Chargement utile des événements de risque adaptatifs

Vous pouvez utiliser les charges utiles d'événements de risque adaptatives suivantes pour déclencher des workflows asynchrones et des synchronisations pour les webhooks et les API de notification d'événements.

Tableau 1. Attributs de risque adaptatifs
Nom Type de données Descriptif
data.applicationid Chaîne L'identifiant de l'application concernée par l'événement.
data.applicationname Chaîne Nom de l'application de la cible pour les ressources : application, droit.
data.applicationtype Chaîne Type d'application de la cible pour les ressources : application, droit.
data.behavioral_anomaly Chaîne Indique si l'utilisateur présente un écart par rapport à ses habitudes de comportement habituelles ou à celles de l'organisation. Par exemple, faux.
data.behavioral_score Chaîne Indique le niveau d'anomalies de profil comportemental observées lors de l'authentification classique par nom d'utilisateur et mot de passe. Par exemple, -1.
Remarque : pour utiliser cet attribut, la fonctionnalité doit être activée et configurée sur la page de connexion Verify.
data.browser Chaîne Le navigateur signalé par Adaptive Access. Par exemple, Mobile Safari.
Remarque : peut différer du navigateur ou de l'agent utilisateur indiqué dans l'événement de base.
data.city Chaîne La ville a fait l'objet d'un rapport d'Adaptive Access. Par exemple, Cincinnati.
Remarque : peut différer de la Geo-City de l'événement de base.
data.country Chaîne Le pays concerné par le programme Adaptive Access. Par exemple, les États-Unis.
Remarque : peut différer du pays géographique indiqué dans l'événement de base.
data.csid Chaîne L'identifiant de session Adaptive Access. Par exemple, abcde1f2-gh33-44ii-5jjbk-666l77m888nn.
data.decision_decisionCode Chaîne L'élément de condition de politique d'accès final de la règle de politique d'accès qui a été satisfaite. Par exemple, TRUSTEER_OK.
data.decision_reason Chaîne Description finale de la règle et de la condition de la politique d'accès correspondante. Par exemple, Access from a known and trusted device.
data.device_authentication_status Chaîne Statut d'authentification de l'appareil au niveau du compte, sur la base des informations recueillies lors de la connexion actuelle et des connexions précédentes. Par exemple, authenticated.
data.devicetype Chaîne L'agent utilisateur du navigateur.
data.gd_id Chaîne L'identifiant global de l'appareil Adaptive Access. Par exemple, 1111ABCD2E33F44GHI55J6K777777777777777L88888888MN999P1Q2RS3333T4-12345678.
data.isp Chaîne Adaptive Access a signalé le fournisseur d'accès à Internet. Par exemple, Spectrum.
data.new_device Chaîne Indique si l'appareil est nouveau dans le compte. Par exemple, false.
data.new_location Chaîne Indique si la localisation de l'utilisateur est nouvelle dans le compte. Par exemple, false.
data.origin Chaîne Adresse IP du système à l'origine de la génération de l'événement.
data.os Chaîne Le système d'exploitation signalé par Adaptive Access. Par exemple : iOS.
data.pdxid_a2Pdx Chaîne L'identifiant de la condition de la politique d'accès qui a été satisfaite lors de l'évaluation de la politique d'accès. Par exemple, a2Pdx.
Remarque : il peut y avoir plusieurs résultats pour chaque condition de correspondance, chaque règle ou chaque règle d'exécution automatique.
data.pdxid_DefaultRule Chaîne Les valeurs par défaut des règles ne s'appliquent que si aucun identifiant de condition de la politique d'accès n'a été satisfait lors de l'évaluation de la politique d'accès.
data.pdxname_a2Pdx Chaîne Le nom de la condition de la politique d'accès qui a été satisfaite lors de l'évaluation de la politique d'accès. Par exemple, com.ibm.security.access.risk.rt.pdx.trusteer.A2PdxModuleImpl.
Remarque : il peut y avoir plusieurs résultats pour chaque condition de correspondance, chaque règle ou chaque règle d'exécution automatique.
data.pdxname_DefaultRule Chaîne Les valeurs par défaut des règles ne s'appliquent que si aucune condition de la politique d'accès n'a été satisfaite lors de l'évaluation de celle-ci.
data.pdxreason_a2Pdx Chaîne Description du motif d'une règle et d'une condition de politique d'accès correspondantes. Par exemple, XXXXX1234I Les informations relatives à l'utilisateur [ 123456A5BB ], à l'index de session [ aaaaa0b2-ccc33-44dd-5eee-666f77g888hh ] et au tenant [ mycoid.verify.myco.com ] sont fiables.
Remarque : il peut y avoir plusieurs résultats pour chaque condition de correspondance, chaque règle ou chaque règle d'exécution automatique.
data.pdxreason_DefaultRule Chaîne Les valeurs par défaut des règles ne s'appliquent que si aucune condition de la politique d'accès n'a été satisfaite lors de l'évaluation de celle-ci.
data.pdxreasoncode_a2Pdx Chaîne L'élément de condition de la règle de politique d'accès qui a été satisfait. Par exemple, TRUSTEER_OK.
Remarque : il peut y avoir plusieurs résultats pour chaque condition de correspondance, chaque règle ou chaque règle d'exécution automatique.
data.pdxreasoncode_DefaultRule Chaîne Les valeurs par défaut des règles ne s'appliquent que si aucun code de motif de condition de la politique d'accès n'a été satisfait lors de l'évaluation de la politique d'accès.
data.policy_action Chaîne L'action ayant la priorité la plus élevée parmi toutes les règles de politique d'accès correspondantes, telle qu'elle ressort de l'évaluation de la politique d'accès. Par exemple, ACTION_ALLOW.
data.policy_id Chaîne L'identifiant de la politique d'accès. Par exemple, 12345.
data.policy_name Chaîne Le nom de la politique d'accès. Par exemple, Adaptive Access.
data.policy_re_evaluation Booléen Indique si cet événement correspond à une réévaluation de la politique d'accès, par exemple à la suite d'une MFA Always vérification ou d'un Redirect for additional changement de contexte.
data.previous_successful_mfa Chaîne L'heure UTC de la dernière authentification multifactorielle (MFA) réussie effectuée sur l'appareil. Par exemple, 2023-01-27 01:36:21.
data.realm Chaîne

