Skapa och visa regelbaserade avvikelseaviseringar och aviseringsutlösare

Regelbaserade avvikelser identifierar den senaste aktiviteten i Behörighetshantering som bedöms vara ovanlig baserat på explicita regler som definierats i aviseringsutlösaren. Målet med regelbaserade avvikelseaviseringar är identifiering med hög precision.

Du kan konfigurera regelbaserade avvikelseaviseringsutlösare för följande villkor:

• Alla resurser som används för första gången: Identiteten kommer åt en resurs för första gången under det angivna tidsintervallet.
• Identitet utför en viss uppgift för första gången: Identiteten utför en specifik uppgift för första gången under det angivna tidsintervallet.
• Identity Utför en uppgift för första gången: Identiteten utför alla aktiviteter för första gången under det angivna tidsintervallet.

Aviseringsutlösare baseras på data som samlas in. Alla aviseringar, om de utlöses, visas varje timme under underfliken Aviseringar.

Visa regelbaserade avvikelseaviseringar

1. På startsidan Behörighetshantering väljer du Aviseringar (klockikonen).

2. Välj Regelbaserad avvikelse och välj sedan underfliken Aviseringar .

   Underfliken Aviseringar visar följande information:

   • Aviseringsnamn: Visar namnet på aviseringen.

   • Om du vill visa de specifika identitets-, resurs- och uppgiftsnamnen som inträffade under aviseringssamlingsperioden väljer du aviseringsnamnet.

   • Avvikelseaviseringsregel: Visar namnet på regeln som väljs när aviseringen skapas.

   • Antal förekomster: Hur många gånger aviseringsutlösaren har inträffat.

   • Uppgift: Hur många uppgifter som utförs utlöses av aviseringen.

   • Resurser: Hur många resurser som används utlöses av aviseringen.

   • Identitet: Hur många identiteter som utför ovanligt beteende utlöses av aviseringen.

   • Auktoriseringssystem: Visar vilka auktoriseringssystem som aviseringen gäller för, Amazon Web Services (AWS), Microsoft Azure eller Google Cloud Platform (GCP).

   • Datum/tid: Visar datum och tid för aviseringen.

   • Datum/tid (UTC): Visar datum och tid för aviseringen i Coordinated Universal Time (UTC).

3. Så här filtrerar du aviseringar:

   • I listrutan Aviseringsnamn väljer du Alla eller lämpligt aviseringsnamn.

   • I listrutan Datum väljer du Senaste 24 timmarna, Senaste 2 dagarna, Senaste veckan eller Anpassat intervall och väljer Använd.

   • Om du väljer Anpassat intervall anger du även inställningar för varaktigheten Från och Till .

4. Om du vill visa information som matchar aviseringsvillkoren väljer du ellipserna (...).

   • Visa utlösare: Visar aktuella utlösarinställningar och tillämplig auktoriseringssysteminformation
   • Information: Visar information om auktoriseringssystemtyp, auktoriseringssystem, resurser, uppgifter, identiteter och aktivitet
   • Aktivitet: Visar information om identitetsnamn, resursnamn, aktivitetsnamn, datum/tid, inaktiv för och IP-adress. Om du väljer "öga"-ikonen visas Sammanfattning av råhändelser

Skapa en regelbaserad utlösare för avvikelseavisering

1. På startsidan Behörighetshantering väljer du Aviseringar (klockikonen).

2. Välj Regelbaserad avvikelse och välj sedan underfliken Aviseringar .

3. Välj Skapa aviseringsutlösare.

4. I rutan Aviseringsnamn anger du ett namn för aviseringen.

5. Välj auktoriseringssystemet, AWS, Azure eller GCP.

6. Välj något av följande villkor:

   • Alla resurser som används för första gången: Identiteten kommer åt en resurs för första gången under det angivna tidsintervallet.
   • Identitet utför en viss uppgift för första gången: Identiteten utför en specifik uppgift för första gången under det angivna tidsintervallet.
   • Identity Utför en uppgift för första gången: Identiteten utför alla aktiviteter för första gången under det angivna tidsintervallet.

