Créer et afficher des alertes d’anomalie et des déclencheurs d’alertes basés sur des règles

  • Article

Les anomalies basées sur des règles identifient les activités récentes dans Gestion des autorisations, qui sont considérées comme inhabituelles en fonction de règles explicites définies dans le déclencheur d’alerte. L’objectif des alertes d’anomalies basées sur des règles est une détection très précise.

Vous pouvez configurer des déclencheurs d’alerte d’anomalies basées sur des règles pour les conditions suivantes :

  • Toute ressource accessible pour la première fois : l’identité accède à une ressource pour la première fois pendant l’intervalle de temps spécifié.
  • L’identité effectue une tâche particulière pour la première fois : l’identité effectue une tâche spécifique pour la première fois pendant l’intervalle de temps spécifié.
  • L’identité effectue une tâche pour la première fois : l’identité effectue une tâche quelconque pour la première fois pendant l’intervalle de temps spécifié.

Les déclencheurs d’alerte sont basés sur les données collectées. Toutes les alertes, si elles sont déclenchées, sont affichées toutes les heures dans le sous-onglet Alertes.

Afficher les alertes d’anomalies basées sur des règles

  1. Sur la page d’accueil de Gestion des autorisations, sélectionnez Alertes (l’icône en forme de cloche).

  2. Sélectionnez Anomalie basée sur les règles, puis sélectionnez le sous-onglet Alertes.

    Le sous-onglet Alertes affiche les informations suivantes :

    • Nom de l’alerte : indique le nom de l’alerte.

    • Pour afficher les noms d’identité, de ressource et de tâche spécifiques qui se sont produits pendant la période de collecte des alertes, sélectionnez Nom de l’alerte.

    • Règle d’alerte d’anomalie : affiche le nom de la règle sélectionnée lors de la création de l’alerte.

    • Nombre d’occurrences : nombre de fois où le déclencheur d’alerte s’est produit.

    • Tâche : nombre de tâches effectuées qui sont déclenchées par l’alerte.

    • Ressources : nombre de ressources auxquelles l’utilisateur a accédé qui sont déclenchées par l’alerte.

    • Identité : nombre d’identités ayant un comportement inhabituel qui sont déclenchées par l’alerte.

    • Système d’autorisation : affiche les systèmes d’autorisation auxquels l’alerte s’applique, Amazon Web Services (AWS), Microsoft Azureou Google Cloud Platform (GCP).

    • Date/heure : indique la date et l’heure de l’alerte.

    • Date/heure (UTC) : indique la date et l’heure de l’alerte en temps universel coordonné (UTC, Universal Time Coordinated).

  3. Pour filtrer les alertes :

    • Dans la liste déroulante Nom d’alerte, sélectionnez Tout ou le nom de l’alerte appropriée.

    • Dans le menu déroulant Date, sélectionnez Last 24 Hours, Last 2 Days, Last Week ou Custom Range, puis sélectionnez Apply.

    • Si vous sélectionnez Custom range, entrez également les paramètres de durée From et To.

  4. Pour afficher les détails qui correspondent aux critères d’alerte, sélectionnez les points de suspension (...).

    • View trigger : affiche les paramètres actuels du déclencheur et les détails du système d’autorisation applicables.
    • Details : affiche les détails sur le type de système d’autorisation, les systèmes d’autorisation, les ressources, les tâches, les identités et l’activité
    • Activity : affiche des détails sur le nom de l’identité, le nom de la ressource, le nom de la tâche, la date/heure, la durée d’inactivitéet l’adresse IP. La sélection de l’icône « œil » affiche la zone Raw Events Summary

Créer un déclencheur d’anomalies basées sur des règles

  1. Sur la page d’accueil de Gestion des autorisations, sélectionnez Alertes (l’icône en forme de cloche).

  2. Sélectionnez Anomalie basée sur les règles, puis sélectionnez le sous-onglet Alertes.

  3. Sélectionnez Créer un déclencheur d’alerte.

  4. Dans la zone Nom d'alerte, entrez un nom pour l’alerte.

  5. Sélectionnez le Système d’autorisation, AWS, Azure ou GCP.

  6. Sélectionnez l’une des conditions suivantes :

    • Toute ressource accessible pour la première fois : l’identité accède à une ressource pour la première fois pendant l’intervalle de temps spécifié.
    • L’identité effectue une tâche particulière pour la première fois : l’identité effectue une tâche spécifique pour la première fois pendant l’intervalle de temps spécifié.
    • L’identité effectue une tâche pour la première fois : l’identité effectue une tâche quelconque pour la première fois pendant l’intervalle de temps spécifié.