Source d'identité de l'utilisateur. Exemples

Répertoire Cloud - CloudIdentityRealm,

IBMid - www.ibm.com

SAML Entreprise - AzureRealm

LDAP pass-through - www.cloudsecurity.com

OIDC - www.yahoo.com

data.reason Chaîne La justification « Adaptive Access » de la décision relative à la politique d'accès. Par exemple, Access from a known and trusted device.
data.reason_id Chaîne L'identifiant de motif d'Adaptive Access correspondant à la décision relative à la politique d'accès. Par exemple, 1001.
data.recommendation Chaîne Mesure recommandée par Adaptive Access en matière de politique d'accès. Par exemple, allow_login.
data.region Chaîne Indique la région dans laquelle la demande a été formulée.
data.remote_ip Chaîne L'adresse IP signalée par Adaptive Access. Par exemple, 111.11.111.11.
Remarque : l'adresse peut différer de celle indiquée dans l'événement d'origine.
data.requestid Chaîne L'identifiant de la requête de politique d'accès qui a été mise en correspondance lors de l'évaluation de la politique d'accès.
data.risk_level Chaîne Le niveau de risque évalué par Adaptive Access repose sur la corrélation entre les valeurs et le comportement observés au cours de la session en cours et l'historique de l'utilisateur. Par exemple, LOW.
data.risk_score Chaîne Le score de risque évalué par Adaptive Access. Par exemple, 100.
data.risky_connection Chaîne Indique si la connexion de session avec le service d'hébergement est terminée. Par exemple, false.
data.risky_device Chaîne Indique si la version du navigateur utilisée dans la session présente un risque. Par exemple, false.
data.rule_id Chaîne L'identifiant de la règle de politique d'accès qui a été mise en correspondance lors de l'évaluation de la politique d'accès. Par exemple, 2222222222222.
data.rule_name Chaîne Le nom de la règle de politique d'accès qui a été identifiée lors de l'évaluation de la politique d'accès. Par exemple, Adaptive access.
data.snippet_id Chaîne L'identifiant de l'application Adaptive Access. Par exemple, 123456.
data.useragent Chaîne Adaptive Access a signalé l'agent utilisateur (navigateur). Par exemple, Mozilla/5.0 (iPhone; CPU iPhone OS 16_2 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/16.2 Mobile/15E148 Safari/604.1.
Remarque : l'User-Agent peut différer de celui devicetype de l'événement de base.
data.userid Chaîne Vérifiez l'identifiant de l'utilisateur à l'origine de la génération de l'événement.
data.username Chaîne L'identifiant unique permettant de se connecter à Verify. Il peut s'agir de l'adresse électronique de l'utilisateur.
geoip.city_name

geoio.continent_name

geoip.country_iso_code

geoip.country_name

geoip.location

geoip.region_name

Chaîne Etendu par le service d'événement avec data.origin.

Exemple

Le code suivant est un exemple de charge utile. Utilisez les API Events pour récupérer les attributs réels. Voir https://docs.verify.ibm.com/verify/reference/getallevents et https://docs.verify.ibm.com/verify/docs/pulling-event-data.

{
    "geoip": {
      "continent_name": "North America",
      "city_name": "Venice",
      "country_iso_code": "USA",
      "ip": "11.11.111.111",
      "country_name": "United States",
      "region_name": "California",
      "location": {
        "lon": "-118.4644",
        "lat": "33.9955"
      }
    },
    "data": {
      "new_device": "newdevice",
      "country": "USA",
      "risky_connection": "false",
      "policy_id": "riskpolicyid",
      "city": "Austin",
      "origin": "11.11.111.111",
      "isp": "isp",
      "userid": "userid",
      "devicetype": "devicetype",
      "new_location": "newlocale",
      "browser": "testbrowser",
      "policy_action": "testpolicy",
      "applicationid": "riskappid",
      "behavioral_anomaly": "riskbehavior",
      "risky_device": "false",
      "os": "testos",
      "risk_score": "100",
      "csid": "testcsid",
      "rule_name": "riskrule",
      "policy_name": "riskpolicy",
      "applicationname": "riskapp",
      "rule_id": "riskruleid",
      "risk_level": "LOW",
      "realm": "www.ibm.com",
      "decision_reason": "testreason",
      "region": "south",
      "username": "username"
    },
    "year": 2023,
    "event_type": "adaptive_risk",
    "month": 2,
    "indexed_at": 1675247929170,
    "tenantid": "22222222-2222-2222-2222-222222222222",
    "tenantname": "tenant name.verify.ibmcloudsecurity.com",
    "correlationid": "CORR_ID-3333333333-3333-3333-3333-333333333333",
    "id": "44444444-4444-4444-4444-444444444444",
    "time": 1675247929164,
    "day": 1
}