadores de alertas

Las anomalías basadas en reglas identifican la actividad reciente en la Administración de permisos que se determina como inusual en función de las reglas explícitas definidas en el desencadenador de alertas. El objetivo de las alertas de anomalía basadas en reglas es la detección de alta precisión.

Puede configurar desencadenadores de alertas de anomalías basadas en reglas para las condiciones siguientes:

• Cualquier recurso al que se accede por primera vez: la identidad accede a un recurso por primera vez durante el intervalo especificado.
• La identidad realiza una tarea concreta por primera vez: la identidad realiza una tarea específica por primera vez durante el intervalo especificado.
• La identidad realiza una tarea por primera vez: la identidad realiza cualquier tarea por primera vez durante el intervalo.

Los desencadenadores de alertas se basan en los datos recopilados. Todas las alertas, si se desencadenan, se muestran cada hora en la subpestaña Alertas.

Visualización de alertas de anomalías basadas en reglas

1. En la página principal de Administración de permisos, seleccione Alertas (el icono de campana).

2. Seleccione Rule-Based Anomaly (Anomalía basada en regla) y la subpestaña Alerts (Alertas).

   La subpestaña Alerts (Alertas) muestra la siguiente información:

   • Nombre de alerta: muestra el nombre de la alerta.

   • Para ver los nombres de identidad, recurso y tarea específicos que se produjeron durante el período de recopilación de alertas, seleccione el nombre de la alerta.

   • Regla de alertas de anomalías: muestra el nombre de la regla que se selecciona al crear la alerta.

   • # of Occurrences (Número de repeticiones): muestra el número de veces se ha producido el desencadenador de alertas.

   • Task (Tarea): número de tareas realizadas que desencadena la alerta.

   • Resources (Recursos): número de recursos a los que se accede desencadenados por la alerta.

   • Identity (Identidad): número de identidades que realizan un comportamiento inusual que desencadena la alerta.

   • Authorization System (Sistema de autorización): muestra los sistemas de autorización a los que se aplica la alerta, Amazon Web Services (AWS), Microsoft Azure o Google Cloud Platform (GCP).

   • Date/Time (Fecha y hora): muestra la fecha y hora de la alerta.

   • Date/Time (UTC) [Fecha y hora (UTC)]: enumera la fecha y hora de la alerta en hora universal coordinada (UTC).

3. Para filtrar alertas:

   • En la lista desplegable Alert Name (Nombre de alerta), seleccione All (Todos) o el nombre de alerta adecuado.

   • En el menú desplegable Date, (Fecha), seleccione Last 24 Hours (Últimas 24 horas), Last 2 Days (Últimos 2 días), Last Week (Última semana) o Custom Range (Intervalo personalizado) y seleccione Apply (Aplicar).

   • Si selecciona Custom Range (Intervalo personalizado), escriba la configuración de duración From (Desde) y To (Hasta).

4. Para ver los detalles que coinciden con los criterios de alerta, seleccione los puntos suspensivos (...).

   • View Trigger (Ver desencadenador): muestra la configuración actual del desencadenador y los detalles del sistema de autorización aplicables.
   • Details (Detalles): muestra detalles del tipo de sistema de autorización, sistemas de autorización, recursos, tareas, identidades y actividad.
   • Activity (Actividad): muestra detalles sobre el nombre de identidad, nombre del recurso, nombre de la tarea, fecha y hora, duración de inactividad y dirección IP. Al seleccionar el icono del "ojo", se muestra el resumen de eventos sin procesar

Crear un desencadenador de alerta de anomalías basado en reglas

1. En la página principal de Administración de permisos, seleccione Alertas (el icono de campana).

2. Seleccione Rule-Based Anomaly (Anomalía basada en regla) y la subpestaña Alerts (Alertas).

3. Seleccione Crear desencadenador de alertas.

4. En el cuadro Alert Name (Nombre de alerta), escriba un nombre para la alerta.

5. Seleccione el sistema de autorización, AWS, Azure o GCP.

6. Seleccione una de las siguientes condiciones:

   • Cualquier recurso al que se accede por primera vez: la identidad accede a un recurso por primera vez durante el intervalo especificado.
   • La identidad realiza una tarea concreta por primera vez: la identidad realiza una tarea específica por primera vez durante el intervalo especificado.
   • La identidad realiza una tarea por primera vez: la identidad realiza cualquier tarea por primera vez durante el intervalo.

