Chargement utile des événements de risque adaptatifs
Vous pouvez utiliser les charges utiles d'événements de risque adaptatives suivantes pour déclencher des workflows asynchrones et des synchronisations pour les webhooks et les API de notification d'événements.
| Nom | Type de données | Descriptif |
|---|---|---|
| data.applicationid | Chaîne | L'identifiant de l'application concernée par l'événement. |
| data.applicationname | Chaîne | Nom de l'application de la cible pour les ressources : application, droit. |
| data.applicationtype | Chaîne | Type d'application de la cible pour les ressources : application, droit. |
| data.behavioral_anomaly | Chaîne | Indique si l'utilisateur présente un écart par rapport à ses habitudes de comportement habituelles ou à celles de l'organisation. Par exemple, faux. |
| data.behavioral_score | Chaîne | Indique le niveau d'anomalies de profil comportemental observées lors de l'authentification classique par nom d'utilisateur et mot de passe. Par exemple, -1.Remarque : pour utiliser cet attribut, la fonctionnalité doit être activée et configurée sur la page de connexion Verify.
|
| data.browser | Chaîne | Le navigateur signalé par Adaptive Access. Par exemple, Mobile Safari. Remarque : peut différer du navigateur ou de l'agent utilisateur indiqué dans l'événement de base.
|
| data.city | Chaîne | La ville a fait l'objet d'un rapport d'Adaptive Access. Par exemple, Cincinnati. Remarque : peut différer de la Geo-City de l'événement de base.
|
| data.country | Chaîne | Le pays concerné par le programme Adaptive Access. Par exemple, les États-Unis. Remarque : peut différer du pays géographique indiqué dans l'événement de base.
|
| data.csid | Chaîne | L'identifiant de session Adaptive Access. Par exemple, abcde1f2-gh33-44ii-5jjbk-666l77m888nn. |
| data.decision_decisionCode | Chaîne | L'élément de condition de politique d'accès final de la règle de politique d'accès qui a été satisfaite. Par exemple, TRUSTEER_OK. |
| data.decision_reason | Chaîne | Description finale de la règle et de la condition de la politique d'accès correspondante. Par exemple, Access from a known and trusted device. |
| data.device_authentication_status | Chaîne | Statut d'authentification de l'appareil au niveau du compte, sur la base des informations recueillies lors de la connexion actuelle et des connexions précédentes. Par exemple, authenticated. |
| data.devicetype | Chaîne | L'agent utilisateur du navigateur. |
| data.gd_id | Chaîne | L'identifiant global de l'appareil Adaptive Access. Par exemple, 1111ABCD2E33F44GHI55J6K777777777777777L88888888MN999P1Q2RS3333T4-12345678. |
| data.isp | Chaîne | Adaptive Access a signalé le fournisseur d'accès à Internet. Par exemple, Spectrum. |
| data.new_device | Chaîne | Indique si l'appareil est nouveau dans le compte. Par exemple, false. |
| data.new_location | Chaîne | Indique si la localisation de l'utilisateur est nouvelle dans le compte. Par exemple, false. |
| data.origin | Chaîne | Adresse IP du système à l'origine de la génération de l'événement. |
| data.os | Chaîne | Le système d'exploitation signalé par Adaptive Access. Par exemple : iOS. |
| data.pdxid_a2Pdx | Chaîne | L'identifiant de la condition de la politique d'accès qui a été satisfaite lors de l'évaluation de la politique d'accès. Par exemple, a2Pdx.Remarque : il peut y avoir plusieurs résultats pour chaque condition de correspondance, chaque règle ou chaque règle d'exécution automatique.
|
| data.pdxid_DefaultRule | Chaîne | Les valeurs par défaut des règles ne s'appliquent que si aucun identifiant de condition de la politique d'accès n'a été satisfait lors de l'évaluation de la politique d'accès. |
| data.pdxname_a2Pdx | Chaîne | Le nom de la condition de la politique d'accès qui a été satisfaite lors de l'évaluation de la politique d'accès. Par exemple, com.ibm.security.access.risk.rt.pdx.trusteer.A2PdxModuleImpl.Remarque : il peut y avoir plusieurs résultats pour chaque condition de correspondance, chaque règle ou chaque règle d'exécution automatique.
|
| data.pdxname_DefaultRule | Chaîne | Les valeurs par défaut des règles ne s'appliquent que si aucune condition de la politique d'accès n'a été satisfaite lors de l'évaluation de celle-ci. |
| data.pdxreason_a2Pdx | Chaîne | Description du motif d'une règle et d'une condition de politique d'accès correspondantes. Par exemple, XXXXX1234I Les informations relatives à l'utilisateur [ 123456A5BB ], à l'index de session [ aaaaa0b2-ccc33-44dd-5eee-666f77g888hh ] et au tenant [ mycoid.verify.myco.com ] sont fiables.Remarque : il peut y avoir plusieurs résultats pour chaque condition de correspondance, chaque règle ou chaque règle d'exécution automatique.
|
| data.pdxreason_DefaultRule | Chaîne | Les valeurs par défaut des règles ne s'appliquent que si aucune condition de la politique d'accès n'a été satisfaite lors de l'évaluation de celle-ci. |
| data.pdxreasoncode_a2Pdx | Chaîne | L'élément de condition de la règle de politique d'accès qui a été satisfait. Par exemple, TRUSTEER_OK.Remarque : il peut y avoir plusieurs résultats pour chaque condition de correspondance, chaque règle ou chaque règle d'exécution automatique.
