Skapa och visa statistiska aviseringar och aviseringsutlösare

Statistiska avvikelser kan identifiera avvikande värden i en identitets beteende om den senaste aktiviteten bedöms vara ovanlig baserat på modeller som definierats i en aktivitetsutlösare. Målet med den här aviseringsutlösaren är en hög träffsäkerhetsgrad.

Du kan konfigurera utlösare för statistisk avvikelseavisering för följande scenarier:

• Identity Performed High Number of Tasks (Identity Performed High Number of Tasks): Identiteten utför högre uppgifter än den vanliga mängden uppgifter. En identitet utför till exempel vanligtvis 25 uppgifter per dag och utför nu 100 uppgifter per dag.
• Identiteten utförde ett lågt antal uppgifter: Identiteten utför mindre än den vanliga mängden uppgifter. En identitet utför till exempel vanligtvis 100 uppgifter per dag och utför nu 25 uppgifter per dag.
• Identitetspresterande uppgifter med ovanliga resultat: Identiteten som utför en åtgärd får ett annat resultat än vanligt, till exempel att de flesta aktiviteter slutar med ett lyckat resultat och nu slutar i ett misslyckat resultat eller vice versa.
• Identiteten utförde uppgifter med ovanlig tidsinställning: Identiteten utför uppgifter vid ovanliga tidpunkter som fastställts av deras baslinje under efterlevnadsperioden. Tiderna grupperas efter följande UTC 4-timmarsfönster.
• Identiteten utförde uppgifter med ovanliga typer: Identiteten utför ovanliga typer av uppgifter enligt baslinjen under efterlevnadsperioden. En identitet utför till exempel läs-, skriv- eller borttagningsuppgifter som de normalt inte utför.
• Identiteten utförde uppgifter med flera ovanliga mönster: Identiteten har flera ovanliga mönster i de uppgifter som utförs av identiteten enligt deras baslinje under efterlevnadsperioden.

Aviseringsutlösare baseras på data som samlas in. Alla aviseringar, om de utlöses, visas varje timme under underfliken Aviseringar.

Visa statistiska avvikelser i en identitets beteende

1. På startsidan Behörighetshantering väljer du Aviseringar (klockikonen).

2. Välj Statistisk avvikelse och välj sedan underfliken Aviseringar .

   Underfliken Aviseringar visar följande information:

   • Aviseringsnamn: Visar namnet på aviseringen.
   • Avvikelseaviseringsregel: Visar namnet på regeln som väljs när aviseringen skapas.
   • Antal förekomster: Visar hur många gånger aviseringsutlösaren har inträffat.
   • Auktoriseringssystem: Visar vilka auktoriseringssystem som aviseringen gäller för.
   • Datum/tid: Visar en lista över avvikande värdens dag.
   • Datum/tid (UTC): Visar en lista över dagen för avvikande värden som inträffar i Coordinated Universal Time (UTC).

3. Om du vill filtrera aviseringarna baserat på namn väljer du lämpligt aviseringsnamn eller väljer Alla i listrutan Aviseringsnamn och väljer Tillämpa.

4. Om du vill filtrera aviseringarna baserat på aviseringstid väljer du Senaste 24 timmarna, Senaste 2 dagarna, Senaste veckan eller Anpassat intervall på listmenyn Datum och väljer Använd.

5. Om du väljer ellipserna (...) och väljer:

   • Information, detta för dig till en aviseringssammanfattningsvy med auktoriseringssystem, statistisk modell och efterlevnadsperiod som visas tillsammans med en tabell med en rad per identitet som utlöser den här aviseringen. Härifrån kan du klicka på:
   • Information: Visar grafer som markerar avvikelsen med kontext och upp till de tre viktigaste åtgärderna som utförs på dagen för avvikelsen
   • Visa utlösare: Visar aktuella utlösarinställningar och tillämplig auktoriseringssysteminformation
   • Visa utlösare: Visar aktuella utlösarinställningar och tillämplig auktoriseringssysteminformation