  7. Sélectionnez Suivant.

  8. Sous l’onglet Systèmes d’autorisation , sélectionnez les systèmes et dossiers d’autorisation disponibles, ou sélectionnez Tout.

    Cet écran propose par défaut l’affichage Liste, mais vous pouvez le remplacer par l’affichage Dossiers. Vous pouvez sélectionner le dossier applicable au lieu de sélectionner individuellement le système d’autorisation.

    • La colonne État indique si le système d’autorisation est en ligne ou hors connexion.
    • La colonne Contrôleur indique si le contrôleur est activé ou désactivé.

  9. Sous l’onglet Configuration, pour mettre à jour l’intervalle de temps (Time Interval), sélectionnez 90 Days, 60 Days ou 30 Days dans la liste déroulante Time range.

  10. Cliquez sur Enregistrer.

Visualiser un déclencheur d’anomalies basées sur des règles

  1. Sur la page d’accueil de Gestion des autorisations, sélectionnez Alertes (l’icône en forme de cloche).

  2. Sélectionnez Anomalie basée sur les règles, puis sélectionnez le sous-onglet Déclencheur d’alertes.

    Le sous-onglet Déclencheur d’alertes affiche les informations suivantes :

    • Alertes : affiche le nom de l’alerte.
    • Anomaly Alert Rule : affiche le nom de la règle sélectionnée lors de la création de l’alerte.
    • # of users subscribed : affiche le nombre d’utilisateurs abonnés à l’alerte.
    • Created by : affiche l’adresse e-mail de l’utilisateur ayant créé l’alerte.
    • Last modified by : affiche l’adresse e-mail de l’utilisateur ayant modifié l’alerte pour la dernière fois.
    • Last Modified On : affiche la date et l’heure de la dernière modification du déclencheur.
    • Subscription : vous abonne pour recevoir des e-mails d’alerte. Bascule entre Activé et Désactivé.

  3. Pour afficher les autres options disponibles, sélectionnez les points de suspension (...), puis sélectionnez l’une des options disponibles.

    Si l’Abonnement est Activé, les options suivantes sont disponibles :

    • Modifier : vous permet de modifier les paramètres d’alerte

      Seul l’utilisateur qui a créé l’alerte peut modifier l’écran du déclencheur, renommer une alerte, désactiver une alerte et supprimer une alerte. Les modifications apportées par d’autres utilisateurs ne sont pas enregistrées.

    • Dupliquer : créez une copie dupliquée du déclencheur d’alerte sélectionné.

    • Renommer : entrez le nouveau nom de la requête, puis sélectionnez Enregistrer.

    • Désactiver : l’alerte reste listée, mais n’envoie plus d’e-mails aux utilisateurs abonnés.

    • Activer : activez le déclencheur d’alerte et commencez à envoyer des e-mails aux utilisateurs abonnés.

    • Paramètres de notification : affichez l'adresse e-mail des utilisateurs qui sont abonnés au déclencheur d’alerte.

    • Supprimer : supprimez l’alerte.

    Si l'Abonnement est Désactivé, les options suivantes sont disponibles :

    • Afficher : affichez les détails du déclencheur d’alerte.
    • Paramètres de notification : affichez l'adresse e-mail des utilisateurs qui sont abonnés au déclencheur d’alerte.
    • Dupliquer : créez une copie dupliquée du déclencheur d’alerte sélectionné.

  4. Pour filtrer par Activated ou Deactivated, dans la section Status, sélectionnez All, Activated ou Deactivated, puis sélectionnez Apply.

Étapes suivantes