Kural tabanlı anomali uyarıları ve uyarı tetikleyicileri oluşturma ve görüntüleme

Kural tabanlı anomaliler, uyarı tetikleyicisinde tanımlanan açık kurallara göre olağan dışı olduğu belirlenen İzin Yönetimi'ndeki son etkinlikleri tanımlar. Kural tabanlı anomali uyarılarının amacı yüksek duyarlıklı algılamadır.

Aşağıdaki koşullar için kural tabanlı anomali uyarısı tetikleyicilerini yapılandırabilirsiniz:

• İlk Kez Erişilen Tüm Kaynaklar: Kimlik, belirtilen zaman aralığında bir kaynağa ilk kez erişir.
• Kimlik Belirli Bir Görevi İlk Kez Gerçekleştirir: Kimlik, belirtilen zaman aralığında belirli bir görevi ilk kez gerçekleştirir.
• Kimlik İlk Kez Görev Gerçekleştirir: Kimlik, belirtilen zaman aralığı boyunca herhangi bir görevi ilk kez gerçekleştirir.

Uyarı tetikleyicileri toplanan verileri temel alır. Tetiklenirse tüm uyarılar, Uyarılar alt sekmesinin altında saatte bir gösterilir.

Kural tabanlı anomali uyarılarını görüntüleme

1. İzin Yönetimi giriş sayfasında Uyarılar'ı (zil simgesi) seçin.

2. Kural Tabanlı Anomali'yi ve ardından Uyarılar alt sekmesini seçin.

   Uyarılar alt sekmesinde aşağıdaki bilgiler görüntülenir:

   • Uyarı Adı: Uyarının adını listeler.

   • Uyarı toplama döneminde oluşan belirli kimliği, kaynağı ve görev adlarını görüntülemek için Uyarı Adı'nı seçin.

   • Anomali Uyarısı Kuralı: Uyarı oluşturulurken kural seçmenin adını görüntüler.

   • Yineleme sayısı: Uyarı tetikleyicisinin kaç kez oluştuğu.

   • Görev: Uyarı tarafından gerçekleştirilen görev sayısını tetikler.

   • Kaynaklar: Erişilen kaynak sayısını uyarı tetikler.

   • Kimlik: Uyarı tarafından olağan dışı davranışlar gerçekleştiren kaç kimlik tetiklenir?

   • Yetkilendirme Sistemi: Uyarının hangi yetkilendirme sistemleri için geçerli olduğunu görüntüler, Amazon Web Services (AWS), Microsoft Azure veya Google Cloud Platform (GCP).

   • Tarih/Saat: Uyarının tarih ve saatini listeler.

   • Tarih/Saat (UTC): Uyarının tarih ve saatini Eşgüdümlü Evrensel Saat (UTC) olarak listeler.

3. Uyarıları filtrelemek için:

   • Uyarı Adı açılan listesinden Tümü'ünü veya uygun uyarı adını seçin.

   • Tarih açılan menüsünde Son 24 Saat, Son 2 Gün, Geçen Hafta veya Özel Aralık'ı seçin ve Uygula'yı seçin.

   • Özel Aralık'ı seçerseniz Başlangıç ve Son süre ayarlarını da girin.

4. Uyarı ölçütleriyle eşleşen ayrıntıları görüntülemek için üç noktayı (...) seçin.

   • Tetikleyiciyi Görüntüle: Geçerli tetikleyici ayarlarını ve geçerli yetkilendirme sistemi ayrıntılarını görüntüler
   • Ayrıntılar: Yetkilendirme Sistemi Türü, Yetkilendirme Sistemleri, Kaynaklar, Görevler, Kimlikler ve Etkinlik hakkındaki ayrıntıları görüntüler
   • Etkinlik: Kimlik Adı, Kaynak Adı, Görev Adı, Tarih/Saat, Etkin Değil ve IP Adresi hakkındaki ayrıntıları görüntüler. "Göz" simgesi seçildiğinde Ham Olaylar Özeti görüntülenir

Kural tabanlı anomali uyarı tetikleyicisi oluşturma

1. İzin Yönetimi giriş sayfasında Uyarılar'ı (zil simgesi) seçin.

2. Kural Tabanlı Anomali'yi ve ardından Uyarılar alt sekmesini seçin.

3. Uyarı Tetikleyicisi Oluştur'u seçin.

4. Uyarı Adı kutusuna uyarı için bir ad girin.

5. Yetkilendirme Sistemi, AWS, Azure veya GCP'yi seçin.

6. Aşağıdaki koşullardan birini seçin:

   • İlk Kez Erişilen Tüm Kaynaklar: Kimlik, belirtilen zaman aralığında bir kaynağa ilk kez erişir.
   • Kimlik Belirli Bir Görevi İlk Kez Gerçekleştirir: Kimlik, belirtilen zaman aralığında belirli bir görevi ilk kez gerçekleştirir.
   • Kimlik İlk Kez Görev Gerçekleştirir: Kimlik, belirtilen zaman aralığı boyunca herhangi bir görevi ilk kez gerçekleştirir.

