分享方式:


建立及檢視以規則為基礎的異常警示和警示觸發程序

以規則為基礎的異常會在權限管理中,根據警示觸發程序中定義的明確規則識別判定為不尋常的最近活動。 以規則為基礎的異常警示目標是高精確度偵測。

您可以針對下列條件,設定以規則為基礎的異常警示觸發程序:

  • 第一次存取的任何資源:身分識別會在指定的時間間隔內第一次存取資源。
  • 身分識別第一次執行特定工作:身分識別會在指定的時間間隔內第一次執行特定工作。
  • 身分識別第一次執行工作:身分識別會在指定的時間間隔內第一次執行任何工作。

警示觸發程序會以收集的資料為基礎。 若觸發所有警示,則會每小時在 [警示] 子索引標籤下顯示。

檢視以規則為基礎的異常警示

  1. 在 [權限管理] 首頁中,選取 [警示] (鈴鐺圖示)。

  2. 選取 [以規則為基礎的異常],然後選取 [警示] 子索引標籤。

    [警示] 子索引標籤會顯示下列資訊:

    • 警示名稱:列出警示的名稱。

    • 若要檢視警示收集期間出現的特定身分識別、資源和工作名稱,請選取 [警示名稱]

    • 異常警示規則:顯示建立警示時選取的規則名稱。

    • 發生次數:警示觸發程序的發生次數。

    • 工作:由警示觸發的已執行工作數目。

    • 資源:由警示觸發的已存取資源數目。

    • 身分識別:警示觸發多少個執行不尋常行為的身分識別。

    • 授權系統:顯示套用警示的授權系統、Amazon Web Services (AWS)、Microsoft Azure 或 Google Cloud Platform (GCP)。

    • 日期/時間:顯示警示的日期和時間。

    • 日期/時間 (UTC) :以國際標準時間 (UTC) 列出警示的日期和時間。

  3. 若要篩選警示:

    • 從 [警示名稱] 下拉式清單中,選取 [全部] 或適當的警示名稱。

    • 從 [日期] 下拉式功能表,選取 [過去 24 小時]、[過去 2 天]、[過去一週] 或 [自訂範圍],然後選取 [套用]

    • 如果您選取 [自訂範圍],也輸入 [從] 和 [到] 持續時間設定。

  4. 若要檢視符合警示準則的詳細資料,請選取省略符號 (...)。

    • 檢視觸發程序:顯示目前的觸發程序設定以及適用的授權系統詳細資料
    • 詳細資料:顯示 [授權系統類型]、[授權系統]、[資源]、[工作]、[身分識別] 和 [活動] 的詳細資訊
    • 活動:顯示 [身分識別名稱]、[資源名稱]、[工作名稱]、[日期/時間]、[非作用中] 和 [IP 位址] 的詳細資料。 選取「眼睛」圖示會顯示 [原始事件摘要]

建立以規則為基礎的異常警示觸發程序

  1. 在 [權限管理] 首頁中,選取 [警示] (鈴鐺圖示)。

  2. 選取 [以規則為基礎的異常],然後選取 [警示] 子索引標籤。

  3. 選取 [建立警示觸發程序]

  4. 在 [警示名稱] 方塊中輸入警示的名稱。

  5. 選取 [授權系統]、[AWS]、[Azure] 或 [GCP]

  6. 選取下列其中一個條件:

    • 第一次存取的任何資源:身分識別會在指定的時間間隔內第一次存取資源。
    • 身分識別第一次執行特定工作:身分識別會在指定的時間間隔內第一次執行特定工作。
    • 身分識別第一次執行工作:身分識別會在指定的時間間隔內第一次執行任何工作。
  7. 選取 [下一步]。

  8. 在 [授權系統] 索引標籤上,選取可用的授權系統和資料夾,或選取 [全部]

    此畫面預設為 [清單] 檢視,但您可將其變更為 [資料夾] 檢視。 您可以選取適用的資料夾,而不是由授權系統個別選取。

    • [狀態] 資料行會顯示授權系統在線上或離線。
    • [控制者] 資料行會顯示已啟用或已停用控制者。
  9. 在 [組態] 索引標籤上,若要更新 [時間間隔],請從 [時間範圍] 下拉式清單中選取 [90 天]、[60 天] 或 [30 天]

  10. 選取 [儲存]。

檢視以規則為基礎的異常警示觸發程序

  1. 在 [權限管理] 首頁中,選取 [警示] (鈴鐺圖示)。

  2. 選取 [以規則為基礎的異常],然後選取 [警示觸發程序] 子索引標籤。

    [警示觸發程序] 子索引標籤會顯示下列資訊:

    • 警示:顯示警示的名稱。
    • 異常警示規則:顯示建立警示時選取的規則名稱。
    • 已訂閱的使用者數目:顯示已訂閱警示的使用者數目。
    • 建立者:顯示建立警示之使用者的電子郵件地址。
    • 上次修改者:顯示上次修改警示的使用者電子郵件地址。
    • 上次修改日期:顯示上次修改觸發程式的日期和時間。
    • 訂閱:訂閱以接收警示電子郵件。 在 [開啟] 與 [關閉] 之間進行切換。
  3. 若要檢視您可用的其他選項,請選取省略符號 (...),然後從可用的選項中進行選取:

    如果 [訂閱] 為 [開啟],則可以使用下列選項:

    • 編輯:可讓您修改警示參數。

      只有建立警示的使用者可以編輯觸發程序畫面、重新命名警示、停用警示,以及刪除警示。 其他使用者所做的變更不會儲存。

    • 複製:建立所選警示觸發程序的重複複本。

    • 重新命名:輸入查詢的新名稱,然後選取 [儲存]

    • 停用:警示仍會列出,但不再傳送電子郵件給訂閱的使用者。

    • 啟用:啟用警示觸發程序,並開始傳送電子郵件給訂閱的使用者。

    • 通知設定:檢視訂閱警示觸發程序之使用者的 [電子郵件]

    • 刪除:刪除警示。

    如果 [訂閱] 為 [關閉],則可以使用下列選項:

    • 檢視:檢視警示觸發程序的詳細資料。
    • 通知設定:檢視訂閱警示觸發程序之使用者的 [電子郵件]
    • 複製:建立所選警示觸發程序的重複複本。
  4. 若要依 [已啟用] 或 [已停用] 進行篩選,請在 [狀態] 區段中選取 [全部]、[已啟用] 或 [已停用],然後選取 [套用]

下一步