Nutzdaten zu Risikoereignissen

Online bearbeiten

Sie können die folgenden Payloads für Risikoereignisse verwenden, um asynchrone Workflows und Synchronisierungen für Webhooks und APIs zur Ereignisbenachrichtigung auszulösen.

Für Risikoereignisse gibt es keinen Bericht, doch der Ausgang eines Risikoereignisses entscheidet über den Erfolg oder Misserfolg eines „ SAML “- oder OIDC-SSO-Vorgangs. Außerdem löst dies ein MFA-Authentifizierungsereignis aus.

Tabelle 1. Risikoattribute
Ihren Namen	Datentyp	Beschreibung
data.applicationid	Zeichenfolge	Die Kennung der Anwendung, auf die sich das Ereignis bezog.
data.applicationname	Zeichenfolge	Der Anwendungsname des Ziels für die Ressourcen. Zum Beispiel Antrag oder Anspruch.
data.applicationtype	Zeichenfolge	Der Anwendungstyp des Ziels für die Ressourcen. Zum Beispiel Antrag oder Anspruch.
data.decision_decisionCode	Zeichenfolge	Das letzte Bedingungselement der Zugriffsrichtlinie in der Zugriffsrichtlinienregel, auf die ein Treffer erzielt wurde. Beispiel: `TRUSTEER_OK`.
data.decision_reason	Zeichenfolge	Die abschließende Begründung für die übereinstimmende Zugriffsrichtlinienregel und -bedingung.
data.devicetype	Zeichenfolge	Der User-Agent des Browsers.
data.origin	Zeichenfolge	IP-Adresse des Systems, das die Generierung des Ereignisses zur Folge hatte
data.pdxid_ <matching_rule_condition>	Zeichenfolge	Die ID der Zugangsrichtlinienbedingung, die bei der Auswertung der Zugangsrichtlinie als zutreffend erkannt wurde. Hinweis: Für jede Suchbedingung, Richtlinie oder Regel, die immer ausgeführt wird, können mehrere Treffer vorliegen.
data.pdxid_DefaultRule	Zeichenfolge	Die Standardregelwerte werden nur dann verwendet, wenn bei der Auswertung der Zugriffsrichtlinie keine Übereinstimmung mit einer Bedingungs-ID der Zugriffsrichtlinie festgestellt wurde.
data.pdxidname_ <matching_rule_condition>	Zeichenfolge	Der Name der Bedingung der Zugriffsrichtlinie, die bei der Auswertung der Zugriffsrichtlinie erfüllt wurde. Beispiel: `com.ibm.security.access.risk.rt.pdx.trusteer.A2PdxModuleImpl`. Hinweis: Für jede Suchbedingung, Richtlinie oder Regel, die immer ausgeführt wird, können mehrere Treffer vorliegen.
data.pdxname_DefaultRule	Zeichenfolge	Die Standardregelwerte werden nur dann verwendet, wenn bei der Auswertung der Zugriffsrichtlinie keine Übereinstimmung mit einem Namen einer Zugriffsrichtlinienbedingung festgestellt wurde.
data.pdxreason_ <matching_rule_condition>	Zeichenfolge	Die Begründung für eine übereinstimmende Zugriffsrichtlinienregel und -bedingung. Beispiel: XXXXX1234I Die Angaben für den Benutzer [ 123456A5BB ], den Sitzungsindex [ aaaaa0b2-ccc33-44dd-5eee-666f77g888hh ] und den Mandanten [ `mycoid.verify.myco.com` ] sind vertrauenswürdig. Hinweis: Für jede Suchbedingung, Richtlinie oder Regel, die immer ausgeführt wird, können mehrere Treffer vorliegen.
data.pdxreason_DefaultRule	Zeichenfolge	Die Standardregelwerte werden nur dann verwendet, wenn bei der Auswertung der Zugriffsrichtlinie keine Bedingung der Zugriffsrichtlinie erfüllt wurde.
data.pdxreasoncode_ <matching_rule_condition>	Zeichenfolge	Der Grundcode für die Bedingung der Zugriffsrichtlinie, der bei der Auswertung der Zugriffsrichtlinie abgeglichen wurde. Hinweis: Für jede Suchbedingung, Richtlinie oder Regel, die immer ausgeführt wird, können mehrere Treffer vorliegen.
data.pdxreasoncode_DefaultRule	Zeichenfolge	Die Standardregelwerte werden nur dann verwendet, wenn bei der Auswertung der Zugriffsrichtlinie kein Grundcode für eine Bedingung der Zugriffsrichtlinie gefunden wurde.
data.policy_action	Zeichenfolge	Die Aktion mit der höchsten Priorität aus allen übereinstimmenden Zugriffsrichtlinienregeln, die bei der Auswertung der Zugriffsrichtlinien ermittelt wurde. Beispiel: `ACTION_ALLOW`.
data.policy_id	Zeichenfolge	Die ID der Zugriffsrichtlinie. Beispiel: `12345`.
data.policy_name	Zeichenfolge	Der Name der Zugriffsrichtlinie. Beispiel: `Access Policy`.
data.policy_re_evaluation	Boolesch	Gibt an, ob es sich bei diesem Ereignis um eine Neubewertung der Zugriffsrichtlinie handelt, beispielsweise nach einer `MFA Always` Anfrage oder einem `Redirect for additional` Kontextwechsel.
data.realm	Zeichenfolge	Identitätsquelle des Benutzers. Beispiele Cloud-Verzeichnis – CloudIdentityRealm, IBMid - www.ibm.com SAML Unternehmen – AzureRealm LDAP Pass-Through – www.cloudsecurity.com OIDC – www.yahoo.com
data.requestid	Zeichenfolge	Die ID der Zugriffsrichtlinienanforderung, die bei der Auswertung der Zugriffsrichtlinie abgeglichen wurde.
data.rule_id	Zeichenfolge	Die ID der Zugriffsrichtlinienregel, die bei der Auswertung der Zugriffsrichtlinie abgeglichen wurde.
data.rule_name	Zeichenfolge	Der Name der Zugriffsrichtlinienregel, auf die bei der Auswertung der Zugriffsrichtlinie ein Treffer erzielt wurde.
data.userid	Zeichenfolge	Die Benutzer-ID des Benutzers, der das Ereignis ausgelöst hat.
data.username	Zeichenfolge	Die eindeutige Kennung für die Anmeldung bei Verify. Sie kann mit der E-Mail-Adresse des Benutzers übereinstimmen.
geoip.city_name geoio.continent_name geoip.country_iso_code geoip.country_name geoip.location geoip.region_name	Zeichenfolge	Vom Ereignisservice unter Verwendung von `data.origin` erweitert.

