Criar e visualizar alertas estatísticos de anomalias e gatilhos de alerta

Anomalias estatísticas podem detetar valores atípicos no comportamento de uma identidade se a atividade recente for determinada como incomum com base em modelos definidos em um gatilho de atividade. O objetivo deste gatilho de alerta é uma alta taxa de recordação.

Você pode configurar gatilhos de alerta de anomalia estatística para os seguintes cenários:

• Identidade Executada Alto Número de Tarefas: A identidade executa um volume maior do que o habitual de tarefas. Por exemplo, uma identidade normalmente executa 25 tarefas por dia e agora está executando 100 tarefas por dia.
• Identidade Executada Baixo Número de Tarefas: A identidade tem um desempenho inferior ao seu volume habitual de tarefas. Por exemplo, uma identidade normalmente executa 100 tarefas por dia e agora está executando 25 tarefas por dia.
• Tarefas executadas por identidade com resultados incomuns: a identidade que executa uma ação obtém um resultado diferente do habitual, como a maioria das tarefas termina em um resultado bem-sucedido e agora termina em um resultado com falha ou vice-versa.
• Identidade Executou Tarefas com Tempo Incomum: A identidade realiza tarefas em momentos incomuns, conforme estabelecido por sua linha de base no período de observância. Os horários são agrupados pelas seguintes janelas UTC de 4 horas.
• Identidade Executada Tarefas com Tipos Incomuns: A identidade executa tipos incomuns de tarefas conforme estabelecido por sua linha de base no período de observância. Por exemplo, uma identidade executa tarefas de leitura, gravação ou exclusão que normalmente não executaria.
• Identidade Executada Tarefas com Múltiplos Padrões Incomuns: A identidade tem vários padrões incomuns nas tarefas executadas pela identidade, conforme estabelecido por sua linha de base no período de observação.

Os gatilhos de alerta baseiam-se nos dados recolhidos. Todos os alertas, se acionados, são mostrados a cada hora na subguia Alertas.

Ver anomalias estatísticas no comportamento de uma identidade

1. Na página inicial do Gerenciamento de Permissões, selecione Alertas (o ícone de sino).

2. Selecione Anomalia Estatística e, em seguida, selecione a subguia Alertas .

   A subguia Alertas exibe as seguintes informações:

   • Nome do alerta: lista o nome do alerta.
   • Regra de alerta de anomalia: exibe o nome da regra selecionada ao criar o alerta.
   • # de Ocorrências: Exibe quantas vezes o gatilho de alerta ocorreu.
   • Sistema de autorização: Exibe a quais sistemas de autorização o alerta se aplica.
   • Data/Hora: Lista o dia da ocorrência do outlier.
   • Data/Hora (UTC): Lista o dia do outlier que ocorre no Tempo Universal Coordenado (UTC).

3. Para filtrar os alertas com base no nome, selecione o nome de alerta apropriado ou escolha Tudo no menu suspenso Nome do alerta e selecione Aplicar.

4. Para filtrar os alertas com base na hora do alerta, selecione Últimas 24 horas, Últimos 2 dias, Última semana ou Intervalo personalizado no menu suspenso Data e selecione Aplicar.

5. Se selecionar as reticências (...) e selecionar:

   • Detalhes, isso leva você a uma exibição de Resumo de Alerta com Sistema de Autorização, Modelo Estatístico e Período de Observância exibidos junto com uma tabela com uma linha por identidade acionando esse alerta. A partir daqui você pode clicar:
   • Detalhes: Exibe o(s) gráfico(s) destacando a anomalia com contexto e até as 3 principais ações executadas no dia da anomalia
   • View Trigger: Exibe as configurações atuais do gatilho e os detalhes do sistema de autorização aplicável
   • View Trigger: Exibe as configurações atuais do gatilho e os detalhes do sistema de autorização aplicável

