Compartir a través de

Crear y ver alertas de anomalías estadísticas y activadores de alertas

  • Artículo

Las anomalías estadísticas pueden detectar valores atípicos en el comportamiento de una identidad si se determina que la actividad reciente es inusual según los modelos definidos en un desencadenante de actividad. El objetivo de este activador de alerta es una alta tasa de recuperación.

Puede configurar desencadenadores de alertas de anomalías estadísticas para los escenarios siguientes:

  • La identidad realizó un gran número de tareas: la identidad realiza más tareas que las de su volumen habitual. Por ejemplo, una identidad suele realizar 25 tareas al día y ahora está realizando 100.
  • La identidad realizó un bajo número de tareas: la identidad realiza menos tareas que las de su volumen habitual. Por ejemplo, una identidad suele realizar 100 tareas al día y ahora está realizando 25.
  • La identidad realizó tareas con resultados inusuales: la identidad que realiza una acción obtiene un resultado diferente del habitual, como que la mayoría de las tareas terminan en un resultado correcto y ahora terminan en un resultado con errores o viceversa.
  • La identidad realizó tareas a unas horas inusuales: la identidad realiza tareas en horas inusuales según lo establecido por su línea de base en el período de cumplimiento. Las horas se agrupan por las siguientes ventanas de 4 horas de la zona horaria UTC.
  • La identidad realizó tipos de tareas inusuales: la identidad realiza tipos inusuales de tareas según lo establecido por su línea de base en el período de cumplimiento. Por ejemplo, una identidad realiza tareas de lectura, escritura o eliminación que normalmente no realizaría.
  • La identidad realizó tareas con varios patrones inusuales: la identidad presenta varios patrones inusuales en las tareas que realizó según lo establecido por su línea de base en el período de cumplimiento.

Los desencadenadores de alertas se basan en los datos recopilados. Todas las alertas, si se desencadenan, se muestran cada hora en la subpestaña Alertas.

Visualización de anomalías estadísticas en el comportamiento de una identidad

  1. En la página principal de Administración de permisos, seleccione Alertas (el icono de campana).

  2. Seleccione Statistical anomaly (Anomalía estadística) y la subpestaña Alertas.

    La subpestaña Alerts (Alertas) muestra la siguiente información:

    • Nombre de alerta: muestra el nombre de la alerta.
    • Regla de alertas de anomalías: muestra el nombre de la regla que se selecciona al crear la alerta.
    • Número de repeticiones: muestra cuántas veces se ha producido el desencadenador de alertas.
    • Sistema de autorización: muestra a qué sistemas de autorización se aplica la alerta.
    • Fecha y hora: muestra el día del valor atípico que se está produciendo.
    • Fecha y hora (UTC): muestra el día del valor atípico que se produce en la hora universal coordinada (UTC).

  3. Para filtrar las alertas según el nombre, seleccione el nombre de alerta adecuado o elija Todos en el menú desplegable Nombre de alerta y seleccione Aplicar.

  4. Para filtrar las alertas en función de la hora de la alerta, seleccione Últimas 24 horas, Últimos 2 días, Última semana o Intervalo personalizado en el menú desplegable Fecha y seleccione Aplicar.

  5. Si selecciona los puntos suspensivos (...) y selecciona:

    • Detalles: esto le lleva a la vista Resumen de alertas en la que aparecen Sistema de autorización, Modelo estadístico y Período de cumplimiento junto con una tabla con una fila por cada identidad que desencadena esta alerta. Desde aquí, puede hacer clic en:
    • Detalles: muestra gráficos que resaltan la anomalía con contexto y hasta las tres acciones principales que se realizaron el día de la anomalía
    • Ver desencadenador: muestra la configuración actual del desencadenador y los detalles del sistema de autorización aplicables.
    • Ver desencadenador: muestra la configuración actual del desencadenador y los detalles del sistema de autorización aplicables.

Crear un activador de alerta de anomalía estadística

  1. En la página principal de Administración de permisos, seleccione Alertas (el icono de campana).

  2. Seleccione Statistical anomaly (Anomalía estadística), la subpestaña Alertas y, por último, Create Alert Trigger (Crear desencadenador de alertas).

