Поделиться через


Создание и просмотр статистических оповещений о аномалиях и триггеров оповещений

Примечание.

Начиная с 1 апреля 2025 г., управление разрешениями Microsoft Entra больше не будет доступно для покупки, а 1 октября 2025 г. мы отставим и прекратим поддержку этого продукта. Дополнительные сведения см. здесь.

Статистические аномалии могут выявлять выбросы в поведении личности, если недавняя активность определяется как необычная на основе моделей, определенных в триггере активности. Цель этого триггера оповещений — это высокая скорость отзыва.

Для следующих сценариев можно настроить триггеры статистических оповещений об аномалиях:

  • Идентичность выполняет большое количество задач: Идентичность выполняет больше обычного количества задач. Например, обычно идентификатор выполняет 25 задач в день, но сейчас выполняет 100 задач в день.
  • Идентификатор выполняет меньше задач: идентификатор выполняет меньше задач, чем обычно. Например, обычно идентификатор выполняет 100 задач в день, а сейчас выполняет 25 задач в день.
  • Личность выполняет задачи с необычными результатами: личность, совершающая действие, приходит к результату, отличному от обычного. Например, большинство задач обычно завершается успешно, но теперь завершается с ошибкой, или наоборот.
  • Идентичность выполняет задачи в необычное время: идентичность выполняет задачи в необычное время, установленное относительно их базового состояния в период наблюдения. Время сгруппировано по четырехчасовым интервалам UTC.
  • Идентификация выполняла задачи необычных типов: идентификация выполняет задачи, отличающиеся от тех, что установлены в качестве базового уровня в период наблюдения. Например, личность выполняет задачи чтения, записи или удаления, которые обычно не выполняет.
  • Личность выполняет задачи с несколькими необычными шаблонами: Личность характеризуется несколькими необычными шаблонами выполнения задач, как установлено их базовыми показателями в течение периода наблюдения.

Триггеры оповещений основаны на собранных данных. Все оповещения, если они срабатывают, отображаются каждый час на подвкладке оповещений.

Просмотр статистических аномалий в поведении личности

Можно анализировать статистические аномалии в поведении учетной записи для наблюдения за необычными действиями в управлении разрешениями. В этом разделе объясняется, как получить доступ к оповещениям и интерпретировать их.

  1. На домашней странице управления разрешениями выберите "Оповещения " (значок колокольчика).

  2. Выберите пункт Статистическая аномалия, а затем щелкните внутреннюю вкладку Оповещения.

    Вложенная вкладка Оповещения содержит следующие сведения:

    • Имя оповещения: выводит наименование оповещения.
    • Правило оповещения об аномалиях: имя правила, которое выбирается при создании оповещения.
    • Число возникновений: количество возникновений оповещения.
    • Система авторизации: к каким системам авторизации относится оповещение.
    • Дата и время: содержит день, когда произошло отклонение.
    • Дата и время (UTC): указывает день отклонения в универсальном координированном времени (UTC).
  3. Чтобы отфильтровать оповещения по имени, выберите соответствующее имя оповещения или выберите Все в раскрывающемся меню Имя оповещения и нажмите кнопку Применить.

  4. Чтобы отфильтровать оповещения на основе времени оповещения, выберите Последние 24 часа, Последние 2 дня, Прошлая неделя или введите Пользовательский диапазон в раскрывающемся меню Дата и выберите Применить.

  5. Если вы выберете многоточие (...), и выберите:

    • Сведения: это действие переносит вас к представлению сводки оповещения, в которой приведены Система авторизации, Статистическая модель и Период наблюдения, а также таблица с одной строкой на каждое удостоверение, сработавшее на это оповещение. Отсюда вы можете нажать:
    • Сведения: отображаются диаграммы, отражающие аномалию в контексте и до 3 действий, выполненных в день аномалии
    • Просмотр триггера: текущие параметры триггера и сведения о применимой системе авторизации
    • Просмотр триггера: текущие параметры триггера и сведения о применимой системе авторизации

Создайте триггер статистической аномалии

Вы можете настроить триггеры статистических оповещений об аномалиях для определенных условий для обнаружения необычных действий. В этом разделе описаны действия по созданию этих триггеров оповещений.

  1. На домашней странице управления разрешениями выберите "Оповещения " (значок колокольчика).

  2. Выберите пункт Статистическая аномалия, щелкните внутреннюю вкладку Оповещения и выберите Создать триггер оповещений.

  3. В поле Имя оповещения введите имя оповещения.

  4. Выберите Тип системы авторизации: Amazon Web Services (AWS), Microsoft Azure или Google Cloud Platform (GCP).

  5. Выберите одно из указанных ниже условий.