7. İleri’yi seçin.

8. Yetkilendirme Sistemleri sekmesinde, kullanılabilir yetkilendirme sistemlerini ve klasörlerini seçin veya Tümü'ne tıklayın.

   Bu ekran varsayılan olarak Liste görünümü olur, ancak bunu Klasörler görünümü olarak değiştirebilirsiniz. Yetkilendirme sistemine göre tek tek seçmek yerine uygun klasörü seçebilirsiniz.

   • Yetkilendirme sistemi çevrimiçi veya çevrimdışıysa Durum sütunu görüntülenir.
   • Denetleyici sütunu, denetleyicinin etkinleştirilip etkinleştirilmediğini veya devre dışı bırakıldığını gösterir.

9. Yapılandırma sekmesinde, Zaman Aralığı'nı güncelleştirmek için Zaman aralığı açılan listesinden 90 Gün, 60 Gün veya 30 Gün seçeneğini belirleyin.

10. Kaydet'i seçin.

Kural tabanlı anomali uyarı tetikleyicisi görüntüleme

1. İzin Yönetimi giriş sayfasında Uyarılar'ı (zil simgesi) seçin.

2. Kural Tabanlı Anomali'yi ve ardından Uyarı Tetikleyicileri alt sekmesini seçin.

   Uyarı Tetikleyicileri alt sekmesinde aşağıdaki bilgiler görüntülenir:

   • Uyarılar: Uyarının adını görüntüler.
   • Anomali Uyarısı Kuralı: Uyarı oluşturulurken seçilen kuralın adını görüntüler.
   • Abone Olunan Kullanıcı Sayısı: Uyarıya abone olan kullanıcı sayısını görüntüler.
   • Oluşturan: Uyarıyı oluşturan kullanıcının e-posta adresini görüntüler.
   • Son Değiştiren: Uyarıyı son değiştiren kullanıcının e-posta adresini görüntüler.
   • Son Değiştirme Tarihi: Tetikleyicinin son değiştirildiği tarihi ve saati görüntüler.
   • Abonelik: Uyarı e-postalarını almak için sizi abone eder. Açık ve Kapalı arasında geçiş yapar.

3. Kullanabileceğiniz diğer seçenekleri görüntülemek için üç noktayı (...) ve ardından kullanılabilir seçenekler arasından seçim yapın:

   Abonelik Açıksa aşağıdaki seçenekler kullanılabilir:

   • Düzenle: Uyarı parametrelerini değiştirmenize olanak tanır.

     Yalnızca uyarıyı oluşturan kullanıcı tetikleyici ekranını düzenleyebilir, bir uyarıyı yeniden adlandırabilir, bir uyarıyı devre dışı bırakabilir ve bir uyarıyı silebilir. Diğer kullanıcılar tarafından yapılan değişiklikler kaydedilmez.

   • Yinelenen: Seçili uyarı tetikleyicisinin yinelenen bir kopyasını oluşturun.

   • Yeniden Adlandır: Sorgunun yeni adını girin ve Kaydet'i seçin .

   • Devre dışı bırak: Uyarı listelenmeye devam eder, ancak artık abone olan kullanıcılara e-posta göndermez.

   • Etkinleştirme: Uyarı tetikleyicisini etkinleştirin ve abone olan kullanıcılara e-posta göndermeye başlayın.

   • Bildirim Ayarlar: Uyarı tetikleyicisine abone olan kullanıcıların e-postalarını görüntüleyin.

   • Sil: Uyarıyı silin.

   Abonelik Kapalıysa, aşağıdaki seçenekler kullanılabilir:

   • Görünüm: Uyarı tetikleyicisinin ayrıntılarını görüntüleyin.
   • Bildirim Ayarlar: Uyarı tetikleyicisine abone olan kullanıcıların e-postalarını görüntüleyin.
   • Yinelenen: Seçili uyarı tetikleyicisinin yinelenen bir kopyasını oluşturun.

4. Etkinleştirildi veya Devre Dışı Bırakıldı'ya göre filtrelemek için Durum bölümünde Tümü, Etkinleştirildi veya Devre Dışı Bırakıldı'yı ve ardından Uygula'yı seçin.

Sonraki adımlar

• Uyarılar ve uyarı tetikleyicilerine genel bakış için bkz . Uyarılar ve uyarı tetikleyicileri hakkındaki bilgileri görüntüleme.
• Etkinlik uyarıları ve uyarı tetikleyicileri hakkında bilgi için bkz . Etkinlik uyarıları ve uyarı tetikleyicileri oluşturma ve görüntüleme.
• Kimliğin davranışındaki aykırı değerleri bulma hakkında bilgi için bkz . İstatistiksel anomali uyarıları ve uyarı tetikleyicileri oluşturma ve görüntüleme.
• İzin analizi uyarıları ve uyarı tetikleyicileri hakkında bilgi için bkz . İzin analizi uyarıları ve uyarı tetikleyicileri oluşturma ve görüntüleme.