建立及檢視以規則為基礎的異常警示和警示觸發程序

以規則為基礎的異常會在權限管理中，根據警示觸發程序中定義的明確規則識別判定為不尋常的最近活動。 以規則為基礎的異常警示目標是高精確度偵測。

您可以針對下列條件，設定以規則為基礎的異常警示觸發程序：

• 第一次存取的任何資源：身分識別會在指定的時間間隔內第一次存取資源。
• 身分識別第一次執行特定工作：身分識別會在指定的時間間隔內第一次執行特定工作。
• 身分識別第一次執行工作：身分識別會在指定的時間間隔內第一次執行任何工作。

警示觸發程序會以收集的資料為基礎。 若觸發所有警示，則會每小時在 [警示] 子索引標籤下顯示。

檢視以規則為基礎的異常警示

1. 在 [權限管理] 首頁中，選取 [警示] (鈴鐺圖示)。

2. 選取 [以規則為基礎的異常]，然後選取 [警示] 子索引標籤。

   [警示] 子索引標籤會顯示下列資訊：

   • 警示名稱：列出警示的名稱。

   • 若要檢視警示收集期間出現的特定身分識別、資源和工作名稱，請選取 [警示名稱]。

   • 異常警示規則：顯示建立警示時選取的規則名稱。

   • 發生次數：警示觸發程序的發生次數。

   • 工作：由警示觸發的已執行工作數目。

   • 資源：由警示觸發的已存取資源數目。

   • 身分識別：警示觸發多少個執行不尋常行為的身分識別。

   • 授權系統：顯示套用警示的授權系統、Amazon Web Services (AWS)、Microsoft Azure 或 Google Cloud Platform (GCP)。

   • 日期/時間：顯示警示的日期和時間。

   • 日期/時間 (UTC) ：以國際標準時間 (UTC) 列出警示的日期和時間。

3. 若要篩選警示：

   • 從 [警示名稱] 下拉式清單中，選取 [全部] 或適當的警示名稱。

   • 從 [日期] 下拉式功能表，選取 [過去 24 小時]、[過去 2 天]、[過去一週] 或 [自訂範圍]，然後選取 [套用]。

   • 如果您選取 [自訂範圍]，也輸入 [從] 和 [到] 持續時間設定。

4. 若要檢視符合警示準則的詳細資料，請選取省略符號 (...)。

   • 檢視觸發程序：顯示目前的觸發程序設定以及適用的授權系統詳細資料
   • 詳細資料：顯示 [授權系統類型]、[授權系統]、[資源]、[工作]、[身分識別] 和 [活動] 的詳細資訊
   • 活動：顯示 [身分識別名稱]、[資源名稱]、[工作名稱]、[日期/時間]、[非作用中] 和 [IP 位址] 的詳細資料。 選取「眼睛」圖示會顯示 [原始事件摘要]

建立以規則為基礎的異常警示觸發程序

1. 在 [權限管理] 首頁中，選取 [警示] (鈴鐺圖示)。

2. 選取 [以規則為基礎的異常]，然後選取 [警示] 子索引標籤。

3. 選取 [建立警示觸發程序]。

4. 在 [警示名稱] 方塊中輸入警示的名稱。

5. 選取 [授權系統]、[AWS]、[Azure] 或 [GCP]。

6. 選取下列其中一個條件：

   • 第一次存取的任何資源：身分識別會在指定的時間間隔內第一次存取資源。
   • 身分識別第一次執行特定工作：身分識別會在指定的時間間隔內第一次執行特定工作。
   • 身分識別第一次執行工作：身分識別會在指定的時間間隔內第一次執行任何工作。

7. 選取 [下一步]。

8. 在 [授權系統] 索引標籤上，選取可用的授權系統和資料夾，或選取 [全部]。

   此畫面預設為 [清單] 檢視，但您可將其變更為 [資料夾] 檢視。 您可以選取適用的資料夾，而不是由授權系統個別選取。

   • [狀態] 資料行會顯示授權系統在線上或離線。
   • [控制者] 資料行會顯示已啟用或已停用控制者。

9. 在 [組態] 索引標籤上，若要更新 [時間間隔]，請從 [時間範圍] 下拉式清單中選取 [90 天]、[60 天] 或 [30 天]。

10. 選取 [儲存]。

檢視以規則為基礎的異常警示觸發程序

1. 在 [權限管理] 首頁中，選取 [警示] (鈴鐺圖示)。

2. 選取 [以規則為基礎的異常]，然後選取 [警示觸發程序] 子索引標籤。

   [警示觸發程序] 子索引標籤會顯示下列資訊：

   • 警示：顯示警示的名稱。
   • 異常警示規則：顯示建立警示時選取的規則名稱。
   • 已訂閱的使用者數目：顯示已訂閱警示的使用者數目。
   • 建立者：顯示建立警示之使用者的電子郵件地址。
   • 上次修改者：顯示上次修改警示的使用者電子郵件地址。
   • 上次修改日期：顯示上次修改觸發程式的日期和時間。
   • 訂閱：訂閱以接收警示電子郵件。 在 [開啟] 與 [關閉] 之間進行切換。

3. 若要檢視您可用的其他選項，請選取省略符號 (...)，然後從可用的選項中進行選取：

   如果 [訂閱] 為 [開啟]，則可以使用下列選項：

   • 編輯：可讓您修改警示參數。

     只有建立警示的使用者可以編輯觸發程序畫面、重新命名警示、停用警示，以及刪除警示。 其他使用者所做的變更不會儲存。

   • 複製：建立所選警示觸發程序的重複複本。

   • 重新命名：輸入查詢的新名稱，然後選取 [儲存]。

   • 停用：警示仍會列出，但不再傳送電子郵件給訂閱的使用者。

   • 啟用：啟用警示觸發程序，並開始傳送電子郵件給訂閱的使用者。

   • 通知設定：檢視訂閱警示觸發程序之使用者的 [電子郵件]。

   • 刪除：刪除警示。

   如果 [訂閱] 為 [關閉]，則可以使用下列選項：

   • 檢視：檢視警示觸發程序的詳細資料。
   • 通知設定：檢視訂閱警示觸發程序之使用者的 [電子郵件]。
   • 複製：建立所選警示觸發程序的重複複本。

4. 若要依 [已啟用] 或 [已停用] 進行篩選，請在 [狀態] 區段中選取 [全部]、[已啟用] 或 [已停用]，然後選取 [套用]。

下一步

• 如需警示與警示觸發程序的概觀，請參閱檢視警示與警示觸發程序的相關資訊。
• 如需活動警示和警示觸發程序的相關資訊，請參閱建立和檢視活動警示和警示觸發程序。
• 如需有關在身分識別行為中尋找極端值的資訊，請參閱建立和檢視統計異常警示和警示觸發程序。
• 如需權限分析警示與警示觸發程序的相關資訊，請參閱建立和檢視權限分析警示與警示觸發程序。