7. Välj Nästa.

8. På fliken Auktoriseringssystem väljer du de tillgängliga auktoriseringssystemen och mapparna eller väljer Alla.

   Den här skärmen är som standard listvy , men du kan ändra den till vyn Mappar . Du kan välja den tillämpliga mappen i stället för att individuellt välja efter auktoriseringssystem.

   • Kolumnen Status visar om auktoriseringssystemet är online eller offline.
   • Kolumnen Controller visar om kontrollanten är aktiverad eller inaktiverad.

9. På fliken Konfiguration väljer du 90 dagar, 60 dagar eller 30 dagar från listrutan Tidsintervall för att uppdatera tidsintervallet.

10. Välj Spara.

Visa en regelbaserad utlösare för avvikelseavisering

1. På startsidan Behörighetshantering väljer du Aviseringar (klockikonen).

2. Välj Regelbaserad avvikelse och välj sedan underfliken Aviseringsutlösare .

   Underfliken Aviseringsutlösare visar följande information:

   • Aviseringar: Visar namnet på aviseringen.
   • Avvikelseaviseringsregel: Visar namnet på den valda regeln när aviseringen skapas.
   • Antal användare som prenumererar: Visar antalet användare som prenumererar på aviseringen.
   • Skapad av: Visar e-postadressen för användaren som skapade aviseringen.
   • Senast ändrad av: Visar e-postadressen för den användare som senast ändrade aviseringen.
   • Senast ändrad på: Visar datum och tid då utlösaren senast ändrades.
   • Prenumeration: Prenumererar på dig för att få aviseringsmeddelanden. Växlar mellan På och Av.

3. Om du vill visa andra tillgängliga alternativ väljer du ellipserna (...) och väljer sedan bland de tillgängliga alternativen:

   Om prenumerationen är På är följande alternativ tillgängliga:

   • Redigera: Gör att du kan ändra aviseringsparametrar.

     Endast användaren som skapade aviseringen kan redigera utlösarskärmen, byta namn på en avisering, inaktivera en avisering och ta bort en avisering. Ändringar som gjorts av andra användare sparas inte.

   • Duplicera: Skapa en duplicerad kopia av den valda aviseringsutlösaren.

   • Byt namn: Ange det nya namnet på frågan och välj sedan Spara.

   • Inaktivera: Aviseringen visas fortfarande, men skickar inte längre e-postmeddelanden till användare som prenumererar.

   • Aktivera: Aktivera aviseringsutlösaren och börja skicka e-postmeddelanden till användare som prenumererar.

   • Meddelande Inställningar: Visa e-postmeddelandet för användare som prenumererar på aviseringsutlösaren.

   • Ta bort: Ta bort aviseringen.

   Om prenumerationen är Av är följande alternativ tillgängliga:

   • Visa: Visa information om aviseringsutlösaren.
   • Meddelande Inställningar: Visa e-postmeddelandet för användare som prenumererar på aviseringsutlösaren.
   • Duplicera: Skapa en duplicerad kopia av den valda aviseringsutlösaren.

4. Om du vill filtrera efter Aktiverad eller Inaktiverad går du till avsnittet Status, väljer Alla, Aktiverad eller Inaktiverad och väljer sedan Använd.

Nästa steg

• En översikt över aviseringar och aviseringsutlösare finns i Visa information om aviseringar och aviseringsutlösare.
• Information om aktivitetsaviseringar och aviseringsutlösare finns i Skapa och visa aktivitetsaviseringar och aviseringsutlösare.
• Information om hur du hittar avvikande värden i identitetens beteende finns i Skapa och visa statistiska aviseringar och aviseringsutlösare.
• Information om aviseringar och aviseringsutlösare för behörighetsanalys finns i Skapa och visa aviseringar och aviseringsutlösare för behörighetsanalys.