Erstellen und Anzeigen von regelbasierten Anomaliewarnungen und Warnungstriggern

Regelbasierte Anomalien identifizieren aktuelle Aktivitäten in Permissions Management, die anhand expliziter, im Warnungstrigger definierten Regeln als ungewöhnlich ermittelt werden. Das Ziel regelbasierter Anomaliewarnungen ist eine Erkennung mit hoher Genauigkeit.

Sie können regelbasierte Anomaliewarnungstrigger für die folgenden Bedingungen konfigurieren:

  • Alle Ressourcen beim erstmaligen Zugriff: Die Identität greift während des angegebenen Zeitintervalls zum ersten Mal auf eine Ressource zu.
  • Erstmaliges Ausführen einer bestimmten Aufgabe durch die Identität: Die Identität führt während des angegebenen Zeitintervalls zum ersten Mal eine bestimmte Aufgabe aus.
  • Erstmaliges Ausführen einer bestimmten Aufgabe durch die Identität: Die Identität führt während des angegebenen Zeitintervalls zum ersten Mal eine bestimmte Aufgabe aus.

Warnungstrigger basieren auf gesammelten Daten. Alle Warnungen werden bei ihrer Auslösung stündlich auf der Unterregisterkarte „Warnungen“ angezeigt.

Anzeigen von Warnungen bei regelbasierten Anomalien

  1. Wählen Sie auf der Permissions Management-Startseite Warnungen (das Glockensymbol) aus.

  2. Wählen Sie Regelbasierte Anomalie und dann die Unterregisterkarte Warnungen aus.

    Auf der Unterregisterkarte Warnungen werden die folgenden Informationen angezeigt:

    • Warnungsname: Listet den Namen der Warnung auf.

    • Wählen Sie Warnungsname aus, um spezielle Identitäts-, Ressourcen- und Aufgabennamen anzuzeigen, die bei der Sammlung von Warnungen aufgetreten sind.

    • Anomaliewarnungsregel: Zeigt den Namen der Regel an, die beim Erstellen der Warnung ausgewählt wurde.

    • Anzahl der Vorkommen: Gibt an, wie oft der Warnungstrigger aufgetreten ist

    • Aufgaben: Gibt an, wie viele Aufgabenausführungen von der Warnung ausgelöst werden.

    • Ressourcen: Gibt an, wie viele Ressourcenzugriffe von der Warnung ausgelöst werden.

    • Identität: Gibt an, wie viele Identitäten mit ungewöhnlichem Verhalten von der Warnung ausgelöst werden.

    • Autorisierungssystem: Zeigt an, für welche Autorisierungssysteme die Warnung gilt: Amazon Web Services (AWS), Microsoft Azure oder Google Cloud Platform (GCP)

    • Datum/Uhrzeit: Listet das Datum und die Uhrzeit der Warnung auf.

    • Datum/Uhrzeit (UTC): Listet das Datum und die Uhrzeit der Warnung in koordinierter Weltzeit (UTC) auf.

  3. So filtern Sie Warnungen

    • Wählen Sie in der Dropdownliste Warnungsname die Option Alle oder den entsprechenden Warnungsnamen aus.

    • Wählen Sie im Dropdownmenü Datum entweder Letzte 24 Stunden, Letzte 2 Tage, Letzte Woche oder Benutzerdefinierter Bereich aus, und wählen Sie dann Anwenden aus.

    • Bei Auswahl von Benutzerdefinierter Bereich müssen Sie auch Einstellungen für die Dauer (Von und Bis) eingeben.

  4. Um Details anzuzeigen, die den Warnungskriterien entsprechen, wählen Sie das Auslassungszeichen (...) aus.

    • Trigger anzeigen: Zeigt die aktuellen Triggereinstellungen und Details zu den entsprechenden Autorisierungssystemen an.
    • Details: Zeigt Details zu Autorisierungssystemtyp, Autorisierungssystemen, Ressourcen, Aufgaben, Identitäten und Aktivitäten an.
    • Aktivität: Zeigt Details zu Identitätsname, Ressourcenname, Aufgabenname, Datum/Uhrzeit, Inaktiv seit und IP-Adresse an. Durch Klicken auf das Augensymbol wird die Rohzusammenfassung der Ereignisse angezeigt.

