Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Примечание.
Начиная с 1 апреля 2025 г., управление разрешениями Microsoft Entra больше не будет доступно для покупки, а 1 октября 2025 г. мы отставим и прекратим поддержку этого продукта. Дополнительные сведения см. здесь.
Статистические аномалии могут выявлять выбросы в поведении личности, если недавняя активность определяется как необычная на основе моделей, определенных в триггере активности. Цель этого триггера оповещений — это высокая скорость отзыва.
Для следующих сценариев можно настроить триггеры статистических оповещений об аномалиях:
- Идентичность выполняет большое количество задач: Идентичность выполняет больше обычного количества задач. Например, обычно идентификатор выполняет 25 задач в день, но сейчас выполняет 100 задач в день.
- Идентификатор выполняет меньше задач: идентификатор выполняет меньше задач, чем обычно. Например, обычно идентификатор выполняет 100 задач в день, а сейчас выполняет 25 задач в день.
- Личность выполняет задачи с необычными результатами: личность, совершающая действие, приходит к результату, отличному от обычного. Например, большинство задач обычно завершается успешно, но теперь завершается с ошибкой, или наоборот.
- Идентичность выполняет задачи в необычное время: идентичность выполняет задачи в необычное время, установленное относительно их базового состояния в период наблюдения. Время сгруппировано по четырехчасовым интервалам UTC.
- Идентификация выполняла задачи необычных типов: идентификация выполняет задачи, отличающиеся от тех, что установлены в качестве базового уровня в период наблюдения. Например, личность выполняет задачи чтения, записи или удаления, которые обычно не выполняет.
- Личность выполняет задачи с несколькими необычными шаблонами: Личность характеризуется несколькими необычными шаблонами выполнения задач, как установлено их базовыми показателями в течение периода наблюдения.
Триггеры оповещений основаны на собранных данных. Все оповещения, если они срабатывают, отображаются каждый час на подвкладке оповещений.
Просмотр статистических аномалий в поведении личности
Можно анализировать статистические аномалии в поведении учетной записи для наблюдения за необычными действиями в управлении разрешениями. В этом разделе объясняется, как получить доступ к оповещениям и интерпретировать их.
На домашней странице управления разрешениями выберите "Оповещения " (значок колокольчика).
Выберите пункт Статистическая аномалия, а затем щелкните внутреннюю вкладку Оповещения.
Вложенная вкладка Оповещения содержит следующие сведения:
- Имя оповещения: выводит наименование оповещения.
- Правило оповещения об аномалиях: имя правила, которое выбирается при создании оповещения.
- Число возникновений: количество возникновений оповещения.
- Система авторизации: к каким системам авторизации относится оповещение.
- Дата и время: содержит день, когда произошло отклонение.
- Дата и время (UTC): указывает день отклонения в универсальном координированном времени (UTC).
Чтобы отфильтровать оповещения по имени, выберите соответствующее имя оповещения или выберите Все в раскрывающемся меню Имя оповещения и нажмите кнопку Применить.
Чтобы отфильтровать оповещения на основе времени оповещения, выберите Последние 24 часа, Последние 2 дня, Прошлая неделя или введите Пользовательский диапазон в раскрывающемся меню Дата и выберите Применить.
Если вы выберете многоточие (...), и выберите:
- Сведения: это действие переносит вас к представлению сводки оповещения, в которой приведены Система авторизации, Статистическая модель и Период наблюдения, а также таблица с одной строкой на каждое удостоверение, сработавшее на это оповещение. Отсюда вы можете нажать:
- Сведения: отображаются диаграммы, отражающие аномалию в контексте и до 3 действий, выполненных в день аномалии
- Просмотр триггера: текущие параметры триггера и сведения о применимой системе авторизации
- Просмотр триггера: текущие параметры триггера и сведения о применимой системе авторизации
Создайте триггер статистической аномалии
Вы можете настроить триггеры статистических оповещений об аномалиях для определенных условий для обнаружения необычных действий. В этом разделе описаны действия по созданию этих триггеров оповещений.
На домашней странице управления разрешениями выберите "Оповещения " (значок колокольчика).
Выберите пункт Статистическая аномалия, щелкните внутреннюю вкладку Оповещения и выберите Создать триггер оповещений.
В поле Имя оповещения введите имя оповещения.
Выберите Тип системы авторизации: Amazon Web Services (AWS), Microsoft Azure или Google Cloud Platform (GCP).
Выберите одно из указанных ниже условий.
- Идентичность выполняет большое количество задач: Идентичность выполняет больше обычного количества задач. Например, обычно идентификатор выполняет 25 задач в день, но сейчас выполняет 100 задач в день.
- Идентификатор выполняет меньше задач: идентификатор выполняет меньше задач, чем обычно. Например, обычно идентификатор выполняет 100 задач в день, а сейчас выполняет 25 задач в день.