Skapa en utlösare för statistisk avvikelseavisering

1. På startsidan Behörighetshantering väljer du Aviseringar (klockikonen).

2. Välj Statistisk avvikelse, välj underfliken Aviseringar och välj sedan Skapa aviseringsutlösare.

3. Ange ett namn för aviseringen i rutan Aviseringsnamn .

4. Välj auktoriseringssystemet, Amazon Web Services (AWS), Microsoft Azure eller Google Cloud Platform (GCP).

5. Välj något av följande villkor:

   • Identity Performed High Number of Tasks (Identity Performed High Number of Tasks): Identiteten utför högre uppgifter än den vanliga mängden uppgifter. En identitet utför till exempel vanligtvis 25 uppgifter per dag och utför nu 100 uppgifter per dag.
   • Identiteten utförde ett lågt antal uppgifter: Identiteten utför mindre än den vanliga mängden uppgifter. En identitet utför till exempel vanligtvis 100 uppgifter per dag och utför nu 25 uppgifter per dag.
   • Identitetspresterande uppgifter med ovanliga resultat: Identiteten som utför en åtgärd får ett annat resultat än vanligt, till exempel att de flesta aktiviteter slutar med ett lyckat resultat och nu slutar i ett misslyckat resultat eller vice versa.
   • Identiteten utförde uppgifter med ovanlig tidsinställning: Identiteten utför uppgifter vid ovanliga tidpunkter som fastställts av deras baslinje under efterlevnadsperioden. Tiderna grupperas efter följande UTC 4-timmarsfönster.
     • 12:00-04:00 UTC
     • 04:00-08:00 UTC
     • 08:00-12:00 UTC
     • 12:00-16:00 UTC
     • 16:00-20:00 UTC
     • 20:00-12:00 UTC
   • Identiteten utförde uppgifter med ovanliga typer: Identiteten utför ovanliga typer av uppgifter enligt baslinjen under efterlevnadsperioden. En identitet utför till exempel läs-, skriv- eller borttagningsuppgifter som de normalt inte utför.
   • Identiteten utförde uppgifter med flera ovanliga mönster: Identiteten har flera ovanliga mönster i de uppgifter som utförs av identiteten enligt deras baslinje under efterlevnadsperioden.

6. Välj Nästa.

7. På fliken Auktoriseringssystem väljer du lämpliga system, eller väljer Alla för att välja alla system.

   Skärmen är som standard listvyn , men du kan växla till Mappvy med hjälp av menyn och sedan välja lämplig mapp i stället för individuellt efter system.

   • Kolumnen Status visar om auktoriseringssystemet är online eller offline.

   • Kolumnen Controller visar om kontrollanten är aktiverad eller inaktiverad.

8. Välj Spara.

Visa utlösare för statistisk avvikelseavisering

1. På startsidan Behörighetshantering väljer du Aviseringar (klockikonen).

2. Välj Statistisk avvikelse och välj sedan underfliken Aviseringsutlösare .

   Underfliken Aviseringsutlösare visar följande information:

   • Avisering: Visar namnet på aviseringen.
   • Avvikelseaviseringsregel: Visar namnet på regeln som väljs när aviseringen skapas.
   • Antal användare som prenumererar: Visar antalet användare som prenumererar på aviseringen.
   • Skapad av: Visar e-postadressen för användaren som skapade aviseringen.
   • Senast ändrad av: Visar e-postadressen för den användare som senast ändrade aviseringen.
   • Senast ändrad på: Visar datum och tid då utlösaren senast ändrades.
   • Prenumeration: Prenumererar på dig för att få aviseringsmeddelanden. Växla knappen till På eller Av.

3. Om du vill filtrera efter Aktiverad eller Inaktiverad går du till avsnittet Status, väljer Alla, Aktiverad eller Inaktiverad och väljer sedan Använd.

4. Om du vill visa andra tillgängliga alternativ väljer du ellipserna (...) och väljer sedan bland de tillgängliga alternativen:

   Om prenumerationen är På är följande alternativ tillgängliga:

   • Redigera: Gör att du kan ändra aviseringsparametrar

     Kommentar

     Endast användaren som skapade aviseringen kan utföra följande åtgärder: redigera utlösarskärmen, byta namn på en avisering, inaktivera en avisering och ta bort en avisering. Ändringar som gjorts av andra användare sparas inte.

   • Duplicera: Skapa en duplicerad kopia av den valda aviseringsutlösaren.

   • Byt namn: Ange det nya namnet på frågan och välj sedan Spara.

   • Inaktivera: Aviseringen visas fortfarande, men skickar inte längre e-postmeddelanden till användare som prenumererar.

   • Aktivera: Aktivera aviseringsutlösaren och börja skicka e-postmeddelanden till användare som prenumererar.

   • Meddelande Inställningar: Visa e-postmeddelandet för användare som prenumererar på aviseringsutlösaren.

   • Ta bort: Ta bort aviseringen.

   Om prenumerationen är Av är följande alternativ tillgängliga:

   • Visa: Visa information om aviseringsutlösaren.
   • Meddelandeinställningar: Visa e-postmeddelandet för användare som prenumererar på aviseringsutlösaren.
   • Duplicera: Skapa en duplicerad kopia av den valda aviseringsutlösaren.

5. Välj Använd.

Nästa steg

• En översikt över aviseringar och aviseringsutlösare finns i Visa information om aviseringar och aviseringsutlösare.
• Information om aktivitetsaviseringar och aviseringsutlösare finns i Skapa och visa aktivitetsaviseringar och aviseringsutlösare.
• Information om regelbaserade avvikelseaviseringar och aviseringsutlösare finns i Skapa och visa regelbaserade avvikelseaviseringar och aviseringsutlösare.
• Information om aviseringar och aviseringsutlösare för behörighetsanalys finns i Skapa och visa aviseringar och aviseringsutlösare för behörighetsanalys.