Generación de un informe de actividad de Acceso adaptativo

Editar en línea

Puede generar un informe de actividad de Adaptive Access desde la IBM® Verify consola de administración.

Antes de empezar

  • Debe tener permiso administrativo o ser miembro del grupo de centro de atención al cliente para realizar esta tarea.
  • Inicie sesión en la IBM Verify consola de administración como administrador.

Procedimiento

  1. Selecciona «Informes y diagnóstico » > «Informes ».
    Se muestran los recuadros de la actividad de autenticación, uso de la aplicación, actividad de administrador y actividad de autenticación de multifactores. El recuadro Acceso adaptativo muestra la información de resumen de las últimas 24 horas.
  2. Selecciona el enlace «Ver informe» en el mosaico de Adaptive Access.
    El informe de resumen del día actual muestra:
    • El número de invocaciones totales
    • El número de intentos de riesgo muy alto
    • El número de intentos de riesgo alto
    • El número de intentos de riesgo medio
    • El número de intentos de riesgo bajo

    Se muestra una representación gráfica escalable, codificada mediante colores, del número de invocaciones para el periodo de tiempo seleccionado. Puede mover el puntero del ratón a lo largo de la línea de fechas para ver resúmenes diarios de los niveles de riesgo que se han detectado. El periodo de tiempo puede ser de hasta 90 días. La escala gráfica se basa en los conjuntos de datos y la hora se visualiza la invocación como hora local.

    También se visualiza la actividad de autenticación de usuarios individuales. Véase la tabla 1. Seleccione un suceso para ver los detalles asociados. Consulte los detalles del evento «Adaptive Access ».

  3. Después del gráfico, se muestra la actividad de autenticación de usuarios individuales.
    Tabla 1. Información sobre actividades individuales
    Información Atributos Descripciones
    Indicación de fecha y hora time La fecha y la hora que se ha producido el suceso de acceso adaptativo.
    Usuario
    Nombre de usuario
    data.username
    Reino
    data.realm
    		 Incluye
    Nombre de usuario
    El identificador único para iniciar sesión en Verify. Puede ser igual que la dirección de correo electrónico del usuario.
    Reino
    El atributo de origen de identidad que ayuda a distinguir usuarios en los diversos orígenes de identidad que tienen el mismo nombre de usuario

    Esta información se muestra en la pestaña «Usuarios y grupos > Usuarios » y en el cuadro de diálogo «Editar usuario ».

