Nutzdaten für adaptive Risikoereignisse
Sie können die folgenden Payloads für adaptive Risikoereignisse verwenden, um asynchrone Workflows und Synchronisierungen für Webhooks und APIs zur Ereignisbenachrichtigung auszulösen.
| Ihren Namen | Datentyp | Beschreibung |
|---|---|---|
| data.applicationid | Zeichenfolge | Die Kennung der Anwendung, auf die sich das Ereignis bezog. |
| data.applicationname | Zeichenfolge | Der Anwendungsname des Ziels für die Ressourcen: Anwendung, Berechtigung. |
| data.applicationtype | Zeichenfolge | Der Anwendungstyp des Ziels für die Ressourcen: Anwendung, Berechtigung. |
| data.behavioral_anomaly | Zeichenfolge | Gibt an, ob das Verhalten des Benutzers von den üblichen Verhaltensmustern des Benutzers oder der Organisation abweicht. Zum Beispiel: falsch. |
| data.behavioral_score | Zeichenfolge | Gibt den Grad der Anomalien bei der Verhaltensanalyse an, die bei der herkömmlichen Authentifizierung mit Benutzername und Passwort auftreten. Beispiel: -1.Hinweis: Um dieses Attribut nutzen zu können, muss die Funktion auf der Anmeldeseite von „Verify“ aktiviert und konfiguriert sein.
|
| data.browser | Zeichenfolge | Der von Adaptive Access gemeldete Browser. Zum Beispiel Mobile Safari. Hinweis: Kann vom Browser oder User-Agent im Basisereignis abweichen.
|
| data.city | Zeichenfolge | „Adaptive Access“ meldete die Stadt. Zum Beispiel Cincinnati. Hinweis: Kann von der Geo-City im Basis-Event abweichen.
|
| data.country | Zeichenfolge | Das von Adaptive Access gemeldete Land. Zum Beispiel die USA. Hinweis: Kann vom Geo-Land im Basisereignis abweichen.
|
| data.csid | Zeichenfolge | Die Adaptive-Access-Sitzungs-ID. Beispiel: abcde1f2-gh33-44ii-5jjbk-666l77m888nn. |
| data.decision_decisionCode | Zeichenfolge | Das letzte Bedingungselement der Zugriffsrichtlinie in der Zugriffsrichtlinienregel, auf die ein Treffer erzielt wurde. Beispiel: TRUSTEER_OK. |
| data.decision_reason | Zeichenfolge | Die abschließende Begründung für die übereinstimmende Zugriffsrichtlinienregel und -bedingung. Beispiel: Access from a known and trusted device. |
| data.device_authentication_status | Zeichenfolge | Der Authentifizierungsstatus des Geräts im Rahmen des Kontos, basierend auf den bei der aktuellen und den vorherigen Anmeldungen empfangenen Informationen. Beispiel: authenticated. |
| data.devicetype | Zeichenfolge | Der User-Agent des Browsers. |
| data.gd_id | Zeichenfolge | Die globale Geräte-ID von Adaptive Access. Beispiel: 1111ABCD2E33F44GHI55J6K777777777777777L88888888MN999P1Q2RS3333T4-12345678. |
| data.isp | Zeichenfolge | Adaptive Access gab den Internetdienstanbieter bekannt. Zum Beispiel Spectrum. |
| data.new_device | Zeichenfolge | Gibt an, ob das Gerät neu im Konto ist. Beispiel: false. |
| data.new_location | Zeichenfolge | Gibt an, ob der Standort des Benutzers neu im Konto ist. Beispiel: false. |
| data.origin | Zeichenfolge | IP-Adresse des Systems, das die Generierung des Ereignisses zur Folge hatte |
| data.os | Zeichenfolge | Das von Adaptive Access gemeldete Betriebssystem. Zum Beispiel iOS. |
| data.pdxid_a2Pdx | Zeichenfolge | Die ID der Zugangsrichtlinienbedingung, die bei der Auswertung der Zugangsrichtlinie als zutreffend erkannt wurde. Beispiel: a2Pdx.Hinweis: Für jede Suchbedingung, Richtlinie oder Regel zum ständigen Ausführen können mehrere Treffer vorliegen.
