建立及檢視統計異常警示和警示觸發程序

若根據活動觸發條件中定義的模型，判斷最近的活動為異常，則統計異常可以偵測出身份行為中的極端值。 此警示觸發程序的目標為高重新叫用率。

您可以針對下列情境，設定統計異常警示觸發程序：

• 執行大量工作的身分識別：身分識別執行高於平常的工作數量。 例如，身分識別平常每天會執行 25 個工作，現在每天執行 100 個工作。
• 執行較少任務的身份：這個身份執行的任務量低於平常。 例如，身分識別平常每天會執行 100 個工作，現在每天執行 25 個工作。
• 執行工作具有異常結果的身分識別：身分識別執行的動作取得與平常不同的結果，例如先前大部分的工作結果都為成功，而現在結果是失敗，反之亦然。
• 身份執行異常時間的任務：身份在異常時間執行任務，依據其在觀察期中建立的基準。 時間會依下列 UTC 4 小時範圍分組。
• 執行不尋常類型工作的身分識別：身分識別根據觀察期間建立的基準，執行不尋常類型的工作。 例如，身分識別執行先前不常執行的讀取、寫入或刪除工作。
• 以多個不尋常模式執行任務的身分：此身分在觀察期間建立的基準線中，顯示出其執行任務時具有數個不尋常的模式。

警示觸發程序會以收集的資料為基礎。 如果警示被觸發，則每小時會在 [警示] 子索引標籤下顯示。

檢視身分識別行為中的統計異常

您可以在身分識別的行為中檢視統計異常，以監視許可權管理中的異常活動。 本節說明如何存取和解譯警示。

1. 在 [權限管理] 首頁中，選取 [警示] (鈴鐺圖示)。

2. 選取 [統計異常]，然後選取 [警示] 子索引標籤。

   [警報] 子標籤會顯示下列資訊：

   • 警示名稱：列出警示的名稱。
   • 異常警示規則：顯示建立警示時選取的規則名稱。
   • 發生次數：顯示警示觸發程序的發生次數。
   • 授權系統：顯示套用警示的授權系統。
   • 日期/時間：列出極端值的發生日期。
   • 日期/時間 (UTC) ：以國際標準時間 (UTC) 列出極端值的發生日期。

3. 若要根據名稱篩選警示，請選取適當的警示名稱，或從 [警示名稱] 下拉式功能表中選擇 [全部]，然後選取 [套用]。

4. 若要根據警示時間篩選警示，請從 [日期] 下拉式功能表中選取 [過去 24 小時]、[過去 2 天]、[上週] 或 [自訂範圍]，然後選取 [套用]。

5. 如果選取省略號 (...)，並選擇：

   • 詳細資料，這會帶您前往 [警示摘要] 檢視，並顯示 [授權系統]、[統計模型] 和 [觀察期間] 以及一個資料表，其中每個資料列包含每個觸發此警示的身分識別。 在這裡，您可以按一下：
   • 詳細資料：顯示突出顯示異常並提供背景資訊的圖表，以及在異常當天執行的最多 3 項主要動作
   • 檢視觸發程序：顯示目前的觸發程序設定以及適用的授權系統詳細資料
   • 檢視觸發程序：顯示目前的觸發程序設定以及適用的授權系統詳細資料

建立統計異常警示觸發程序

您可以設定特定條件的統計異常警示觸發程式，以偵測異常活動。 本節會引導您完成建立這些警示觸發程式的步驟。

1. 在 [權限管理] 首頁中，選取 [警示] (鈴鐺圖示)。

2. 選取 [統計異常]，選取 [警示] 子索引標籤，然後選取 [建立警示觸發程序]。

3. 在 [警示名稱] 方塊中輸入警示的名稱。

4. 選取 [授權系統]、Amazon Web Services (AWS)、Microsoft Azure 或 Google Cloud Platform (GCP)。

