Udostępnij za pośrednictwem


Tworzenie i wyświetlanie statystycznych alertów anomalii i wyzwalaczy alertów

Anomalie statystyczne mogą wykrywać wartości odstające w zachowaniu tożsamości, jeśli ostatnie działanie jest określane jako nietypowe na podstawie modeli zdefiniowanych w wyzwalaczu działania. Celem tego wyzwalacza alertu jest wysoki współczynnik kompletności.

Możesz skonfigurować statystyczne wyzwalacze alertów anomalii dla następujących scenariuszy:

  • Tożsamość wykonana duża liczba zadań: tożsamość wykonuje większą niż zwykle liczba zadań podrzędnych. Na przykład tożsamość zwykle wykonuje 25 zadań dziennie, a teraz wykonuje 100 zadań dziennie.
  • Tożsamość wykonana niska liczba zadań: tożsamość wykonuje mniej niż zwykle liczba zadań podrzędnych. Na przykład tożsamość zwykle wykonuje 100 zadań dziennie, a teraz wykonuje 25 zadań dziennie.
  • Tożsamość wykonana zadania z nietypowymi wynikami: tożsamość wykonująca akcję otrzymuje inny wynik niż zwykle, na przykład większość zadań kończy się powodzeniem i kończy się teraz wynikiem zakończonym niepowodzeniem lub odwrotnie.
  • Tożsamość wykonana zadania z nietypowym chronometrażem: tożsamość wykonuje zadania w nietypowych godzinach zgodnie z ich punktem odniesienia w okresie przestrzegania. Godziny są grupowane według następujących okien UTC 4-godzinnych.
  • Tożsamość wykonywana zadania z typami nietypowymi: tożsamość wykonuje nietypowe typy zadań zgodnie z ich punktem odniesienia w okresie przestrzegania. Na przykład tożsamość wykonuje zadania odczytu, zapisu lub usuwania, których zwykle nie wykonują.
  • Tożsamość wykonywana zadania z wieloma nietypowymi wzorcami: tożsamość ma kilka nietypowych wzorców w zadaniach wykonywanych przez tożsamość ustanowioną przez ich punkt odniesienia w okresie przestrzegania.

Wyzwalacze alertów są oparte na zebranych danych. Wszystkie alerty, jeśli są wyzwalane, są wyświetlane co godzinę w podtabcie Alerty.

Wyświetlanie anomalii statystycznych w zachowaniu tożsamości

  1. Na stronie głównej Zarządzanie uprawnieniami wybierz pozycję Alerty (ikona dzwonka).

  2. Wybierz pozycję Anomalia statystyczna, a następnie wybierz podtabę Alerty .

    W podtabcie Alerty są wyświetlane następujące informacje:

    • Nazwa alertu: wyświetla nazwę alertu.
    • Reguła alertu anomalii: wyświetla nazwę reguły wybranej podczas tworzenia alertu.
    • Liczba wystąpień: wyświetla liczbę wystąpień wyzwalacza alertu.
    • System autoryzacji: wyświetla systemy autoryzacji, do których ma zastosowanie alert.
    • Data/godzina: wyświetla dzień wystąpienia wartości odstającej.
    • Data/godzina (UTC): Wyświetla dzień odstające występującego w uniwersalnym czasie koordynowanym (UTC).
  3. Aby filtrować alerty na podstawie nazwy, wybierz odpowiednią nazwę alertu lub wybierz pozycję Wszystkie z menu rozwijanego Nazwa alertu, a następnie wybierz pozycję Zastosuj.

  4. Aby filtrować alerty na podstawie czasu alertu, wybierz pozycję Ostatnie 24 godziny, Ostatnie 2 dni, Ostatni tydzień lub Zakres niestandardowy z menu rozwijanego Data i wybierz pozycję Zastosuj.

  5. W przypadku wybrania wielokropka (...) i wybrania pozycji:

    • Szczegóły umożliwiają wyświetlenie widoku Podsumowanie alertów z systemem autoryzacji, modelem statystycznym i okresem przestrzegania wraz z tabelą z wierszem na tożsamość wyzwalającą ten alert. W tym miejscu możesz kliknąć następujące opcje:
    • Szczegóły: Wyświetla wykresy z wyróżnioną anomalią z kontekstem oraz maksymalnie 3 najważniejsze akcje wykonywane w dniu anomalii
    • Wyzwalacz widoku: wyświetla bieżące ustawienia wyzwalacza i odpowiednie szczegóły systemu autoryzacji
    • Wyzwalacz widoku: wyświetla bieżące ustawienia wyzwalacza i odpowiednie szczegóły systemu autoryzacji