Criar um gatilho de alerta de anomalia estatística

1. Na página inicial do Gerenciamento de Permissões, selecione Alertas (o ícone de sino).

2. Selecione Anomalia estatística, selecione a subguia Alertas e, em seguida, selecione Criar gatilho de alerta.

3. Insira um nome para o alerta na caixa Nome do alerta.

4. Selecione Sistema de autorização, Amazon Web Services (AWS), Microsoft Azure ou Google Cloud Platform (GCP).

5. Selecione uma das seguintes condições:

   • Identidade Executada Alto Número de Tarefas: A identidade executa um volume maior do que o habitual de tarefas. Por exemplo, uma identidade normalmente executa 25 tarefas por dia e agora está executando 100 tarefas por dia.
   • Identidade Executada Baixo Número de Tarefas: A identidade tem um desempenho inferior ao seu volume habitual de tarefas. Por exemplo, uma identidade normalmente executa 100 tarefas por dia e agora está executando 25 tarefas por dia.
   • Tarefas executadas por identidade com resultados incomuns: a identidade que executa uma ação obtém um resultado diferente do habitual, como a maioria das tarefas termina em um resultado bem-sucedido e agora termina em um resultado com falha ou vice-versa.
   • Identidade Executou Tarefas com Tempo Incomum: A identidade realiza tarefas em momentos incomuns, conforme estabelecido por sua linha de base no período de observância. Os horários são agrupados pelas seguintes janelas UTC de 4 horas.
     • 12h-4h UTC
     • 4AM-8AM UTC
     • 8h-12h UTC
     • 12h-16h UTC
     • 16h-20h UTC
     • 20h-12h UTC
   • Identidade Executada Tarefas com Tipos Incomuns: A identidade executa tipos incomuns de tarefas conforme estabelecido por sua linha de base no período de observância. Por exemplo, uma identidade executa tarefas de leitura, gravação ou exclusão que normalmente não executaria.
   • Identidade Executada Tarefas com Múltiplos Padrões Incomuns: A identidade tem vários padrões incomuns nas tarefas executadas pela identidade, conforme estabelecido por sua linha de base no período de observação.

6. Selecione Seguinte.

7. Na guia Sistemas de autorização, selecione os sistemas apropriados ou, para selecionar todos os sistemas, selecione Todos.

   O ecrã assume como predefinição a vista de Lista, mas pode mudar para a vista de Pasta utilizando o menu e, em seguida, selecionar a pasta aplicável em vez de individualmente por sistema.

   • A coluna Status será exibida se o sistema de autorização estiver online ou offline.

   • A coluna Controlador será exibida se o controlador estiver habilitado ou desativado.

8. Selecione Guardar.

Ver gatilhos de alerta de anomalia estatística

1. Na página inicial do Gerenciamento de Permissões, selecione Alertas (o ícone de sino).

2. Selecione Anomalia Estatística e, em seguida, selecione a subguia Gatilhos de alerta.

   A subguia Gatilhos de alerta exibe as seguintes informações:

   • Alerta: Exibe o nome do alerta.
   • Regra de alerta de anomalia: exibe o nome da regra selecionada ao criar o alerta.
   • # de usuários inscritos: Exibe o número de usuários inscritos no alerta.
   • Criado por: Exibe o endereço de e-mail do usuário que criou o alerta.
   • Última modificação por: Exibe o endereço de e-mail do usuário que modificou o alerta pela última vez.
   • Última modificação em: Exibe a data e a hora em que o gatilho foi modificado pela última vez.
   • Subscrição: Subscreve-o para receber e-mails de alerta. Alterne o botão para Ativado ou Desativado.

3. Para filtrar por Ativado ou Desativado, na seção Status, selecione Todos, Ativado ou Desativado e selecione Aplicar.

4. Para ver outras opções disponíveis, selecione as reticências (...) e, em seguida, selecione entre as opções disponíveis:

   Se a Subscrição estiver ativada, estão disponíveis as seguintes opções:

   • Editar: Permite modificar parâmetros de alerta

     Nota

     Somente o usuário que criou o alerta pode executar as seguintes ações: editar a tela de gatilho, renomear um alerta, desativar um alerta e excluir um alerta. As alterações feitas por outros usuários não são salvas.

   • Duplicar: crie uma cópia duplicada do gatilho de alerta selecionado.

   • Renomear: insira o novo nome da consulta e selecione Salvar.

   • Desativar: o alerta ainda será listado, mas não enviará mais e-mails para usuários inscritos.

   • Ativar: ative o gatilho de alerta e comece a enviar e-mails para os usuários inscritos.

   • Configurações de notificação: visualize o e-mail dos usuários inscritos no gatilho de alerta.

   • Excluir: exclua o alerta.

   Se a Subscrição estiver Desativada, estão disponíveis as seguintes opções:

   • Exibir: exiba detalhes do gatilho de alerta.
   • Configurações de notificação: visualize o e-mail dos usuários inscritos no gatilho de alerta.
   • Duplicar: crie uma cópia duplicada do gatilho de alerta selecionado.

5. Selecione Aplicar.

Próximos passos

• Para obter uma visão geral sobre alertas e gatilhos de alerta, consulte Exibir informações sobre alertas e gatilhos de alerta.
• Para obter informações sobre alertas de atividade e gatilhos de alerta, consulte Criar e exibir alertas de atividade e gatilhos de alerta.
• Para obter informações sobre alertas de anomalia baseados em regras e gatilhos de alerta, consulte Criar e exibir alertas de anomalia baseados em regras e gatilhos de alerta.
• Para obter informações sobre alertas de análise de permissão e gatilhos de alerta, consulte Criar e exibir alertas de análise de permissão e gatilhos de alerta.