Bericht zur Aktivität für adaptiven Zugriff generieren

Online bearbeiten

Sie können einen Bericht zur Aktivität für adaptiven Zugriff über die IBM® Verify-Verwaltungskonsole generieren.

Vorbereitende Schritte

  • Zur Ausführung dieser Task müssen Sie über Verwaltungsberechtigung verfügen oder ein Mitglied der Gruppe 'helpdesk' sein.
  • Melden Sie sich als Administrator bei der IBM Verify Verwaltungskonsole an.

Vorgehensweise

  1. Wählen Sie „Berichte und Diagnose “ > „Berichte “.
    Die Kacheln für Authentifizierungsaktivität, Anwendungsnutzung, Administratoraktivität und Mehrfaktorauthentifizierungsaktivität werden angezeigt. Die Kachel Adaptiver Zugriff zeigt die Übersichtsinformationen für die vergangenen 24 Stunden an.
  2. Wählen Sie den Link „Bericht anzeigen“ auf der Kachel „Adaptiver Zugriff“ aus.
    Im Zusammenfassungsbericht für den aktuellen Tag werden die folgenden Informationen angezeigt:
    • Die Gesamtzahl Aufrufe
    • Die Anzahl Versuche mit sehr hohem Risiko
    • Die Anzahl Versuche mit hohem Risiko
    • Die Anzahl Versuche mit mittlerem Risiko
    • Die Anzahl Versuche mit niedrigem Risiko

    Eine farbige, skalierbare grafische Darstellung der Anzahl Aufrufe für den ausgewählten Zeitraum wird angezeigt. Sie können den Mauszeiger entlang der Datumslinie bewegen, um tägliche Zusammenfassungen der erkannten Risikostufen anzuzeigen. Der Zeitraum kann bis zu 90 Tage umfassen. Die Diagrammskala basiert auf den Datasets und die Uhrzeit wird als Ortszeit angezeigt.

    Die Authentifizierungsaktivität für einzelne Benutzer wird ebenfalls angezeigt. Siehe Tabelle 1. Wählen Sie ein Ereignis aus, um die zugehörigen Details anzuzeigen. Siehe Veranstaltungsdetails zu „Adaptive Access “.

  3. Unter dem Diagramm wird die Authentifizierungsaktivität für einzelne Benutzer angezeigt.
    Tabelle 1. Informationen zu einzelnen Aktivitäten
    Information Attribute Beschreibung
    Zeitmarke time Das Datum und die Uhrzeit, an dem bzw. zu der das Ereignis für adaptiven Zugriff aufgetreten ist.
    Benutzer
    Benutzername
    data.username
    Realm
    data.realm
    		 Umfasst Folgendes:
    Benutzername
    Die eindeutige ID zur Anmeldung bei Verify. Sie kann mit der E-Mail-Adresse des Benutzers übereinstimmen.
    Realm
    Das Identitätsquellenattribut, mit dessen Hilfe Benutzer aus mehreren Identitätsquellen, die denselben Benutzernamen haben, unterschieden werden können.

    Diese Informationen werden auf der Registerkarte „Benutzer & Gruppen > Benutzer“ sowie im Dialogfeld „Benutzer bearbeiten“ angezeigt.

