Nutzlast des Sicherheitsvorfalls

Online bearbeiten

Sie können die folgenden Payloads für Bedrohungsereignisse verwenden, um asynchrone Workflows und Synchronisierungen für Webhooks und APIs zur Ereignisbenachrichtigung auszulösen.

Tabelle 1. Bedrohungsmerkmale
Ihren Namen Datentyp Beschreibung
data.anomalous_event_count Zahl Eine Schätzung der Anzahl der während des Anomaliezeitraums beobachteten anomalen Ereignisse.
data.anomalous_suspicious_ips Zeichenfolge Eine Liste von IP-Adressen, suspicious_ips die in der letzten Stunde im Vergleich zum Verhalten der letzten 7 Tage ein ungewöhnliches Verhalten gezeigt haben.
data.component Zeichenfolge Die Kategorie für die Art von Ereignissen, die zur Erstellung der Sicherheitswarnung analysiert wurde. Management activityDie Werte können oder sein Login activity .
data.compromised_users Zeichenfolge Eine Liste der Benutzer, auf deren Konten während des Angriffs von den verdächtigen IP-Adressen aus erfolgreich zugegriffen wurde.
data.date Datum Das Datum, an dem die Anomalie beobachtet wurde.
data.end_time Zeichenfolge Der Zeitraum, für den die Ereignisse im Hinblick auf die Anomalie analysiert wurden.
data.impacted_user_count Zahl Die Anzahl der einzelnen Nutzer, die sich während des Angriffszeitraums angemeldet haben.
  • data.most_significant_data_cause
  • data.most_significant_data_client_name
  • data.most_significant_data-mfamethod
  • data.most_significant_data_origin
  • data.most_significant_data_redirecturl
  • data.most_significant_data_scope
  • data.most_significant_data_sourcetype
  • data.most_significant_data_subtype
  • data.most significant_data_username
  • data.most_significant_geoip_country_name
  • data.most_significant_tenantname
 Zeichenfolge Diese Attribute enthalten die Liste der Werte, die für 75 % des verdächtigen Datenverkehrs verantwortlich sind.
data.normal_traffic_volume Zahl Der 90. Perzentilwert der Ereigniszahl aus nicht anomalen Intervallen.
data.rule_id Zeichenfolge Der Regel-Alias.
data.rule_name Zeichenfolge Eine kurze Beschreibung der Art der Anomalie.
data.severity Zeichenfolge Der Schweregrad der Warnmeldung. Zum Beispiel warning oder critical.
data.source Zeichenfolge Die Felder, nach denen die Daten partitioniert werden, und die Felder, nach denen gefiltert wird. Zum Beispiel aus dem Abschnitt „config“.
data.start_time Zeichenfolge Die Zeit seit der Erkennung der Anomalie.
data.summary Zeichenfolge Die Übersicht über den Alarm, die die Quelle und den Zeitpunkt des Angriffs oder der Anomalie enthält.
data.top5_affected_data_grant_type Zeichenfolge Die fünf Förderarten, bei denen es während der Anomalie zu den meisten Fehlschlägen kam.
data.top5_affected_data_mfamethod Zeichenfolge Die fünf häufigsten Arten von MFA-Verfahren, die während der Anomalie zu den meisten Fehlern führten
data.top5_affected_data_origin Zeichenfolge Die fünf häufigsten IP-Adressen des Systems waren während der Anomalie am stärksten von Angriffen betroffen.
data.top5_affected_data_username Zeichenfolge Die fünf häufigsten IP-Adressen wurden während der systemusernames Anomalie am stärksten angegriffen.
data.top5_affected_geoip_country_name Zeichenfolge Die fünf Länder, aus denen der größte Teil des ungewöhnlichen Datenverkehrs stammte.
data.top5_affected_tenantname Zeichenfolge Die fünf Tenantnamen, die während der Anomalie am häufigsten angegriffen wurden.

Beispiel

Der folgende Code ist eine Beispiel-Nutzlast. Verwenden Sie die Events-APIs, um die tatsächlichen Attribute abzurufen. Siehe https://docs.verify.ibm.com/verify/reference/getallevents und https://docs.verify.ibm.com/verify/docs/pulling-event-data.

{
    "data": {
      "date": "2023-07-10",
      "rule_attribute": "ibm:threat_abnormal_user_activities",
      "most_significant_data_origin": [
        "<IP>"
      ],
      "top5_affected_data_username": "{'username': 20}",
      "source": "[('data.mfamethod', 'Voice OTP'), ('data.username', 'username')]",
      "suspicious_ips_count": 1,
      "most_significant_data_mfamethod": [
        "Voice OTP"
      ],
      "most_significant_geoip_country_name": [
        "India"
      ],
      "most_significant_data_grant_type": [],
      "top5_affected_tenantname": "{'tenant_name': 20}",
      "anomalous_event_count": 20,
      "most_significant_tenantname": [
        "tenant_name"
      ],
      "summary": "Abnormal number of device enrollments: 20 anomalous events are observed, beyond normal traffic volume, from 2023-07-10 19:00:00 UTC to 2023-07-10 20:00:00 UTC.",
      "severity": "critical",
      "top5_affected_data_origin": "{'<IP>': 20}",
      "rule_name": "Abnormal number of device enrollments",
      "impacted_user_count": 1,
      "end_time": "2023-07-10 20:00:00",
      "anomalous_suspicious_ips": [
        "<IP>"
      ],
      "rule_id": "ABNORMAL_DEVICE_ENROLLMENT",
      "top5_affected_geoip_country_name": "{'India': 20}",
      "start_time": "2023-07-10 19:00:00",
      "component": "Login activity",
      "normal_traffic_volume": 0,
      "top5_affected_data_grant_type": "{}",
      "top5_affected_data_mfamethod": "{'Voice OTP': 20}",
      "most_significant_data_username": [
        "username"
      ]
    },
    "year": 2023,
    "event_type": "threat",
    "month": 7,
    "indexed_at": 1689019317074,
    "tenantid": "tenant_id",
    "tenantname": "tenant_name",
    "servicename": "Anomaly-Detector",
    "id": "<event_identifier>",
    "time": 1689019315275,
    "day": 10
  }