7. Seleccione Next (Siguiente).

8. En la pestaña Authorization Systems (Sistemas de autorización), seleccione los sistemas y carpetas de autorización disponibles o seleccione All (Todos).

   El valor predeterminado de esta pantalla es la vista List (Lista), pero puede cambiarlo a la vista Folders (Carpetas). Puede seleccionar la carpeta aplicable, en lugar de seleccionar individualmente por sistema de autorización.

   • La columna Status (Estado) muestra si el sistema de autorización está en línea o sin conexión.
   • La columna Controller (Controlador) muestra si el controlador está habilitado o deshabilitado.

9. En la pestaña Configuration (Configuración), para actualizar el intervalo, seleccione 90 Days (90 días), 60 Days (60 días) o 30 Days (30 días) en la lista desplegable Time range (Intervalo de tiempo).

10. Seleccione Guardar.

Ver un desencadenador de alerta de anomalías basado en reglas

1. En la página principal de Administración de permisos, seleccione Alertas (el icono de campana).

2. Seleccione Rule-Based Anomaly (Anomalía basada en regla) y, después, la subpestaña Alert Triggers (Desencadenadores de alertas).

   La subpestaña Alert Triggers (Desencadenadores de alertas) muestra la siguiente información:

   • Alerts (Alertas): muestra el nombre de la alerta.
   • Anomaly Alert Rule (Regla de alertas de anomalías): muestra el nombre de la regla que se selecciona al crear la alerta.
   • # of Users Subscribed (Número de usuarios suscritos): muestra el número de usuarios suscritos a la alerta.
   • Created By (Autor): muestra la dirección de correo electrónico del usuario que creó la alerta.
   • Last Modified By (Autor de la última modificación): muestra la dirección de correo electrónico del usuario que modificó la alerta por última vez.
   • Last Modified On (Fecha de la última modificación): muestra la fecha y hora en que se modificó por última vez el desencadenador.
   • Subscription (Suscripción): le suscribe para recibir correos electrónicos de alerta. Alterna entre activado y desactivado.

3. Para ver otras opciones disponibles, seleccione los puntos suspensivos (...) y, después, seleccione una de las opciones disponibles:

   Si la suscripción está activa, estarán disponibles las siguientes opciones:

   • Edit (Editar): permite modificar los parámetros de la alerta.

     Solo el usuario que creó la alerta puede editar la pantalla del desencadenador, cambiar el nombre de una alerta, desactivarla y eliminarla. Los cambios realizados por otros usuarios no se guardan.

   • Duplicate (Duplicar): cree una copia duplicada del desencadenador de alertas seleccionado.

   • Rename (Cambiar nombre): escriba el nuevo nombre de la consulta y, después, seleccione Guardar.

   • Deactivate (Desactivar): la alerta seguirá en la lista, pero ya no enviará correos electrónicos a los usuarios suscritos.

   • Activate (Activar): active el desencadenador de alertas y empiece a enviar correos electrónicos a los usuarios suscritos.

   • Notification Settings (Configuración de notificaciones): vea el correo electrónico de los usuarios que están suscritos al desencadenador de alertas.

   • Delete (Eliminar): elimine la alerta.

   Si la suscripción está desactivada, estarán disponibles las siguientes opciones:

   • View (Ver): vea los detalles del desencadenador de alertas.
   • Notification Settings (Configuración de notificaciones): vea el correo electrónico de los usuarios que están suscritos al desencadenador de alertas.
   • Duplicate (Duplicar): cree una copia duplicada del desencadenador de alertas seleccionado.

4. Para filtrar por Activado o Desactivado, en la sección Estado, seleccione Todo, Activado o Desactivado y, a continuación, seleccione Aplicar.

Pasos siguientes

• Para obtener información general sobre las alertas y los desencadenadores de alertas, consulte Visualización de información sobre las alertas y los desencadenadores de alertas.
• Para obtener información sobre las alertas de actividad y los desencadenadores de alertas, consulte Creación y visualización de alertas de actividad y desencadenadores de alertas.
• Para obtener información sobre cómo buscar valores atípicos en el comportamiento de la identidad, consulte Crear y ver alertas de anomalías estadísticas y activadores de alertas.
• Para obtener información sobre las alertas de análisis de permiso y los desencadenadores de alertas, consulte Creación y visualización de desencadenadores de análisis de permisos.