    Für die folgenden Identitätsquellen gilt:
    • Cloud Directory, der Bereichswert lautet cloudIdentityRealm.
    • www.ibm.comIBMid ist der Bereichswert.
    • SAML Bei „Enterprise“ kann der Bereichswert ein beliebiger eindeutiger Name sein, den Sie bei der Erstellung der Identitätsquelle vergeben haben.
    • OnPrem LDAP, der Bereichswert kann ein beliebiger eindeutiger Name sein, den Sie bei der Erstellung der Identitätsquelle vergeben haben.
    Risikostufe data.risk_level
    • Sehr hoch
    • Hoch
    • Mittel
    • Niedrig
    Grund data.decision_reason Siehe Tabelle 2.
    Richtlinienaktion data.policy_action
    Weiterleitung für weitere Informationen
    Der Benutzer kann nicht auf die Anwendung zugreifen und wird an die angegebene URL oder URI weitergeleitet.
    Blockieren (Überschreibung)
    Die Aktion 'Blockieren' überschreibt alle anderen Entscheidungen in der Richtlinie.
    MFA (Überschreibung)
    Die MFA-Aktion überschreibt alle anderen Entscheidungen in der Richtlinie.
    Ermöglichen (Überschreibung)
    Die Aktion zum Ermöglichen überschreibt alle anderen Entscheidungen in der Richtlinie.
    Blockieren und umleiten
    Der Benutzer kann nicht auf die Anwendung zugreifen und wird an die angegebene URL oder URI weitergeleitet.
    Block
    Der Benutzer wird zurückgewiesen.
    Immer MFA
    Es ist immer eine MFA erforderlich, selbst in derselben Sitzung.
    MFA pro Sitzung
    Falls noch keine MFA erfolgt ist, eine MFA erzwingen.
    Weiter
    Der Benutzer ist zugelassen, ohne dass der Adaptive-Benutzereintrag aktualisiert werden muss.
    Zulassen
    Dem Benutzer wird der Zugriff ermöglicht.
    Richtlinie
    • data.policy_name
    • data.policy_id
    		 Der Richtlinienname und die Richtlinien-ID, die auf das Ereignis angewendet werden.
    Anwendung data.applicationname Der Name der Anwendung, auf die zugegriffen wird.
    Standort
    • data.city
    • data.region
    • data.country
    		 Die Stadt, der Staat und das Land, in der bzw. dem das Ereignis aufgetreten ist.
    Einheit
    • data.browser
    • data.os
    		 Der Browser und das Betriebssystem, der bzw. das von dem Gerät verwendet wurde.
    Client-ID data.origin Die IP-Adresse des Geräts, das die Authentifizierungsanforderung gestellt hat. Die Details enthalten den Link X-Force IP report zum Bewerten des Bedrohungswerts der Adresse.
    Tabelle 2. Begründung der Entscheidung
    Begründung der Entscheidung Beschreibung
    Zugriff über ein Gerät mit anstehender MFA Für ein Gerät wurde eine MFA angefordert und die MFA wurde nicht ausgeführt. In der nächsten Sitzung auf demselben Gerät für denselben Benutzer erfolgt erneut eine Aufforderung zur MFA. Der Risikoscore der letzten Sitzung ändert sich nicht.
    Zugriff über ein bekanntes und vertrauenswürdiges Gerät Der Zugriff erfolgte über ein Gerät, das bereits vom Benutzer verwendet wurde. Es handelt sich um ein vertrauenswürdiges Gerät auf der Basis der Geräteintelligenz von Trusteer.
    Zugriff über ein bekanntes Gerät mit einer neuen Verbindung Der Zugriff erfolgte über ein Gerät, das bereits vom Benutzer verwendet wurde. Der Zugriff erfolgt jedoch über einen anderen Internet-Service-Provider (ISP), einen anderen Standort oder eine andere Verbindungsaufbaumethode.
    Zugriff mit einer Änderung der Geräteattribute Der Zugriff erfolgte unter Verwendung eines neuen Geräts oder eines bekannten Geräts mit einer signifikanten Änderung seiner Attribute. Sowohl Hardware- als auch Softwareattribute werden untersucht, um eine Änderung der Geräteattribute festzustellen.
    Zugriff mit einer Änderung des Benutzerverhaltens Die Risikoengine von Trusteer erlernt das Benutzerverhalten, indem sie die Zugriffsmuster analysiert. Wenn eine Änderung im Benutzerverhalten erkannt wird, wird ein Alert gesendet. Ein Beispiel für eine Verhaltensänderung ist der erste Zugriff nach der Arbeitszeit.
    Zugriff einschließlich der Indikation risikobehafteter Geräte Die Geräteattribute wurden auf der Basis der Sicherheitsintelligenz von Trusteer als risikobehaftet bestimmt. Die Sicherheitsintelligenz von Trusteer wird auf der Basis intensiver Forschung und Datenanalyse konstant erweitert und aktualisiert.
    Risikoservice nicht verfügbar - Mittleres Risiko angewendet Das System konnte die Risikobewertung nicht ausführen. Es wurde die Richtlinienaktion für die mittlere Risikostufe angewendet.
    Zugriff von einem Gerät, das in der aktuellen Sitzung die MFA bestanden hat Auf das Benutzerkonto wurde von einem Gerät aus zugegriffen, das die MFA in der aktuellen Sitzung erfolgreich durchlaufen hat.
    Zugriff über dasselbe Gerät nach fehlgeschlagener Multi-Faktor-Authentifizierung Auf das Benutzerkonto wurde von einem Gerät zugegriffen, das zuvor eine MFA-Überprüfung nicht bestanden hatte. Zur Überprüfung der Rechtmäßigkeit des Zugriffs ist eine zusätzliche MFA-Authentifizierung erforderlich.
    Zugriff mit einer risikobehafteten Standortangabe Auf das Benutzerkonto wurde von einem neuen Gerät aus zugegriffen, dessen Standortdaten als risikobehaftet eingestuft werden und nicht mit dem Konto in Verbindung stehen.
    Verdächtiger Zugriff von einem mit Malware infizierten Gerät Auf das Benutzerkonto wurde über ein Gerät zugegriffen, das mit Malware infiziert ist.
    Zugriff mit einer Warnung bezüglich der Sprache Auf das Benutzerkonto wurde von einem neuen Gerät aus zugegriffen, dessen Browserspracheinstellungen als risikobehaftet gelten und nicht mit dem Konto verknüpft sind.
    Zugriff mit Hinweis auf einen unsicheren Hosting-Dienst Auf das Benutzerkonto wurde von einem neuen Gerät aus zugegriffen, das eine Verbindung über einen als risikobehaftet bekannten Hosting-Dienst herstellt, der nicht mit dem Konto in Verbindung steht.
    Zugriff mit Angabe einer virtuellen Maschine Auf das Benutzerkonto wurde über ein Gerät zugegriffen, dessen Eigenschaften auf die Nutzung einer virtuellen Maschine hindeuten.
    Zugriff mit Angabe eines Fernzugriffstools Auf das Benutzerkonto wurde über ein Gerät zugegriffen, bei dem der Verdacht besteht, dass es von einem anderen Gerät ferngesteuert wird.

