Erstellen und Anzeigen von statistischen Anomaliewarnungen und Warnungstriggern

  • Artikel

Statistische Anomalien können Ausreißer im Verhalten einer Identität erkennen, wenn die jüngste Aktivität, basierend auf Modellen, die in einem Aktivitätstrigger definiert sind, als ungewöhnlich erkannt wird. Das Ziel dieses Warnungstriggers ist eine hohe Abrufrate.

Sie können statistische Anomaliewarnungstrigger für die folgenden Szenarien konfigurieren:

  • Identität hat hohe Anzahl von Aufgaben ausgeführt: Die Identität führt eine höhere Aufgabenmenge aus als üblich. Beispielsweise führt eine Identität in der Regel 25 Aufgaben pro Tag aus, und jetzt führt sie 100 Aufgaben pro Tag aus.
  • Identität hat niedrige Anzahl von Aufgaben ausgeführt: Die Identität führt eine niedrigere Aufgabenmenge aus als üblich. Beispielsweise führt eine Identität in der Regel 100 Aufgaben pro Tag aus, und jetzt führt sie 25 Aufgaben pro Tag aus.
  • Identität hat Aufgaben mit ungewöhnlichen Ergebnissen ausgeführt: Die Identität, die eine Aktion ausführt, erhält ein anderes Ergebnis als üblich, z. B. enden die meisten Aufgaben mit einem erfolgreichen Ergebnis und enden nun mit einem fehlerhaften Ergebnis oder umgekehrt.
  • Identität hat Aufgaben mit ungewöhnlichem Timing ausgeführt: Die Identität führt Aufgaben zu ungewöhnlichen Zeiten aus, wie sie gemäß ihrer Baseline im Beobachtungszeitraum festgestellt wurden. Die Zeiten werden nach den folgenden UTC-4-Stunden-Fenstern gruppiert.
  • Identität hat Aufgaben mit ungewöhnlichem Typen ausgeführt: Die Identität führt ungewöhnliche Typen von Aufgaben aus, wie sie gemäß ihrer Baseline im Beobachtungszeitraum festgestellt wurden. Beispielsweise führt eine Identität Lese-, Schreib- oder Löschaufgaben aus, die sie normalerweise nicht ausführen würde.
  • Identität hat Aufgaben mit mehreren ungewöhnlichen Mustern ausgeführt: Die Identität weist mehrere ungewöhnliche Muster bei ihren ausgeführten Aufgaben aus, wie sie gemäß ihrer Baseline im Beobachtungszeitraum festgestellt wurden.

Warnungstrigger basieren auf gesammelten Daten. Alle Warnungen werden bei ihrer Auslösung stündlich auf der Unterregisterkarte „Warnungen“ angezeigt.

Anzeigen statistischer Anomalien im Verhalten einer Identität

  1. Wählen Sie auf der Permissions Management-Startseite Warnungen (das Glockensymbol) aus.

  2. Wählen Sie Statistical Anomaly (Statistische Anomalie) und dann die Unterregisterkarte Warnungen aus.

    Auf der Unterregisterkarte Warnungen werden die folgenden Informationen angezeigt:

    • Warnungsname: Listet den Namen der Warnung auf.
    • Anomaliewarnungsregel: Zeigt den Namen der Regel an, die beim Erstellen der Warnung ausgewählt wurde.
    • Anzahl der Vorkommen: Zeigt an, wie oft der Warnungstrigger aufgetreten ist.
    • Autorisierungssystem: Zeigt an, für welche Autorisierungssysteme die Warnung gilt.
    • Datum/Uhrzeit: Listet den Tag auf, an dem der Ausreißer aufgetreten ist.
    • Datum/Uhrzeit (UTC): Listet den Tag in koordinierter Weltzeit (UTC) auf, an dem der Ausreißer aufgetreten ist.

  3. Um die Warnungen nach Namen zu filtern, wählen Sie den entsprechenden Warnungsnamen aus, oder wählen Sie im Dropdownmenü Warnungsname die Option Alle aus, und wählen Sie dann Übernehmen aus.