5. 選取下列其中一個條件：

   • 執行大量任務的身份：此身份的執行任務數量高於平時。 例如，身分識別平常每天會執行 25 個工作，現在每天執行 100 個工作。
   • 執行較少工作的身分識別：身分識別執行低於平常的工作數量。 例如，身分識別平常每天會執行 100 個工作，現在每天執行 25 個工作。
   • 執行任務有異常結果的身分：身分執行的任務結果與平常不同，例如過去大部分任務都是成功的，而現在卻失敗，或情況反過來。
   • 在不尋常時間執行任務的身分：該身分在觀察期間依據其建立的基準，在不尋常的時間執行任務。 時間會依下列 UTC 4 小時範圍分組。
     • 12AM-4AM UTC
     • 4AM-8AM UTC
     • 8AM-12PM UTC
     • 12PM-4PM UTC
     • 下午4點至晚上8點 (UTC)
     • 晚上8點至凌晨12點 (UTC)
   • 身分識別執行具有異常類型的任務：該身分識別在觀察期間，根據建立的基準執行不尋常的任務類型。 例如，身分識別執行先前不常執行的讀取、寫入或刪除工作。
   • 執行工作具有多個異常模式的身分識別：身分識別所執行的工作中有數個不尋常的模式，判斷依據為觀察期間建立的基準。

6. 選取 [下一步]。

7. 在 [授權系統] 索引標籤上選取適當的系統，或者，若要選取所有系統，請選取 [全部]。

   畫面預設為 [清單] 檢視，但您可以使用功能表切換至 [資料夾] 檢視，然後選取適用的資料夾，而不是依系統個別選取。

   • [狀態] 資料行會顯示授權系統在線上或離線。

   • 「控制器」欄位顯示控制器是啟用還是停用。

8. 請按下 [儲存]。

檢視統計異常警示觸發程序

您可以檢視及管理您已建立的統計異常警示觸發程式。 本節提供如何存取和修改這些觸發程式的指示。

1. 在 [權限管理] 首頁中，選取 [警示] (鈴鐺圖示)。

2. 選取 [統計異常]，然後選取 [警示觸發程序] 子索引標籤。

   警示觸發器 子索引標籤會顯示下列資訊：

   • 警示：顯示警示的名稱。
   • 異常警示規則：顯示建立警示時選取的規則名稱。
   • 已訂閱的使用者數目：顯示已訂閱警示的使用者數目。
   • 建立者：顯示建立警示之使用者的電子郵件地址。
   • 上次修改者：顯示上次修改警示的使用者電子郵件地址。
   • 上次修改日期：顯示上次修改觸發程式的日期和時間。
   • 訂閱：訂閱以接收警示電子郵件。 將按鈕切換為 [開啟] 或 [關閉]。

3. 若要依 [已啟用] 或 [已停用] 進行篩選，請在 [狀態] 區段中選取 [全部]、[已啟用] 或 [已停用]，然後選取 [套用]。

4. 若要檢視您可用的其他選項，請選取省略符號 (...)，然後從可用的選項中進行選取：

   如果 [訂閱] 為 [開啟]，則可以使用下列選項：

   • 編輯：可讓您修改警示參數

     注意

     只有建立警示的使用者可以執行下列動作：編輯觸發程序畫面、重新命名警示、停用警示，以及刪除警示。 其他使用者所做的變更不會儲存。

   • 複製：建立所選警示觸發程序的重複複本。

   • 重新命名：輸入查詢的新名稱，然後選取 [儲存]。

   • 停用：警示仍會列出，但不再傳送電子郵件給訂閱的使用者。

   • 啟用：啟用警示觸發程序，並開始傳送電子郵件給訂閱的使用者。

   • 通知設定：檢視訂閱警示觸發程序之使用者的 [電子郵件]。

   • 刪除：刪除警示。

   如果 [訂閱] 為 [關閉]，則可以使用下列選項：

   • 檢視：檢視警示觸發程序的詳細資料。
   • 通知設定：檢視訂閱警示觸發程序的使用者電子郵件。
   • 複製：建立所選警示觸發程序的重複複本。

5. 選擇 [套用]。

下一步

• 如需警示與警示觸發程序的概觀，請參閱檢視警示與警示觸發程序的相關資訊。
• 如需活動警示和警示觸發程序的相關資訊，請參閱建立和檢視活動警示和警示觸發程序。
• 如需以規則為基礎的異常警示和警示觸發程序的相關資訊，請參閱建立和檢視以規則為基礎的異常警示和警示觸發程序。
• 如需權限分析警示與警示觸發程序的相關資訊，請參閱建立和檢視權限分析警示與警示觸發程序。