    • Идентичность выполняет большое количество задач: Идентичность выполняет больше обычного количества задач. Например, обычно идентификатор выполняет 25 задач в день, но сейчас выполняет 100 задач в день.
    • Идентификатор выполняет меньше задач: идентификатор выполняет меньше задач, чем обычно. Например, обычно идентификатор выполняет 100 задач в день, а сейчас выполняет 25 задач в день.
    • Личность выполняет задачи с необычными результатами: личность, совершающая действие, приходит к результату, отличному от обычного. Например, большинство задач обычно завершается успешно, но теперь завершается с ошибкой, или наоборот.
    • Идентичность выполняет задачи в необычное время: идентичность выполняет задачи в необычное время, установленное относительно их базового состояния в период наблюдения. Времена сгруппированы по следующим четырехчасовым временным окнам UTC.
      • 12AM–4AM UTC
      • 4AM–8AM UTC
      • 8AM–12PM UTC
      • 12PM–4PM UTC
      • 4PM–8PM UTC
      • 8PM–12AM UTC
    • Идентификация выполняла задачи необычных типов: идентификация выполняет задачи, отличающиеся от тех, что установлены в качестве базового уровня в период наблюдения. Например, личность выполняет задачи чтения, записи или удаления, которые обычно не выполняет.
    • Личность выполняет задачи с несколькими необычными шаблонами: Личность характеризуется несколькими необычными шаблонами выполнения задач, как установлено их базовыми показателями в течение периода наблюдения.
  6. Выберите Далее.

  7. На вкладке Системы авторизации выберите соответствующие системы или значение Все, чтобы использовать все системы авторизации.

    На экране по умолчанию используется представление Списка, но можно переключиться в представление Папки с помощью меню, а затем выбрать соответствующий каталог, вместо того, чтобы делать это индивидуально для каждой системы.

    • В столбце Состояние отображается, находится ли система авторизации в сети или нет.

    • Столбец Контроллер показывает, включен или отключен контроллер.

  8. Выберите Сохранить.

Просмотр триггеров статистических оповещений об аномалиях

Вы можете просматривать созданные вами статистические триггеры оповещений об аномалиях и управлять ими. В этом разделе приведены инструкции по доступу к этим триггерам и их изменению.

  1. На домашней странице управления разрешениями выберите "Оповещения " (значок колокольчика).

  2. Выберите Статистическая аномалия, а затем выберите вкладку Триггеры оповещений.

    Вложенная вкладка Alert Triggers (Триггеры оповещений) содержит следующие сведения:

    • Оповещение: отображает имя оповещения.
    • Правило оповещения об аномалиях: имя правила, которое выбирается при создании оповещения.
    • Количество подписанных пользователей.: количество пользователей, подписанных на оповещение.
    • Created By (Кем создано): адрес электронной почты пользователя, создавшего оповещение.
    • Автор изменения: адрес электронной почты пользователя, который последним изменил оповещение.
    • Последнее изменение: дата и время последнего изменения триггера.
    • Подписка: подписка на получение оповещений по электронной почте. Введите переключатель в положение Вкл или Откл.
  3. Чтобы выполнить фильтрацию по активированным или деактивированным триггерам, в разделе Состояние выберите Все, Активированные или Деактивированные, а затем нажмите кнопку Применить.

  4. Чтобы просмотреть другие доступные параметры, нажмите кнопку с многоточием (...), а затем выберите из доступных параметров.

    Если состояние подписки имеет значение Вкл, доступны следующие параметры.

    • Изменить: позволяет изменить параметры оповещений

      Примечание.

      Только пользователь, создавший оповещение, может выполнять следующие действия: изменить экран триггера, переименовать оповещение, отключить оповещение и удалить оповещение. Изменения, внесенные другими пользователями, не сохраняются.

    • Дублировать: создает копию выбранного триггера оповещения.

    • Переименовать: введите новое имя запроса и нажмите кнопку Сохранить.

    • Деактивировать: оповещение по-прежнему будет отображаться в списке, но больше не будет отправлять сообщения электронной почты подписанным пользователям.

    • Активировать: активировать триггер оповещения и начать отправку сообщений электронной почты подписанным пользователям.

    • Notification Settings (Параметры уведомлений): позволяет просмотреть адреса электронной почты пользователей, которые подписаны на триггер оповещений.

    • Удалить: удалить оповещение.

    Если состояние Подписка имеет значение Откл, доступны следующие параметры.

    • Просмотр: просмотр сведений о триггере оповещения.
    • Параметры уведомлений: позволяет просмотреть адреса электронной почты пользователей, которые подписаны на триггер оповещений.
    • Дублировать: создает копию выбранного триггера оповещения.
  5. Выберите Применить.

Следующие шаги