  4. Um die Warnungen nach der Warnungszeit zu filtern, wählen Sie im Dropdownmenü Datum die Option Letzte 24 Stunden, Letzte 2 Tage, Letzte Woche oder Benutzerdefinierter Bereich aus, und wählen Sie dann Übernehmen aus.

  5. Wenn Sie das Auslassungszeichen (...) und dann Folgendes auswählen:

    • Details: Dadurch gelangen Sie zu der Ansicht „Warnungszusammenfassung“, in der Autorisierungssystem, Statistisches Modell und Beobachtungszeitraum zusammen mit einer Tabelle mit einer Zeile pro Identität angezeigt werden, die diese Warnung auslöst. Hier können Sie auf Folgendes klicken:
    • Details: Zeigt Diagramme an, in denen die Anomalie mit Kontext hervorgehoben wird, sowie die bis zu drei wichtigsten Aktionen, die am Tag der Anomalie ausgeführt wurden.
    • Trigger anzeigen: Zeigt die aktuellen Triggereinstellungen und Details zu den entsprechenden Autorisierungssystemen an.
    • Trigger anzeigen: Zeigt die aktuellen Triggereinstellungen und Details zu den entsprechenden Autorisierungssystemen an.

Erstellen eines statistischen Anomaliewarnungstriggers

  1. Wählen Sie auf der Permissions Management-Startseite Warnungen (das Glockensymbol) aus.

  2. Wählen Sie Statistical Anomaly, dann die Unterregisterkarte Warnungen und schließlich Auslöser für Warnungserstellung aus.

  3. Geben Sie im Feld Warnungsname einen Namen für die Warnung ein.

  4. Wählen Sie das Authorization System (Autorisierungssystem), Amazon Web Services (AWS), Microsoft Azure oder Google Cloud Platform (GCP) aus.

  5. Wählen Sie eine der folgenden Bedingungen aus:

    • Identität hat hohe Anzahl von Aufgaben ausgeführt: Die Identität führt eine höhere Aufgabenmenge aus als üblich. Beispielsweise führt eine Identität in der Regel 25 Aufgaben pro Tag aus, und jetzt führt sie 100 Aufgaben pro Tag aus.
    • Identität hat niedrige Anzahl von Aufgaben ausgeführt: Die Identität führt eine niedrigere Aufgabenmenge aus als üblich. Beispielsweise führt eine Identität in der Regel 100 Aufgaben pro Tag aus, und jetzt führt sie 25 Aufgaben pro Tag aus.
    • Identität hat Aufgaben mit ungewöhnlichen Ergebnissen ausgeführt: Die Identität, die eine Aktion ausführt, erhält ein anderes Ergebnis als üblich, z. B. enden die meisten Aufgaben mit einem erfolgreichen Ergebnis und enden nun mit einem fehlerhaften Ergebnis oder umgekehrt.
    • Identität hat Aufgaben mit ungewöhnlichem Timing ausgeführt: Die Identität führt Aufgaben zu ungewöhnlichen Zeiten aus, wie sie gemäß ihrer Baseline im Beobachtungszeitraum festgestellt wurden. Die Zeiten werden nach den folgenden UTC-4-Stunden-Fenstern gruppiert.
      • 00:00–04:00 Uhr UTC
      • 04:00–08:00 Uhr UTC
      • 08:00–12:00 Uhr UTC
      • 12:00–16:00 Uhr UTC
      • 16:00–20:00 Uhr UTC
      • 20:00-24:00 Uhr UTC
    • Identität hat Aufgaben mit ungewöhnlichem Typen ausgeführt: Die Identität führt ungewöhnliche Typen von Aufgaben aus, wie sie gemäß ihrer Baseline im Beobachtungszeitraum festgestellt wurden. Beispielsweise führt eine Identität Lese-, Schreib- oder Löschaufgaben aus, die sie normalerweise nicht ausführen würde.
    • Identität hat Aufgaben mit mehreren ungewöhnlichen Mustern ausgeführt: Die Identität weist mehrere ungewöhnliche Muster bei ihren ausgeführten Aufgaben aus, wie sie gemäß ihrer Baseline im Beobachtungszeitraum festgestellt wurden.