  3. En el cuadro Nombre de alerta, escriba un nombre para la alerta.

  4. Seleccione el sistema de autorización, Amazon Web Services (AWS), Microsoft Azure, o Google Cloud Platform (GCP).

  5. Seleccione una de las siguientes condiciones:

    • La identidad realizó un gran número de tareas: la identidad realiza más tareas que las de su volumen habitual. Por ejemplo, una identidad suele realizar 25 tareas al día y ahora está realizando 100.
    • La identidad realizó un bajo número de tareas: la identidad realiza menos tareas que las de su volumen habitual. Por ejemplo, una identidad suele realizar 100 tareas al día y ahora está realizando 25.
    • La identidad realizó tareas con resultados inusuales: la identidad que realiza una acción obtiene un resultado diferente del habitual, como que la mayoría de las tareas terminan en un resultado correcto y ahora terminan en un resultado con errores o viceversa.
    • La identidad realizó tareas a unas horas inusuales: la identidad realiza tareas en horas inusuales según lo establecido por su línea de base en el período de cumplimiento. Las horas se agrupan por las siguientes ventanas de 4 horas de la zona horaria UTC.
      • 00:00 - 04:00 UTC
      • 04:00 - 08:00 UTC
      • 08:00 - 12:00 UTC
      • 12:00 - 16:00 UTC
      • 16:00 - 20:00 UTC
      • 20:00 - 00:00 UTC
    • La identidad realizó tipos de tareas inusuales: la identidad realiza tipos inusuales de tareas según lo establecido por su línea de base en el período de cumplimiento. Por ejemplo, una identidad realiza tareas de lectura, escritura o eliminación que normalmente no realizaría.
    • La identidad realizó tareas con varios patrones inusuales: la identidad presenta varios patrones inusuales en las tareas que realizó según lo establecido por su línea de base en el período de cumplimiento.

  6. Seleccione Next (Siguiente).

  7. En la pestaña Authorization Systems (Sistemas de autorización), seleccione los sistemas adecuados o, para seleccionar todos los sistemas, seleccione Todos.

    La pantalla tiene como valor predeterminado la vista Lista, pero puede cambiar a la vista Carpeta mediante el menú y, a continuación, seleccionar la carpeta aplicable en lugar de individualmente por sistema.

    • La columna Estado muestra si el sistema de autorización está en línea o sin conexión.

    • La columna Controller (Controlador) muestra si el controlador está habilitado o deshabilitado.

  8. Seleccione Guardar.

Ver activadores de alertas de anomalías estadísticas

  1. En la página principal de Administración de permisos, seleccione Alertas (el icono de campana).

  2. Seleccione Statistical anomaly (Anomalía estadística) y la subpestaña Alert Triggers (Desencadenadores de alertas).

    La subpestaña Alert Triggers (Desencadenadores de alertas) muestra la siguiente información:

    • Alerta: muestra el nombre de la alerta.
    • Regla de alertas de anomalías: muestra el nombre de la regla que se selecciona al crear la alerta.
    • Número de usuarios suscritos: muestra el número de usuarios suscritos a la alerta.
    • Created By (Autor): muestra la dirección de correo electrónico del usuario que creó la alerta.
    • Last Modified By (Autor de la última modificación): muestra la dirección de correo electrónico del usuario que modificó la alerta por última vez.
    • Last Modified On (Fecha de la última modificación): muestra la fecha y hora en que se modificó por última vez el desencadenador.
    • Subscription (Suscripción): le suscribe para recibir correos electrónicos de alerta. Cambie el botón a Activar o Desactivar.

  3. Para filtrar por Activado o Desactivado, en la sección Estado, seleccione Todo, Activado o Desactivado y, a continuación, seleccione Aplicar.

  4. Para ver otras opciones disponibles, seleccione los puntos suspensivos (...) y, a continuación, seleccione entre las opciones disponibles:

    Si la suscripción está activa, estarán disponibles las siguientes opciones:

    • Edit (Editar): le permite modificar los parámetros de la alerta.

      Nota:

      Solo el usuario que creó la alerta puede realizar las siguientes acciones: editar la pantalla del desencadenador, cambiar el nombre de una alerta, desactivar una alerta y eliminar una alerta. Los cambios realizados por otros usuarios no se guardan.

    • Duplicate (Duplicar): cree una copia duplicada del desencadenador de alertas seleccionado.

    • Rename (Cambiar nombre): escriba el nuevo nombre de la consulta y, después, seleccione Guardar.

    • Deactivate (Desactivar): la alerta seguirá en la lista, pero ya no enviará correos electrónicos a los usuarios suscritos.

    • Activate (Activar): active el desencadenador de alertas y empiece a enviar correos electrónicos a los usuarios suscritos.

    • Notification Settings (Configuración de notificaciones): vea el correo electrónico de los usuarios que están suscritos al desencadenador de alertas.

    • Delete (Eliminar): elimine la alerta.

    Si la suscripción está desactivada, estarán disponibles las siguientes opciones:

    • View (Ver): vea los detalles del desencadenador de alertas.
    • Notification settings (Configuración de notificaciones): vea el correo electrónico de los usuarios que están suscritos al desencadenador de alertas.
    • Duplicar: cree una copia duplicada del desencadenador de alertas seleccionado.

  5. Seleccione Aplicar.

Pasos siguientes