Erstellen eines regelbasierten Anomaliewarnungstriggers

  1. Wählen Sie auf der Permissions Management-Startseite Warnungen (das Glockensymbol) aus.

  2. Wählen Sie Regelbasierte Anomalie und dann die Unterregisterkarte Warnungen aus.

  3. Wählen Sie Warnungstrigger erstellen aus.

  4. Geben Sie im Feld Warnungsname einen Namen für die Warnung ein.

  5. Wählen Sie als Autorisierungssystem entweder AWS, Azure oder GCP aus.

  6. Wählen Sie eine der folgenden Bedingungen aus:

    • Alle Ressourcen beim erstmaligen Zugriff: Die Identität greift während des angegebenen Zeitintervalls zum ersten Mal auf eine Ressource zu.
    • Erstmaliges Ausführen einer bestimmten Aufgabe durch die Identität: Die Identität führt während des angegebenen Zeitintervalls zum ersten Mal eine bestimmte Aufgabe aus.
    • Erstmaliges Ausführen einer bestimmten Aufgabe durch die Identität: Die Identität führt während des angegebenen Zeitintervalls zum ersten Mal eine bestimmte Aufgabe aus.
  7. Wählen Sie Weiter aus.

  8. Wählen Sie auf der Registerkarte Autorisierungssysteme entweder die verfügbaren Autorisierungssysteme und Ordner oder Alle aus.

    Dieser Bildschirm ist standardmäßig auf die Listenansicht eingestellt, kann jedoch in die Ordneransicht geändert werden. Sie können statt der individuellen Auswahl nach Autorisierungssystem den entsprechenden Ordner auswählen.

    • In der Spalte Status wird angezeigt, ob das Autorisierungssystem online oder offline ist.
    • In der Spalte Controller wird angezeigt, ob der Controller aktiviert oder deaktiviert ist.
  9. Wählen Sie zum Aktualisieren des Zeitintervalls auf der Registerkarte Konfiguration in der Dropdownliste Zeitbereich entweder 90 Tage, 60 Tage oder 30 Tage aus.

  10. Wählen Sie Speichern aus.

Anzeigen eines regelbasierten Anomaliewarnungstriggers

  1. Wählen Sie auf der Permissions Management-Startseite Warnungen (das Glockensymbol) aus.

  2. Wählen Sie Regelbasierte Anomalie und dann die Unterregisterkarte Warnungstrigger aus.

    Auf der Unterregisterkarte Warnungstrigger werden die folgenden Informationen angezeigt:

    • Warnungen: Zeigt den Namen der Warnung an.
    • Anomaliewarnungsregel: Zeigt den Namen der Regel an, die beim Erstellen der Warnung ausgewählt wurde.
    • Anzahl der Abonnenten: Zeigt die Anzahl von Benutzer*innen an, die die Warnung abonniert haben
    • Erstellt von: Zeigt die E-Mail-Adresse des Benutzers bzw. der Benutzerin an, der oder die die Regel erstellt hat
    • Zuletzt geändert von: Zeigt die E-Mail-Adresse des Benutzers an, der die Warnung zuletzt geändert hat.
    • Zuletzt geändert am: Zeigt das Datum und die Uhrzeit der letzten Änderung des Triggers an.
    • Abonnement: Hier abonnieren Sie den Empfang von Warnungs-E-Mails. Wechselt zwischen Ein und Aus.
  3. Wählen Sie zum Anzeigen anderer verfügbarer Optionen das Auslassungszeichen (...) aus, und wählen Sie dann eine der verfügbaren Optionen aus:

    Wenn das Abonnement auf Ein eingestellt ist, sind die folgenden Optionen verfügbar:

    • Bearbeiten: Ermöglicht das Ändern von Warnungsparametern.

      Nur der Benutzer, der die Warnung erstellt hat, kann den Triggerbildschirm bearbeiten sowie die Warnung umbenennen, deaktivieren und löschen. Von anderen Benutzern vorgenommene Änderungen werden nicht gespeichert.

    • Duplizieren: Erstellt ein Duplikat (Kopie) des ausgewählten Warnungstriggers.

    • Umbenennen: Geben Sie den neuen Namen der Abfrage ein, und wählen Sie dann Speichern aus.

    • Deaktivieren: Die Warnung wird weiterhin aufgeführt, sendet aber keine E-Mails mehr an Abonnenten.

    • Aktivieren: Aktiviert den Warnungstrigger und beginnt mit dem Senden von E-Mails an Abonnenten.

    • Benachrichtigungseinstellungen: Zeigt die E-Mail-Adresse der Benutzer*innen an, die den Warnungstrigger abonniert haben

    • Löschen: Löscht die Warnung.

    Wenn das Abonnement auf Aus festgelegt ist, sind die folgenden Optionen verfügbar:

    • Ansicht: Zeigt Details zum Warnungstrigger an.
    • Benachrichtigungseinstellungen: Zeigt die E-Mail-Adresse der Benutzer*innen an, die den Warnungstrigger abonniert haben
    • Duplizieren: Erstellt ein Duplikat (Kopie) des ausgewählten Warnungstriggers.
  4. Wählen Sie zum Filtern nach Aktiviert oder Deaktiviert im Bereich Status entweder Alle, Aktiviert oder Deaktiviert aus, und wählen Sie dann Anwenden aus.

Nächste Schritte