Criar e exibir alertas de anomalia baseados em regras e gatilhos de alerta

As anomalias baseadas em regras identificam atividades recentes no Gerenciamento de permissões que são consideradas incomuns com base em regras explícitas definidas no gatilho de alerta. O objetivo dos alertas de anomalia baseados em regras é a deteção de alta precisão.

Você pode configurar gatilhos de alerta de anomalia baseados em regras para as seguintes condições:

• Qualquer recurso acessado pela primeira vez: a identidade acessa um recurso pela primeira vez durante o intervalo de tempo especificado.
• A identidade executa uma tarefa específica pela primeira vez: a identidade executa uma tarefa específica pela primeira vez durante o intervalo de tempo especificado.
• A identidade executa uma tarefa pela primeira vez: a identidade executa qualquer tarefa pela primeira vez durante o intervalo de tempo especificado.

Os gatilhos de alerta baseiam-se nos dados recolhidos. Todos os alertas, se acionados, são mostrados a cada hora na subguia Alertas.

Exibir alertas de anomalia baseados em regras

1. Na página inicial do Gerenciamento de Permissões, selecione Alertas (o ícone de sino).

2. Selecione Anomalia Baseada em Regras e, em seguida, selecione a subguia Alertas .

   A subguia Alertas exibe as seguintes informações:

   • Nome do alerta: lista o nome do alerta.

   • Para exibir a identidade específica, o recurso e os nomes de tarefas que ocorreram durante o período de coleta de alertas, selecione o Nome do alerta.

   • Regra de alerta de anomalia: exibe o nome da regra selecionada ao criar o alerta.

   • # de Ocorrências: Quantas vezes o gatilho de alerta ocorreu.

   • Tarefa: quantas tarefas executadas são acionadas pelo alerta.

   • Recursos: quantos recursos acessados são acionados pelo alerta.

   • Identidade: quantas identidades que executam um comportamento incomum são acionadas pelo alerta.

   • Sistema de autorização: exibe a quais sistemas de autorização o alerta se aplica, Amazon Web Services (AWS), Microsoft Azure ou Google Cloud Platform (GCP).

   • Data/Hora: Lista a data e a hora do alerta.

   • Data/Hora (UTC): Lista a data e a hora do alerta em Tempo Universal Coordenado (UTC).

3. Para filtrar alertas:

   • Na lista suspensa Nome do alerta, selecione Tudo ou o nome do alerta apropriado.

   • No menu suspenso Data, selecione Últimas 24 horas, Últimos 2 dias, Última semana ou Intervalo personalizado e selecione Aplicar.

   • Se você selecionar Intervalo personalizado, insira também as configurações de duração De e Para .

4. Para ver os detalhes que correspondem aos critérios de alerta, selecione as reticências (...).

   • View Trigger: Exibe as configurações atuais do gatilho e os detalhes do sistema de autorização aplicável
   • Detalhes: Exibe detalhes sobre Tipo de Sistema de Autorização, Sistemas de Autorização, Recursos, Tarefas, Identidades e Atividade
   • Atividade: Exibe detalhes sobre o Nome da Identidade, Nome do Recurso, Nome da Tarefa, Data/Hora, Inativo Para e Endereço IP. Selecionar o ícone "olho" exibe o Resumo de eventos brutos

Criar um gatilho de alerta de anomalia baseado em regras

1. Na página inicial do Gerenciamento de Permissões, selecione Alertas (o ícone de sino).

2. Selecione Anomalia Baseada em Regras e, em seguida, selecione a subguia Alertas .

3. Selecione Criar gatilho de alerta.

4. Na caixa Nome do alerta, insira um nome para o alerta.

5. Selecione o Sistema de autorização, AWS, Azure ou GCP.

6. Selecione uma das seguintes condições:

   • Qualquer recurso acessado pela primeira vez: a identidade acessa um recurso pela primeira vez durante o intervalo de tempo especificado.
   • A identidade executa uma tarefa específica pela primeira vez: a identidade executa uma tarefa específica pela primeira vez durante o intervalo de tempo especificado.
   • A identidade executa uma tarefa pela primeira vez: a identidade executa qualquer tarefa pela primeira vez durante o intervalo de tempo especificado.