    Para los orígenes de identidad siguientes:
    • En Cloud Directory, el valor del dominio es cloudIdentityRealm.
    • IBMid; el valor del dominio es www.ibm.com.
    • SAML En el caso de «Enterprise», el valor del dominio puede ser cualquier nombre único que hayas asignado al crear la fuente de identidades.
    • OnPrem LDAP; el valor del dominio puede ser cualquier nombre único que hayas asignado al crear la fuente de identidad.
    Nivel de riesgo data.risk_level
    • Muy alto
    • Alto
    • Medio
    • Bajo
    Razón data.decision_reason Véase la tabla 2.
    Acción de política data.policy_action
    Redirigir para obtener más información
    El usuario no puede acceder a la aplicación y es redirigido a la dirección URL o al URI especificado.
    Bloquear (Alteración temporal)
    La acción de bloqueo altera temporalmente todas las demás decisiones de la política.
    MFA (Alteración temporal)
    La acción de MFA altera temporalmente todas las demás decisiones de la política.
    Permitir (Alteración temporal)
    La acción de permitir altera temporalmente todas las demás decisiones de la política.
    Bloquear y redirigir
    El usuario no puede acceder a la aplicación y es redirigido a la dirección URL o al URI especificado.
    Bloquear
    El usuario es rechazado.
    MFA siempre
    Solicite siempre MFA, incluso en la misma sesión.
    MFA por sesión
    Si aún no se ha hecho, fuerce un MFA.
    Continuar
    Se permite el acceso al usuario sin necesidad de actualizar su registro en Adaptive.
    Permitir
    El usuario está permitido.
    Política
    • data.policy_name
    • data.policy_id
    		 El nombre de la política y el ID que se aplican al suceso.
    Application data.applicationname El nombre de la aplicación a la que se accede.
    Ubicación
    • data.city
    • data.region
    • data.country
    		 La ciudad, el estado y el país donde se ha producido el suceso.
    Dispositivo
    • data.browser
    • data.os
    		 El navegador y el sistema operativo que ha utilizado el dispositivo.
    IP de cliente data.origin Dirección IP del dispositivo que ha realizado la solicitud de autenticación. Los detalles contienen un enlace X-Force IP report para evaluar el valor de amenaza de la dirección.
    Tabla 2. Fundamentos de la resolución
    Motivo de la decisión Descripción
    Acceso desde una MFA pendiente de un dispositivo Se ha solicitado una MFA (alteración temporal) a un dispositivo y la MFA no se ha completado. En la sesión siguiente en el mismo dispositivo para el mismo usuario, se vuelve a solicitar la MFA. La puntuación de riesgo sigue siendo la misma de la última sesión.
    Acceso desde un dispositivo conocido y de confianza El acceso se ha realizado con un dispositivo que ha utilizado anteriormente el usuario. Se trata de un dispositivo de confianza basado en la inteligencia de dispositivos de Trusteer.
    Acceso desde un dispositivo conocido con una nueva conexión El acceso se ha realizado con un dispositivo que ha utilizado anteriormente el usuario. No obstante, el acceso es a través de un proveedor de servicios de Internet (ISP) diferente, una ubicación geográfica diferente, o un método de conexión diferente.
    Acceso con un cambio en los atributos de dispositivo El acceso se ha realizado utilizando un nuevo dispositivo o un dispositivo conocido con un cambio significativo en sus atributos. Los atributos de hardware y software se examinan para determinar un cambio en los atributos de dispositivo.
    Acceso con un cambio de comportamiento de usuario El motor de riesgo de Trusteer aprende el comportamiento del usuario analizando los patrones de acceso. Cuando se nota un cambio en el comportamiento del usuario, se envía una alerta. Un ejemplo de un cambio de comportamiento es acceder por primera vez después del horario de trabajo.
    Acceso incluyendo la indicación de dispositivos de riesgo Los atributos de dispositivo se han determinado como arriesgados en base a la inteligencia de seguridad de Trusteer. La inteligencia de seguridad de Trusteer se expande y se actualiza constantemente en base a un profundo análisis de investigación y datos.
    Servicio de riesgo no disponible - riesgo medio aplicado El sistema no ha podido completar la evaluación de riesgo. Se ha aplicado la acción de política para el nivel de riesgo medio.
    Acceso desde un dispositivo que ha pasado MFA en la sesión actual Se ha accedido a la cuenta del usuario desde un dispositivo que ha completado con éxito la autenticación de dos factores (MFA) en la sesión actual.
    Acceso mediante el mismo dispositivo después de un error de autenticación de varios factores Se ha accedido a la cuenta del usuario desde un dispositivo que anteriormente no superó una verificación de autenticación multifactorial. Se requiere una autenticación MFA adicional para verificar la legitimidad del acceso.
    Acceso con indicación de ubicación de riesgo Se ha accedido a la cuenta del usuario desde un dispositivo nuevo cuyos datos de geolocalización se consideran de riesgo y no están asociados a la cuenta.
    Acceso sospechoso desde un dispositivo infectado con malware Se accedió a la cuenta del usuario mediante un dispositivo infectado con malware.
    Acceso con indicación de lenguaje de riesgo Se ha accedido a la cuenta del usuario desde un dispositivo nuevo cuyos atributos de idioma del navegador se consideran de riesgo y no están asociados a la cuenta.
    Acceso con indicación de un servicio de alojamiento de riesgo Se ha accedido a la cuenta del usuario desde un dispositivo nuevo que se conecta a través de un servicio de alojamiento conocido por ser peligroso y que no está asociado a la cuenta.
    Acceso con indicación de máquina virtual Se ha accedido a la cuenta del usuario mediante un dispositivo que presenta características propias del uso de una máquina virtual.
    Acceso mediante una herramienta de acceso remoto Se ha accedido a la cuenta del usuario mediante un dispositivo que se sospecha que está controlado de forma remota por otro dispositivo.

    Seleccione un suceso para ver los detalles asociados. Consulte los detalles del evento «Adaptive Access ».

  4. Opcional: Selecciona los filtros para filtrar los resultados.
    Puede buscar por
    Identity
    Las posibles selecciones de filtrado son: nombre de usuario y dominio.
    Origen
    Las posibles selecciones de filtrado son: IP de cliente y ubicación.
    Detalles de suceso
    Las selecciones de filtro son: nivel de riesgo, nombre de política, ID de política, nombre de aplicación, razón e ID de sesión.
    Puede utilizar cualquier combinación de filtros para refinar los resultados. Seleccione Aplicar filtros para modificar el informe. Los filtros seleccionados se visualizan encima del gráfico. Puede borrar los filtros seleccionando el enlace Restablecer.
    Nota: Los campos de búsqueda distinguen entre mayúsculas y minúsculas.
  5. Cambie el intervalo de fechas del informe.
    Seleccione las fechas Desde y Hasta para que se visualicen los diálogos emergentes de calendario y seleccione las fechas del informe. No puede seleccionar fechas con más de 90 días hacia atrás.
    Nota: La fecha de vencimiento no puede ser posterior a la fecha actual.
  6. Selecciona «Ejecutar informe ».
    Se actualiza la información del informe.
  7. Opcional: Generar un archivo « CSV » para el informe.
    1. Haz clic en «Generar un código de acceso ( CSV )».
    2. Sigue las instrucciones que se indican en «Descarga de un informe de CSV ».