Campaign Rules
Campaign-Regeln ermöglichen es Organisationen, automatisierte Zugriffsprüfungs-Entscheidungen basierend auf spezifischen Bedingungen zu definieren. Regeln werden während Campaigns evaluiert, um Konten automatisch zu genehmigen, abzulehnen oder zur Prüfung zu markieren.
Überblick
Campaign-Regeln verwenden eine domänenspezifische Sprache (DSL), um Bedingungen zu definieren, die während Zugriffsprüfungen gegen Konten und Eigentümer evaluiert werden. Wenn Bedingungen übereinstimmen, wird die Entscheidung der Regel (genehmigen, ablehnen oder markieren) automatisch angewendet.
Vorteile von Campaign-Regeln
- Reviewer-Arbeitsbelastung reduzieren - Routineentscheidungen automatisch behandeln
- Konsistenz gewährleisten - Gleiche Kriterien über alle Prüfungen anwenden
- Campaigns beschleunigen - Prüfungen mit Automatisierung schneller abschließen
- Richtlinien durchsetzen - Governance-Anforderungen in Regeln kodieren
Die Campaign-Rules-Seite
Navigieren Sie zu Settings > Campaign Rules, um Ihre Regeln zu verwalten.
Die Seite zeigt:
- Regeltabelle - Alle konfigurierten Regeln mit Schlüsselinformationen
- Suche - Regeln nach Name oder Beschreibung finden
- Create Rule-Button - Neue Regeln hinzufügen
- DSL-Syntaxhilfe - Referenz zum Schreiben von Bedingungen
Spalten der Regeltabelle
| Spalte | Beschreibung |
|---|---|
| Name | Regelname und Beschreibung |
| Type | Account, Owner oder Role Policy |
| Decision | Approve, Reject oder Evaluate Policies |
| Status | Active oder Inactive |
| Actions | Bearbeiten, Löschen, Status umschalten |
Klicken Sie auf eine Zeile, um sie zu erweitern und die vollständige DSL-Bedingung anzuzeigen.
Regeltypen
| Typ | Beschreibung | Anwendungsfall |
|---|---|---|
| Account | Evaluiert Kontoattribute | Hochrisiko-Konten markieren, Standard-Benutzer genehmigen |
| Owner | Evaluiert Eigentümerattribute | Konten genehmigen, die vertrauenswürdigen Managern gehören |
| Role Policy | Evaluiert Rollenzuweisungen | Rollenbasierte Zugriffsentscheidungen anwenden |
Entscheidungstypen
| Entscheidung | Beschreibung |
|---|---|
| Approve | Zugriff automatisch genehmigen |
| Reject | Zugriff automatisch ablehnen |
| Evaluate Policies | Richtlinienevaluierung für Entscheidung heranziehen |
Campaign-Regel erstellen
Schritt-für-Schritt-Prozess
- Navigieren Sie zu Settings und wählen Sie den Tab Campaign Rules.
- Klicken Sie auf + Create Rule.
- Geben Sie einen Rule Name ein, der den Zweck der Regel beschreibt.
- Fügen Sie eine Description hinzu, die erklärt, wann und warum diese Regel gilt.
- Wählen Sie den Rule Type (Account, Owner oder Role Policy).
- Wählen Sie, wie die DSL-Bedingung erstellt werden soll:
- Generate Rule with AI - In natürlicher Sprache beschreiben
- Write DSL Manually - DSL-Syntax direkt eingeben
- Wählen Sie die Decision (Approve, Reject oder Evaluate Policies).
- Die Regel ist standardmäßig Active. Deaktivieren Sie, wenn Sie sie als inaktiv speichern möchten.
- Klicken Sie auf Save, um die Regel zu erstellen.
AI zur Regelgenerierung verwenden
Der AI-Regelgenerator konvertiert Beschreibungen in natürlicher Sprache in DSL-Bedingungen.
- Klicken Sie auf Generate Rule with AI.
- Beschreiben Sie Ihre Regel in einfacher Sprache, zum Beispiel:
- "Review owners with more than 5 highly privileged accounts"
- "Flag accounts with passwords older than 90 days"
- "Approve all service accounts owned by system administrators"
- Klicken Sie auf Generate DSL.
- Überprüfen Sie die generierte DSL-Bedingung.
- Passen Sie bei Bedarf an oder regenerieren Sie mit geänderter Beschreibung.
Tipps zur AI-Generierung
Seien Sie spezifisch in Ihren Beschreibungen. Einschließen:
- Den Entitätstyp (account, owner)
- Die Bedingungskriterien (Anzahl, Alter, Status)
- Schwellenwerte oder Werte
DSL manuell schreiben
Für präzise Kontrolle schreiben Sie DSL-Bedingungen direkt.
- Klicken Sie auf Write DSL Manually.
- Schalten Sie Show DSL Syntax Help für Referenz um.
- Geben Sie Ihre DSL-Bedingung im Textbereich ein.
- Verwenden Sie die Syntaxhilfe für verfügbare Funktionen und Operatoren.