Tworzenie wyzwalacza alertu anomalii statystycznej

  1. Na stronie głównej Zarządzanie uprawnieniami wybierz pozycję Alerty (ikona dzwonka).

  2. Wybierz pozycję Anomalia statystyczna, wybierz podtabę Alerty , a następnie wybierz pozycję Utwórz wyzwalacz alertu.

  3. Wprowadź nazwę alertu w polu Nazwa alertu.

  4. Wybierz pozycję System autoryzacji, Amazon Web Services (AWS), Microsoft Azure lub Google Cloud Platform (GCP).

  5. Wybierz jeden z następujących warunków:

    • Tożsamość wykonana duża liczba zadań: tożsamość wykonuje większą niż zwykle liczba zadań podrzędnych. Na przykład tożsamość zwykle wykonuje 25 zadań dziennie, a teraz wykonuje 100 zadań dziennie.
    • Tożsamość wykonana niska liczba zadań: tożsamość wykonuje mniej niż zwykle liczba zadań podrzędnych. Na przykład tożsamość zwykle wykonuje 100 zadań dziennie, a teraz wykonuje 25 zadań dziennie.
    • Tożsamość wykonana zadania z nietypowymi wynikami: tożsamość wykonująca akcję otrzymuje inny wynik niż zwykle, na przykład większość zadań kończy się powodzeniem i kończy się teraz wynikiem zakończonym niepowodzeniem lub odwrotnie.
    • Tożsamość wykonana zadania z nietypowym chronometrażem: tożsamość wykonuje zadania w nietypowych godzinach zgodnie z ich punktem odniesienia w okresie przestrzegania. Godziny są pogrupowane według następujących okien utc 4 godziny.
      • 12:00–4:00 UTC
      • 4:00–8:00 UTC
      • 8:00–12:00 UTC
      • 12PM-4PM UTC
      • 14:00–20:00 UTC
      • 20:00–12:00 UTC
    • Tożsamość wykonywana zadania z typami nietypowymi: tożsamość wykonuje nietypowe typy zadań zgodnie z ich punktem odniesienia w okresie przestrzegania. Na przykład tożsamość wykonuje zadania odczytu, zapisu lub usuwania, których zwykle nie wykonują.
    • Tożsamość wykonywana zadania z wieloma nietypowymi wzorcami: tożsamość ma kilka nietypowych wzorców w zadaniach wykonywanych przez tożsamość ustanowioną przez ich punkt odniesienia w okresie przestrzegania.
  6. Wybierz Dalej.

  7. Na karcie Systemy autoryzacji wybierz odpowiednie systemy lub, aby wybrać wszystkie systemy, wybierz pozycję Wszystkie.

    Ekran jest domyślnie wyświetlany w widoku Lista , ale można przełączyć się do widoku Folder przy użyciu menu, a następnie wybrać odpowiedni folder zamiast indywidualnie według systemu.

    • Kolumna Stan jest wyświetlana, jeśli system autoryzacji jest w trybie online lub offline.

    • Kolumna Kontroler jest wyświetlana, jeśli kontroler jest włączony lub wyłączony.

  8. Wybierz pozycję Zapisz.

Wyświetlanie wyzwalaczy alertu anomalii statystycznej

  1. Na stronie głównej Zarządzanie uprawnieniami wybierz pozycję Alerty (ikona dzwonka).

  2. Wybierz pozycję Anomalia statystyczna, a następnie wybierz podtabę Wyzwalacze alertów .

    W podtabcie Wyzwalacze alertu są wyświetlane następujące informacje:

    • Alert: wyświetla nazwę alertu.
    • Reguła alertu anomalii: wyświetla nazwę reguły wybranej podczas tworzenia alertu.
    • Liczba subskrybowanych użytkowników: wyświetla liczbę użytkowników subskrybowanych alertu.
    • Utworzone przez: wyświetla adres e-mail użytkownika, który utworzył alert.
    • Ostatnio zmodyfikowane przez: wyświetla adres e-mail użytkownika, który ostatnio zmodyfikował alert.
    • Data ostatniej modyfikacji: wyświetla datę i godzinę ostatniej modyfikacji wyzwalacza.
    • Subskrypcja: Subskrybuj, aby otrzymywać wiadomości e-mail z alertami. Przełącz przycisk na . lub Wyłącz.
  3. Aby filtrować według aktywowanych lub dezaktywowanych, w sekcji Stan wybierz pozycję Wszystkie, Aktywowane lub Dezaktywowane, a następnie wybierz pozycję Zastosuj.

  4. Aby wyświetlić inne dostępne opcje, wybierz wielokropek (...), a następnie wybierz z dostępnych opcji:

    Jeśli subskrypcjajest włączona, dostępne są następujące opcje:

    • Edycja: umożliwia modyfikowanie parametrów alertu

      Uwaga

      Tylko użytkownik, który utworzył alert, może wykonywać następujące akcje: edytowanie ekranu wyzwalacza, zmienianie nazwy alertu, dezaktywowanie alertu i usuwanie alertu. Zmiany wprowadzone przez innych użytkowników nie są zapisywane.

    • Duplikat: utwórz zduplikowaną kopię wybranego wyzwalacza alertu.

    • Zmień nazwę: wprowadź nową nazwę zapytania, a następnie wybierz pozycję Zapisz.

    • Dezaktywuj: alert będzie nadal wyświetlany, ale nie będzie już wysyłać wiadomości e-mail do subskrybowanych użytkowników.

    • Aktywowanie: aktywuj wyzwalacz alertu i rozpocznij wysyłanie wiadomości e-mail do subskrybowanych użytkowników.

    • Ustawienia powiadomień: wyświetl adres e-mail użytkowników, którzy subskrybują wyzwalacz alertu.

    • Usuń: usuń alert.

    Jeśli subskrypcjajest wyłączona, dostępne są następujące opcje:

    • Widok: Wyświetl szczegóły wyzwalacza alertu.
    • Ustawienia powiadomień: wyświetl wiadomość e-mail użytkowników, którzy subskrybują wyzwalacz alertu.
    • Duplikat: utwórz zduplikowaną kopię wybranego wyzwalacza alertu.
  5. Wybierz Zastosuj.

Następne kroki