7. Selecione Seguinte.

8. Na guia Sistemas de autorização, selecione os sistemas e pastas de autorização disponíveis ou selecione Todos.

   O padrão dessa tela é o modo de exibição de lista, mas você pode alterá-lo para o modo de exibição de pastas. Você pode selecionar a pasta aplicável em vez de selecionar individualmente pelo sistema de autorização.

   • A coluna Status será exibida se o sistema de autorização estiver online ou offline.
   • A coluna Controlador será exibida se o controlador estiver habilitado ou desativado.

9. Na guia Configuração, para atualizar o Intervalo de tempo, selecione 90 dias, 60 dias ou 30 dias na lista suspensa Intervalo de tempo.

10. Selecione Guardar.

Exibir um gatilho de alerta de anomalia baseado em regra

1. Na página inicial do Gerenciamento de Permissões, selecione Alertas (o ícone de sino).

2. Selecione Anomalia Baseada em Regras e, em seguida, selecione a subguia Gatilhos de Alerta.

   A subguia Gatilhos de alerta exibe as seguintes informações:

   • Alertas: Exibe o nome do alerta.
   • Regra de alerta de anomalia: Exibe o nome da regra selecionada ao criar o alerta.
   • # de usuários inscritos: Exibe o número de usuários inscritos no alerta.
   • Criado por: Exibe o endereço de e-mail do usuário que criou o alerta.
   • Última modificação por: Exibe o endereço de e-mail do usuário que modificou o alerta pela última vez.
   • Última modificação em: Exibe a data e a hora em que o gatilho foi modificado pela última vez.
   • Subscrição: Subscreve-o para receber e-mails de alerta. Alterna entre Ligado e Desligado.

3. Para ver outras opções disponíveis, selecione as reticências (...) e, em seguida, selecione entre as opções disponíveis:

   Se a Subscrição estiver ativada, estão disponíveis as seguintes opções:

   • Editar: Permite modificar parâmetros de alerta.

     Somente o usuário que criou o alerta pode editar a tela de gatilho, renomear um alerta, desativar um alerta e excluir um alerta. As alterações feitas por outros usuários não são salvas.

   • Duplicar: crie uma cópia duplicada do gatilho de alerta selecionado.

   • Renomear: insira o novo nome da consulta e selecione Salvar.

   • Desativar: o alerta ainda será listado, mas não enviará mais e-mails para usuários inscritos.

   • Ativar: ative o gatilho de alerta e comece a enviar e-mails para os usuários inscritos.

   • Configurações de notificação: visualize o e-mail dos usuários inscritos no gatilho de alerta.

   • Excluir: exclua o alerta.

   Se a Subscrição estiver Desativada, estão disponíveis as seguintes opções:

   • Exibir: exiba detalhes do gatilho de alerta.
   • Configurações de notificação: visualize o e-mail dos usuários inscritos no gatilho de alerta.
   • Duplicar: crie uma cópia duplicada do gatilho de alerta selecionado.

4. Para filtrar por Ativado ou Desativado, na seção Status, selecione Todos, Ativado ou Desativado e selecione Aplicar.

Próximos passos

• Para obter uma visão geral sobre alertas e gatilhos de alerta, consulte Exibir informações sobre alertas e gatilhos de alerta.
• Para obter informações sobre alertas de atividade e gatilhos de alerta, consulte Criar e exibir alertas de atividade e gatilhos de alerta.
• Para obter informações sobre como encontrar valores atípicos no comportamento da identidade, consulte Criar e exibir alertas estatísticos de anomalias e gatilhos de alerta.
• Para obter informações sobre alertas de análise de permissão e gatilhos de alerta, consulte Criar e exibir alertas de análise de permissão e gatilhos de alerta.