|
| data.pdxreasoncode_DefaultRule | Chaîne | Les valeurs par défaut des règles ne s'appliquent que si aucun code de motif de condition de la politique d'accès n'a été satisfait lors de l'évaluation de la politique d'accès. |
| data.policy_action | Chaîne | L'action ayant la priorité la plus élevée parmi toutes les règles de politique d'accès correspondantes, telle qu'elle ressort de l'évaluation de la politique d'accès. Par exemple, ACTION_ALLOW. |
| data.policy_id | Chaîne | L'identifiant de la politique d'accès. Par exemple, 12345. |
| data.policy_name | Chaîne | Le nom de la politique d'accès. Par exemple, Adaptive Access. |
| data.policy_re_evaluation | Booléen | Indique si cet événement correspond à une réévaluation de la politique d'accès, par exemple à la suite d'une MFA Always vérification ou d'un Redirect for additional changement de contexte. |
| data.previous_successful_mfa | Chaîne | L'heure UTC de la dernière authentification multifactorielle (MFA) réussie effectuée sur l'appareil. Par exemple, 2023-01-27 01:36:21. |
| data.realm | Chaîne | Source d'identité de l'utilisateur. Exemples Répertoire Cloud - CloudIdentityRealm, IBMid - www.ibm.com SAML Entreprise - AzureRealm LDAP pass-through - www.cloudsecurity.com OIDC - www.yahoo.com |
| data.reason | Chaîne | La justification « Adaptive Access » de la décision relative à la politique d'accès. Par exemple, Access from a known and trusted device. |
| data.reason_id | Chaîne | L'identifiant de motif d'Adaptive Access correspondant à la décision relative à la politique d'accès. Par exemple, 1001. |
| data.recommendation | Chaîne | Mesure recommandée par Adaptive Access en matière de politique d'accès. Par exemple, allow_login. |
| data.region | Chaîne | Indique la région dans laquelle la demande a été formulée. |
| data.remote_ip | Chaîne | L'adresse IP signalée par Adaptive Access. Par exemple, 111.11.111.11.Remarque : l'adresse peut différer de celle indiquée dans l'événement d'origine.
|
| data.requestid | Chaîne | L'identifiant de la requête de politique d'accès qui a été mise en correspondance lors de l'évaluation de la politique d'accès. |
| data.risk_level | Chaîne | Le niveau de risque évalué par Adaptive Access repose sur la corrélation entre les valeurs et le comportement observés au cours de la session en cours et l'historique de l'utilisateur. Par exemple, LOW. |
| data.risk_score | Chaîne | Le score de risque évalué par Adaptive Access. Par exemple, 100. |
| data.risky_connection | Chaîne | Indique si la connexion de session avec le service d'hébergement est terminée. Par exemple, false. |
| data.risky_device | Chaîne | Indique si la version du navigateur utilisée dans la session présente un risque. Par exemple, false. |
| data.rule_id | Chaîne | L'identifiant de la règle de politique d'accès qui a été mise en correspondance lors de l'évaluation de la politique d'accès. Par exemple, 2222222222222. |
| data.rule_name | Chaîne | Le nom de la règle de politique d'accès qui a été identifiée lors de l'évaluation de la politique d'accès. Par exemple, Adaptive access. |
| data.snippet_id | Chaîne | L'identifiant de l'application Adaptive Access. Par exemple, 123456. |
| data.useragent | Chaîne | Adaptive Access a signalé l'agent utilisateur (navigateur). Par exemple, Mozilla/5.0 (iPhone; CPU iPhone OS 16_2 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/16.2 Mobile/15E148 Safari/604.1.Remarque : l'User-Agent peut différer de celui
devicetype de l'événement de base. |
| data.userid | Chaîne | Vérifiez l'identifiant de l'utilisateur à l'origine de la génération de l'événement. |
| data.username | Chaîne | L'identifiant unique permettant de se connecter à Verify. Il peut s'agir de l'adresse électronique de l'utilisateur. |
| geoip.city_name geoio.continent_name geoip.country_iso_code geoip.country_name geoip.location geoip.region_name |
Chaîne | Etendu par le service d'événement avec data.origin. |
Exemple
Le code suivant est un exemple de charge utile. Utilisez les API Events pour récupérer les attributs réels. Voir https://docs.verify.ibm.com/verify/reference/getallevents et https://docs.verify.ibm.com/verify/docs/pulling-event-data.
{
"geoip": {
"continent_name": "North America",
"city_name": "Venice",
"country_iso_code": "USA",
"ip": "11.11.111.111",
"country_name": "United States",
"region_name": "California",
"location": {
"lon": "-118.4644",
"lat": "33.9955"
}
},
"data": {
"new_device": "newdevice",
"country": "USA",
"risky_connection": "false",
"policy_id": "riskpolicyid",
"city": "Austin",
"origin": "11.11.111.111",
"isp": "isp",
"userid": "userid",
"devicetype": "devicetype",
"new_location": "newlocale",
"browser": "testbrowser",
"policy_action": "testpolicy",
"applicationid": "riskappid",
"behavioral_anomaly": "riskbehavior",
"risky_device": "false",
"os": "testos",
"risk_score": "100",
"csid": "testcsid",
"rule_name": "riskrule",
"policy_name": "riskpolicy",
"applicationname": "riskapp",
"rule_id": "riskruleid",
"risk_level": "LOW",
"realm": "www.ibm.com",
"decision_reason": "testreason",
"region": "south",
"username": "username"
},
"year": 2023,
"event_type": "adaptive_risk",
"month": 2,
"indexed_at": 1675247929170,
"tenantid": "22222222-2222-2222-2222-222222222222",
"tenantname": "tenant name.verify.ibmcloudsecurity.com",
"correlationid": "CORR_ID-3333333333-3333-3333-3333-333333333333",
"id": "44444444-4444-4444-4444-444444444444",
"time": 1675247929164,
"day": 1
}