- Личность выполняет задачи с необычными результатами: личность, совершающая действие, приходит к результату, отличному от обычного. Например, большинство задач обычно завершается успешно, но теперь завершается с ошибкой, или наоборот.
-
Идентичность выполняет задачи в необычное время: идентичность выполняет задачи в необычное время, установленное относительно их базового состояния в период наблюдения. Времена сгруппированы по следующим четырехчасовым временным окнам UTC.
- 12AM–4AM UTC
- 4AM–8AM UTC
- 8AM–12PM UTC
- 12PM–4PM UTC
- 4PM–8PM UTC
- 8PM–12AM UTC
- Идентификация выполняла задачи необычных типов: идентификация выполняет задачи, отличающиеся от тех, что установлены в качестве базового уровня в период наблюдения. Например, личность выполняет задачи чтения, записи или удаления, которые обычно не выполняет.
- Личность выполняет задачи с несколькими необычными шаблонами: Личность характеризуется несколькими необычными шаблонами выполнения задач, как установлено их базовыми показателями в течение периода наблюдения.
Выберите Далее.
На вкладке Системы авторизации выберите соответствующие системы или значение Все, чтобы использовать все системы авторизации.
На экране по умолчанию используется представление Списка, но можно переключиться в представление Папки с помощью меню, а затем выбрать соответствующий каталог, вместо того, чтобы делать это индивидуально для каждой системы.
В столбце Состояние отображается, находится ли система авторизации в сети или нет.
Столбец Контроллер показывает, включен или отключен контроллер.
Выберите Сохранить.
Просмотр триггеров статистических оповещений об аномалиях
Вы можете просматривать созданные вами статистические триггеры оповещений об аномалиях и управлять ими. В этом разделе приведены инструкции по доступу к этим триггерам и их изменению.
На домашней странице управления разрешениями выберите "Оповещения " (значок колокольчика).
Выберите Статистическая аномалия, а затем выберите вкладку Триггеры оповещений.
Вложенная вкладка Alert Triggers (Триггеры оповещений) содержит следующие сведения:
- Оповещение: отображает имя оповещения.
- Правило оповещения об аномалиях: имя правила, которое выбирается при создании оповещения.
- Количество подписанных пользователей.: количество пользователей, подписанных на оповещение.
- Created By (Кем создано): адрес электронной почты пользователя, создавшего оповещение.
- Автор изменения: адрес электронной почты пользователя, который последним изменил оповещение.
- Последнее изменение: дата и время последнего изменения триггера.
- Подписка: подписка на получение оповещений по электронной почте. Введите переключатель в положение Вкл или Откл.
Чтобы выполнить фильтрацию по активированным или деактивированным триггерам, в разделе Состояние выберите Все, Активированные или Деактивированные, а затем нажмите кнопку Применить.
Чтобы просмотреть другие доступные параметры, нажмите кнопку с многоточием (...), а затем выберите из доступных параметров.
Если состояние подписки имеет значение Вкл, доступны следующие параметры.
Изменить: позволяет изменить параметры оповещений
Примечание.
Только пользователь, создавший оповещение, может выполнять следующие действия: изменить экран триггера, переименовать оповещение, отключить оповещение и удалить оповещение. Изменения, внесенные другими пользователями, не сохраняются.
Дублировать: создает копию выбранного триггера оповещения.
Переименовать: введите новое имя запроса и нажмите кнопку Сохранить.
Деактивировать: оповещение по-прежнему будет отображаться в списке, но больше не будет отправлять сообщения электронной почты подписанным пользователям.
Активировать: активировать триггер оповещения и начать отправку сообщений электронной почты подписанным пользователям.
Notification Settings (Параметры уведомлений): позволяет просмотреть адреса электронной почты пользователей, которые подписаны на триггер оповещений.
Удалить: удалить оповещение.
Если состояние Подписка имеет значение Откл, доступны следующие параметры.
- Просмотр: просмотр сведений о триггере оповещения.
- Параметры уведомлений: позволяет просмотреть адреса электронной почты пользователей, которые подписаны на триггер оповещений.
- Дублировать: создает копию выбранного триггера оповещения.
Выберите Применить.
Следующие шаги
- Обзор оповещений и триггеров оповещений см. в разделе "Просмотр сведений о оповещениях и триггерах оповещений".
- Сведения об оповещениях о действиях и триггерах оповещений см. в статье Создание и просмотр оповещений о действиях и триггеров оповещений.
- Сведения об оповещениях об аномалиях на основе правил и триггерах оповещений см. в статье "Создание и просмотр оповещений об аномалиях на основе правил и триггеров оповещений".
- Сведения об оповещениях аналитики разрешений и триггерах оповещений см. в статье "Создание и просмотр оповещений аналитики разрешений" и триггеров оповещений.