Beispiel

Der folgende Code ist eine Beispiel-Nutzlast. Verwenden Sie die Events-APIs, um die tatsächlichen Attribute abzurufen. Siehe https://docs.verify.ibm.com/verify/reference/getallevents und https://docs.verify.ibm.com/verify/docs/pulling-event-data.

{
    "geoip": {
      "continent_name": "North America",
      "city_name": "Austin",
      "country_iso_code": "USA",
      "ip": "111.11.11.1",
      "country_name": "United States",
      "region_name": "Texas",
      "location": {
        "lon": "-97.7207",
        "lat": "30.4293"
      }
    },
    "data": {
      "policy_id": "2222222",
      "decision_decisionCode": "DEFAULT_RULE",
      "rule_name": "Default rule",
      "origin": "111.11.11.1",
      "pdxid_DefaultRule": "DefaultRule",
      "policy_name": "Allow access (Custom)",
      "userid": "3333333333",
      "devicetype": "Saturn/5",
      "pdxname_DefaultRule": "DefaultRuleProcessor PDX",
      "rule_id": "4444444444444",
      "pdxreasoncode_DefaultRule": "DEFAULT_RULE",
      "pdxreason_DefaultRule": "CSIBI0031I The policy's default rules for user [ 3333333333 ] and tenant [ tenant name.verify.ibmcloudsecurity.com ] triggered action [ ACTION_ALLOW ]",
      "requestid": "55555555-5555-5555-5555-555555555555",
      "decision_reason": "CSIBI0031I The policy's default rules for user [ 3333333333 ] and tenant [ tenant name.verify.ibmcloudsecurity.com ] triggered action [ ACTION_ALLOW ]",
      "realm": "cloudIdentityRealm",
      "policy_action": "ACTION_ALLOW",
      "username": "email address"
    },
    "year": 2023,
    "event_type": "risk",
    "month": 1,
    "indexed_at": 1674820363305,
    "tenantid": "66666666-6666-6666-6666-666666666666",
    "tenantname": "tenant name.verify.ibmcloudsecurity.com",
    "correlationid": "CORR_ID-7777777777-7777-7777-7777-777777777777",
    "id": "88888888-8888-8888-8888-888888888888",
    "time": 1674820362822,
    "day": 27
}