|
| data.pdxid_DefaultRule | Zeichenfolge | Die Standardwerte der Regeln gelten nur, wenn bei der Auswertung der Zugriffsrichtlinie keine Bedingungs-ID einer Zugriffsrichtlinie gefunden wurde. |
| data.pdxname_a2Pdx | Zeichenfolge | Der Name der Bedingung der Zugriffsrichtlinie, die bei der Auswertung der Zugriffsrichtlinie erfüllt wurde. Beispiel: com.ibm.security.access.risk.rt.pdx.trusteer.A2PdxModuleImpl.Hinweis: Für jede Suchbedingung, Richtlinie oder Regel zum ständigen Ausführen können mehrere Treffer vorliegen.
|
| data.pdxname_DefaultRule | Zeichenfolge | Die Standardwerte der Regeln gelten nur, wenn bei der Auswertung der Zugriffsrichtlinie keine Übereinstimmung mit dem Namen einer Zugriffsrichtlinienbedingung festgestellt wurde. |
| data.pdxreason_a2Pdx | Zeichenfolge | Die Begründung für eine übereinstimmende Zugriffsrichtlinienregel und -bedingung. Beispiel: XXXXX1234I Die Angaben zum Benutzer [ 123456A5BB ], zum Sitzungsindex [ aaaaa0b2-ccc33-44dd-5eee-666f77g888hh ] und zum Mandanten [ mycoid.verify.myco.com ] sind vertrauenswürdig.Hinweis: Für jede Suchbedingung, Richtlinie oder Regel zum ständigen Ausführen können mehrere Treffer vorliegen.
|
| data.pdxreason_DefaultRule | Zeichenfolge | Die Standardregelwerte werden nur dann verwendet, wenn bei der Auswertung der Zugriffsrichtlinie keine Bedingung der Zugriffsrichtlinie erfüllt wurde. |
| data.pdxreasoncode_a2Pdx | Zeichenfolge | Das Bedingungselement der Zugriffsrichtlinie in der Zugriffsrichtlinienregel, auf die die Übereinstimmung erfolgte. Beispiel: TRUSTEER_OK.Hinweis: Für jede Suchbedingung, Richtlinie oder Regel zum ständigen Ausführen können mehrere Treffer vorliegen.
|
| data.pdxreasoncode_DefaultRule | Zeichenfolge | Die Standardregelwerte werden nur dann verwendet, wenn bei der Auswertung der Zugriffsrichtlinie kein Grundcode für eine Bedingung der Zugriffsrichtlinie gefunden wurde. |
| data.policy_action | Zeichenfolge | Die Aktion mit der höchsten Priorität aus allen übereinstimmenden Zugriffsrichtlinienregeln, die bei der Auswertung der Zugriffsrichtlinien ermittelt wurde. Beispiel: ACTION_ALLOW. |
| data.policy_id | Zeichenfolge | Die ID der Zugriffsrichtlinie. Beispiel: 12345. |
| data.policy_name | Zeichenfolge | Der Name der Zugriffsrichtlinie. Beispiel: Adaptive Access. |
| data.policy_re_evaluation | Boolesch | Gibt an, ob es sich bei diesem Ereignis um eine Neubewertung der Zugriffsrichtlinie handelt, beispielsweise nach einer MFA Always Anfrage oder einem Redirect for additional Kontextwechsel. |
| data.previous_successful_mfa | Zeichenfolge | Die UTC-Zeit der letzten erfolgreichen MFA, die auf dem Gerät durchgeführt wurde. Beispiel: 2023-01-27 01:36:21. |
| data.realm | Zeichenfolge | Identitätsquelle des Benutzers. Beispiele Cloud-Verzeichnis – CloudIdentityRealm, IBMid - www.ibm.com SAML Unternehmen – AzureRealm LDAP Pass-Through – www.cloudsecurity.com OIDC – www.yahoo.com |
| data.reason | Zeichenfolge | Der Grund für die Entscheidung bezüglich der Zugriffsrichtlinie im Rahmen von Adaptive Access. Beispiel: Access from a known and trusted device. |
| data.reason_id | Zeichenfolge | Die Adaptive-Access-Grund-ID für die Entscheidung zur Zugriffsrichtlinie. Beispiel: 1001. |
| data.recommendation | Zeichenfolge | Die von Adaptive Access empfohlene Maßnahme zur Zugriffsrichtlinie. Beispiel: allow_login. |
| data.region | Zeichenfolge | Gibt die Region an, in der die Anfrage gestellt wurde. |
| data.remote_ip | Zeichenfolge | Die von Adaptive Access gemeldete IP-Adresse. Beispiel: 111.11.111.11.Hinweis: Die Adresse kann von der im Basisereignis angegebenen Adresse abweichen.