DSL-Syntaxreferenz
Entitätsfunktionen
| Funktion | Beschreibung | Beispiel |
|---|---|---|
Account() | Auf Kontoattribute zugreifen | Account().risk_score > 70 |
Owner() | Auf Eigentümerattribute zugreifen | Owner().status == "active" |
HasOwner() | Prüfen, ob Konto Eigentümer hat | HasOwner() == true |
HasApplication() | Anwendungszuordnung prüfen | HasApplication("app-id") |
CountAccounts() | Konten des Eigentümers zählen | CountAccounts() > 5 |
Kontoattribute
| Attribut | Beschreibung |
|---|---|
account_name | Konto-Identifikator |
display_name | Lesbarer Name |
email | E-Mail-Adresse |
status | Kontostatus (active, inactive, etc.) |
risk_score | Numerischer Risikoscore (0-100) |
risk_level | Risikostufe (low, medium, high, critical) |
account_type | Kontotyp |
is_privileged | Boolean privilegiertes Flag |
last_login | Letzter Login-Zeitstempel |
password_age_days | Tage seit Passwortänderung |
mfa_enabled | MFA-Status |
Eigentümerattribute
| Attribut | Beschreibung |
|---|---|
identity_name | Eigentümername |
identity_email | Eigentümer-E-Mail |
department | Abteilung |
title | Berufsbezeichnung |
location | Bürostandort |
status | Eigentümerstatus |
owner_type | Eigentümertyp |
manager | Manager-Identifikator |
Operatoren
| Operator | Beschreibung | Beispiel |
|---|---|---|
== | Gleich | status == "active" |
!= | Ungleich | status != "terminated" |
> | Größer als | risk_score > 50 |
>= | Größer oder gleich | risk_score >= 70 |
< | Kleiner als | password_age_days < 90 |
<= | Kleiner oder gleich | CountAccounts() <= 3 |
AND | Logisches UND | status == "active" AND risk_score > 70 |
OR | Logisches ODER | is_privileged == true OR risk_score > 80 |
NOT | Logisches NICHT | NOT HasOwner() |
IN | Wert in Liste | department IN ["IT", "Security"] |
CONTAINS | String enthält | account_name CONTAINS "admin" |
Beispielregeln
Hochrisiko-privilegierte Konten markieren:
Account().is_privileged == true AND Account().risk_score > 70Konten mit aktiven Eigentümern genehmigen:
HasOwner() == true AND Owner().status == "active"Verwaiste Konten ablehnen (kein Eigentümer):
HasOwner() == falseKonten mit alten Passwörtern markieren:
Account().password_age_days > 90Service-Konten der IT genehmigen:
Account().account_type == "service" AND Owner().department == "IT"Regeln testen
Vor Aktivierung einer Regel testen Sie sie gegen Ihre Daten, um zu überprüfen, dass sie die erwarteten Konten erfasst.
Test durchführen
- Regel erstellen oder bearbeiten.
- Auf Test Rule klicken.
- Testtyp auswählen:
- Account - Gegen Kontodaten testen
- Owner - Gegen Eigentümerdaten testen
- Test läuft asynchron und zeigt Fortschritt.
- Übereinstimmende Ergebnisse überprüfen.
Testergebnisse verstehen
Testergebnisse zeigen:
- Match count - Anzahl übereinstimmender Entitäten
- Sample matches - Beispielentitäten, die betroffen wären
- Processing time - Wie lange die Evaluierung dauerte
Verwenden Sie Testergebnisse, um Ihre Regel vor Aktivierung zu verfeinern.
Systemregeln
Einige Regeln sind systemgeneriert und als schreibgeschützt markiert. Diese Regeln:
- Werden automatisch von Hydden.Control erstellt
- Können nicht bearbeitet oder gelöscht werden
- Sind deutlich als Systemregeln gekennzeichnet
- Bieten Basis-Governance-Funktionalität
Regeln verwalten
Regel bearbeiten
- Auf das Edit-Symbol in der Regelzeile klicken.
- Regeleigenschaften ändern.
- Auf Save klicken, um Änderungen anzuwenden.
Änderungen aktiver Regeln
Änderungen an aktiven Regeln treten sofort in Kraft und können laufende Campaigns beeinflussen.
Regel löschen
- Auf das Delete-Symbol in der Regelzeile klicken.
- Löschung bestätigen.
Vor dem Löschen
Prüfen Sie, ob die Regel in aktiven Campaigns verwendet wird. Das Löschen einer Regel entfernt sie aus zukünftigen Evaluierungen, betrifft aber nicht vergangene Entscheidungen.
Regelstatus umschalten
- Auf Status-Toggle klicken, um Regel zu aktivieren oder deaktivieren
- Inaktive Regeln werden gespeichert, aber nicht während Campaigns evaluiert
- Verwenden Sie inaktiven Status, um eine Regel vorübergehend zu pausieren
Regeln in Campaigns verwenden
Campaign-Regeln werden in Campaigns im Automation & Rules-Schritt der Campaign-Erstellung angewendet.
Während der Campaign-Ausführung:
- Regeln werden für jedes Konto in der Campaign evaluiert
- Regeln werden in Reihenfolge evaluiert: Reject-Regeln zuerst, dann Approve, dann Evaluate Policies
- Die erste übereinstimmende Regel bestimmt die Entscheidung
- Konten, die keiner Regel entsprechen, bleiben zur manuellen Prüfung ausstehend
Best Practices
- Mit Reject-Regeln beginnen - Erstellen Sie zuerst Regeln, die offensichtliche Verstöße ablehnen
- Vor Aktivierung testen - Testen Sie Regeln immer gegen Ihre Daten
- Beschreibende Namen verwenden - Machen Sie Regeln leicht identifizierbar und verständlich
- Zweck dokumentieren - Fügen Sie klare Beschreibungen hinzu, die die Absicht der Regel erklären
- Regelmäßig überprüfen - Auditieren Sie Regeln regelmäßig, um sicherzustellen, dass sie angemessen bleiben
- Regeln strategisch schichten - Verwenden Sie mehrere Regeln mit spezifischen Bedingungen statt einer komplexen Regel
Verwandte Themen
- Campaigns - Campaigns erstellen und verwalten
- Access Policies - Richtlinienbasierte Zugriffsentscheidungen
- Settings Overview - Alle Settings-Optionen