    Wählen Sie ein Ereignis aus, um die zugehörigen Details anzuzeigen. Siehe Veranstaltungsdetails zu „Adaptive Access “.

  4. Optional: Wählen Sie Filter aus, um die Ergebnisse einzugrenzen.
    Die Suche kann anhand der folgenden Kriterien erfolgen:
    Identität
    Filterauswahlmöglichkeiten sind 'Benutzername' und 'Realm'.
    Quelle
    Filterauswahlmöglichkeiten sind 'Client-IP' und 'Standort'.
    Ereignisdetails
    Filterauswahlmöglichkeiten sind Risikostufe, Richtlinienname, Richtlinien-ID, Anwendungsname, Ursache und Sitzungs-ID.
    Sie können jede beliebige Kombination aus Filtern verwenden, um Ihre Ergebnisse zu verfeinern. Wählen Sie Filter anwenden aus, um den Bericht zu ändern. Die ausgewählten Filter werden oberhalb des Diagramms angezeigt. Sie können die Filter löschen, indem Sie den Link Zurücksetzen auswählen.
    Hinweis: Bei der Eingabe in die Suchfelder wird zwischen Groß- und Kleinschreibung unterschieden.
  5. Ändern Sie den Datumsbereich für den Bericht.
    Wählen Sie jeweils das Datum für Von und Bis aus, um die Dropdown-Listen für den Kalender anzuzeigen und die Datumsangaben für den Bericht auszuwählen. Das Anfangsdatum kann maximal 90 Tage vor dem aktuellen Datum liegen.
    Hinweis: Das End datum darf nicht nach dem aktuellen Datum liegen.
  6. Wählen Sie „Bericht ausführen “.
    Die Berichtsdaten werden aktualisiert.
  7. Optional: Erstellen Sie eine „ CSV “-Datei für den Bericht.
    1. Klicken Sie auf „ CSV generieren “.
    2. Befolgen Sie die Anweisungen unter „ CSV -Bericht herunterladen “.