|
| data.requestid | Zeichenfolge | Die ID der Zugriffsrichtlinienanforderung, die bei der Auswertung der Zugriffsrichtlinie abgeglichen wurde. |
| data.risk_level | Zeichenfolge | Der von Adaptive Access ermittelte Risikograd basiert auf der Korrelation zwischen den Werten und dem Verhalten, die in der aktuellen Sitzung beobachtet werden, und dem bisherigen Nutzungsverlauf des Benutzers. Beispiel: LOW. |
| data.risk_score | Zeichenfolge | Der von Adaptive Access ermittelte Risikowert. Beispiel: 100. |
| data.risky_connection | Zeichenfolge | Gibt an, ob die Sitzungsverbindung zum Hosting-Dienst beendet wurde. Beispiel: false. |
| data.risky_device | Zeichenfolge | Gibt an, ob die in der Sitzung verwendete Browserversion ein Sicherheitsrisiko darstellt. Beispiel: false. |
| data.rule_id | Zeichenfolge | Die ID der Zugriffsrichtlinienregel, die bei der Auswertung der Zugriffsrichtlinie abgeglichen wurde. Beispiel: 2222222222222. |
| data.rule_name | Zeichenfolge | Der Name der Zugriffsrichtlinienregel, auf die bei der Auswertung der Zugriffsrichtlinie ein Treffer erzielt wurde. Beispiel: Adaptive access. |
| data.snippet_id | Zeichenfolge | Die Anwendungs-ID von Adaptive Access. Beispiel: 123456. |
| data.useragent | Zeichenfolge | Der von Adaptive Access gemeldete User-Agent (Browser). Beispiel: Mozilla/5.0 (iPhone; CPU iPhone OS 16_2 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/16.2 Mobile/15E148 Safari/604.1.Hinweis: Der User-Agent kann von dem
devicetype im Basisereignis angegebenen abweichen. |
| data.userid | Zeichenfolge | Die Benutzer-ID des Benutzers, der das Ereignis ausgelöst hat. |
| data.username | Zeichenfolge | Die eindeutige Kennung für die Anmeldung bei Verify. Sie kann mit der E-Mail-Adresse des Benutzers übereinstimmen. |
| geoip.city_name geoio.continent_name geoip.country_iso_code geoip.country_name geoip.location geoip.region_name |
Zeichenfolge | Vom Ereignisservice unter Verwendung von data.origin
erweitert. |
Beispiel
Der folgende Code ist ein Beispiel für eine Nutzlast. Verwenden Sie die Events-APIs, um die tatsächlichen Attribute abzurufen. Siehe https://docs.verify.ibm.com/verify/reference/getallevents und https://docs.verify.ibm.com/verify/docs/pulling-event-data.
{
"geoip": {
"continent_name": "North America",
"city_name": "Venice",
"country_iso_code": "USA",
"ip": "11.11.111.111",
"country_name": "United States",
"region_name": "California",
"location": {
"lon": "-118.4644",
"lat": "33.9955"
}
},
"data": {
"new_device": "newdevice",
"country": "USA",
"risky_connection": "false",
"policy_id": "riskpolicyid",
"city": "Austin",
"origin": "11.11.111.111",
"isp": "isp",
"userid": "userid",
"devicetype": "devicetype",
"new_location": "newlocale",
"browser": "testbrowser",
"policy_action": "testpolicy",
"applicationid": "riskappid",
"behavioral_anomaly": "riskbehavior",
"risky_device": "false",
"os": "testos",
"risk_score": "100",
"csid": "testcsid",
"rule_name": "riskrule",
"policy_name": "riskpolicy",
"applicationname": "riskapp",
"rule_id": "riskruleid",
"risk_level": "LOW",
"realm": "www.ibm.com",
"decision_reason": "testreason",
"region": "south",
"username": "username"
},
"year": 2023,
"event_type": "adaptive_risk",
"month": 2,
"indexed_at": 1675247929170,
"tenantid": "22222222-2222-2222-2222-222222222222",
"tenantname": "tenant name.verify.ibmcloudsecurity.com",
"correlationid": "CORR_ID-3333333333-3333-3333-3333-333333333333",
"id": "44444444-4444-4444-4444-444444444444",
"time": 1675247929164,
"day": 1
}