  6. Wählen Sie Weiter aus.

  7. Wählen Sie auf der Registerkarte Authorization Systems (Autorisierungssysteme) die entsprechenden Systeme aus, oder wählen Sie Alle aus, um alle Systeme auszuwählen.

    Der Bildschirm verwendet standardmäßig die Ansicht Liste, aber Sie können über das Menü zur Ansicht Ordner wechseln und dann den entsprechenden Ordner statt einzeln nach System auswählen.

    • In der Spalte Status wird angezeigt, ob das Autorisierungssystem online oder offline ist.

    • In der Spalte Controller wird angezeigt, ob der Controller aktiviert oder deaktiviert ist.

  8. Wählen Sie Speichern aus.

Anzeigen von Triggern für Warnungen für statistische Anomalien

  1. Wählen Sie auf der Permissions Management-Startseite Warnungen (das Glockensymbol) aus.

  2. Wählen Sie Statistical Anomaly und dann die Unterregisterkarte Alert Triggers (Warnungstrigger) aus.

    Auf der Unterregisterkarte Alert Triggers werden die folgenden Informationen angezeigt:

    • Warnung: Zeigt den Namen der Warnung an.
    • Anomaliewarnungsregel: Zeigt den Namen der Regel an, die beim Erstellen der Warnung ausgewählt wurde.
    • Anzahl der Abonnenten: Zeigt die Anzahl von Benutzern an, die die Warnung abonniert haben.
    • Erstellt von: Zeigt die E-Mail-Adresse des Benutzers bzw. der Benutzerin an, der oder die die Regel erstellt hat
    • Zuletzt geändert von: Zeigt die E-Mail-Adresse des Benutzers an, der die Warnung zuletzt geändert hat.
    • Zuletzt geändert am: Zeigt das Datum und die Uhrzeit der letzten Änderung des Triggers an.
    • Abonnement: Hier abonnieren Sie den Empfang von Warnungs-E-Mails. Schalten Sie die Schaltfläche auf Ein oder Aus um.

  3. Wählen Sie zum Filtern nach Aktiviert oder Deaktiviert im Bereich Status entweder Alle, Aktiviert oder Deaktiviert aus, und wählen Sie dann Anwenden aus.

  4. Wählen Sie zum Anzeigen anderer verfügbarer Optionen das Auslassungszeichen (...) aus, und wählen Sie dann eine der verfügbaren Optionen aus:

    Wenn das Abonnement auf Ein festgelegt ist, sind die folgenden Optionen verfügbar:

    • Bearbeiten: Ermöglicht das Ändern von Warnungsparametern.

      Hinweis

      Nur der Benutzer, der die Warnung erstellt hat, kann folgende Aktionen ausführen: Bearbeiten des Triggerbildschirms sowie Umbenennen, Deaktivieren und Löschen einer Warnung. Von anderen Benutzern vorgenommene Änderungen werden nicht gespeichert.

    • Duplizieren: Erstellt ein Duplikat (Kopie) des ausgewählten Warnungstriggers.

    • Umbenennen: Geben Sie den neuen Namen der Abfrage ein, und wählen Sie dann Speichern aus.

    • Deaktivieren: Die Warnung wird weiterhin aufgeführt, sendet aber keine E-Mails mehr an Abonnenten.

    • Aktivieren: Aktiviert den Warnungstrigger und beginnt mit dem Senden von E-Mails an Abonnenten.

    • Benachrichtigungseinstellungen: Zeigt die E-Mail-Adresse der Benutzer*innen an, die den Warnungstrigger abonniert haben

    • Löschen: Löscht die Warnung.

    Wenn das Abonnement auf Aus festgelegt ist, sind die folgenden Optionen verfügbar:

    • Ansicht: Zeigt Details zum Warnungstrigger an.
    • Benachrichtigungseinstellungen: Zeigt die E-Mail-Adresse der Benutzer an, die den Warnungstrigger abonniert haben.
    • Duplizieren: Erstellt ein Duplikat (Kopie) des ausgewählten Warnungstriggers.

  5. Wählen Sie Übernehmen.

Nächste Schritte