Données relatives aux événements à risque

Vous pouvez utiliser les charges utiles d'événements de risque suivantes pour déclencher des workflows asynchrones et des synchronisations pour les webhooks et les API de notification d'événements.

Les événements liés aux risques ne font pas l'objet d'un rapport, mais leur issue détermine la réussite ou l'échec d'une opération de connexion unique (SSO) via l' SAML e ou l'OIDC. Cela déclenche également un événement d'authentification MFA.
Tableau 1. Caractéristiques des risques
Nom Type de données Descriptif
data.applicationid Chaîne L'identifiant de l'application concernée par l'événement.
data.applicationname Chaîne Le nom de l'application de la cible pour les ressources. Par exemple, une demande ou un droit.
data.applicationtype Chaîne Le type d'application de la cible pour les ressources. Par exemple, une demande ou un droit.
data.decision_decisionCode Chaîne L'élément de condition de politique d'accès final de la règle de politique d'accès qui a été mise en correspondance. Par exemple, TRUSTEER_OK.
data.decision_reason Chaîne Description finale de la règle et de la condition de la politique d'accès correspondante.
data.devicetype Chaîne L'agent utilisateur du navigateur.
data.origin Chaîne Adresse IP du système à l'origine de la génération de l'événement.
data.pdxid_ <condition_de_correspondance> Chaîne L'identifiant de la condition de la politique d'accès qui a été satisfaite lors de l'évaluation de la politique d'accès.
Remarque : il peut y avoir plusieurs résultats pour chaque condition de correspondance, chaque règle ou chaque règle d'exécution automatique.
data.pdxid_DefaultRule Chaîne Les valeurs par défaut des règles ne s'appliquent que si aucun identifiant de condition de politique d'accès n'a été satisfait lors de l'évaluation de la politique d'accès.
data.pdxidname_ <condition_de_correspondance> Chaîne Le nom de la condition de la politique d'accès qui a été satisfaite lors de l'évaluation de la politique d'accès. Par exemple, com.ibm.security.access.risk.rt.pdx.trusteer.A2PdxModuleImpl.
Remarque : il peut y avoir plusieurs résultats pour chaque condition de correspondance, chaque règle ou chaque règle d'exécution automatique.
data.pdxname_DefaultRule Chaîne Les valeurs par défaut des règles ne s'appliquent que si aucune condition de la politique d'accès n'a été satisfaite lors de l'évaluation de celle-ci.
data.pdxreason_ <condition_de_correspondance> Chaîne Description du motif d'une règle et d'une condition de politique d'accès correspondantes. Par exemple, XXXXX1234I Les informations relatives à l'utilisateur [ 123456A5BB ], à l'index de session [ aaaaa0b2-ccc33-44dd-5eee-666f77g888hh ] et au tenant [ mycoid.verify.myco.com ] sont considérées comme fiables.
Remarque : il peut y avoir plusieurs résultats pour chaque condition de correspondance, chaque règle ou chaque règle d'exécution automatique.
data.pdxreason_DefaultRule Chaîne Les valeurs par défaut des règles ne s'appliquent que si aucune condition de la politique d'accès n'a été satisfaite lors de l'évaluation de celle-ci.
data.pdxreasoncode_ <condition_de_correspondance> Chaîne Le code de motif de la condition de la politique d'accès qui a été satisfait lors de l'évaluation de la politique d'accès.
Remarque : il peut y avoir plusieurs résultats pour chaque condition de correspondance, chaque règle ou chaque règle d'exécution automatique.
data.pdxreasoncode_DefaultRule Chaîne Les valeurs par défaut des règles ne s'appliquent que si aucun code de motif de condition de la politique d'accès n'a été identifié lors de l'évaluation de la politique d'accès.
data.policy_action Chaîne L'action ayant la priorité la plus élevée parmi toutes les règles de politique d'accès correspondantes, telle qu'elle ressort de l'évaluation de la politique d'accès. Par exemple, ACTION_ALLOW.
data.policy_id Chaîne L'identifiant de la politique d'accès. Par exemple, 12345.
data.policy_name Chaîne Le nom de la politique d'accès. Par exemple, Access Policy.
data.policy_re_evaluation Booléen Indique si cet événement correspond à une réévaluation de la politique d'accès, par exemple à la suite d'une MFA Always authentification ou d'un Redirect for additional changement de contexte.
data.realm Chaîne

Source d'identité de l'utilisateur. Exemples

Répertoire Cloud - CloudIdentityRealm,

IBMid - www.ibm.com

SAML Entreprise - AzureRealm

LDAP pass-through - www.cloudsecurity.com

OIDC - www.yahoo.com

data.requestid Chaîne L'identifiant de la requête de politique d'accès qui a été mise en correspondance lors de l'évaluation de la politique d'accès.
data.rule_id Chaîne L'identifiant de la règle de politique d'accès qui a été trouvée lors de l'évaluation de la politique d'accès.
data.rule_name Chaîne Le nom de la règle de politique d'accès qui a été identifiée lors de l'évaluation de la politique d'accès.
data.userid Chaîne Vérifiez l'identifiant de l'utilisateur à l'origine de la génération de l'événement.
data.username Chaîne L'identifiant unique permettant de se connecter à Verify. Il peut s'agir de l'adresse électronique de l'utilisateur.
geoip.city_name

geoio.continent_name

geoip.country_iso_code

geoip.country_name

geoip.location

geoip.region_name

Chaîne Etendu par le service d'événement avec data.origin.

Exemple

Le code suivant est un exemple de charge utile. Utilisez les API Events pour récupérer les attributs réels. Voir https://docs.verify.ibm.com/verify/reference/getallevents et https://docs.verify.ibm.com/verify/docs/pulling-event-data.

{
    "geoip": {
      "continent_name": "North America",
      "city_name": "Austin",
      "country_iso_code": "USA",
      "ip": "111.11.11.1",
      "country_name": "United States",
      "region_name": "Texas",
      "location": {
        "lon": "-97.7207",
        "lat": "30.4293"
      }
    },
    "data": {
      "policy_id": "2222222",
      "decision_decisionCode": "DEFAULT_RULE",
      "rule_name": "Default rule",
      "origin": "111.11.11.1",
      "pdxid_DefaultRule": "DefaultRule",
      "policy_name": "Allow access (Custom)",
      "userid": "3333333333",
      "devicetype": "Saturn/5",
      "pdxname_DefaultRule": "DefaultRuleProcessor PDX",
      "rule_id": "4444444444444",
      "pdxreasoncode_DefaultRule": "DEFAULT_RULE",
      "pdxreason_DefaultRule": "CSIBI0031I The policy's default rules for user [ 3333333333 ] and tenant [ tenant name.verify.ibmcloudsecurity.com ] triggered action [ ACTION_ALLOW ]",
      "requestid": "55555555-5555-5555-5555-555555555555",
      "decision_reason": "CSIBI0031I The policy's default rules for user [ 3333333333 ] and tenant [ tenant name.verify.ibmcloudsecurity.com ] triggered action [ ACTION_ALLOW ]",
      "realm": "cloudIdentityRealm",
      "policy_action": "ACTION_ALLOW",
      "username": "email address"
    },
    "year": 2023,
    "event_type": "risk",
    "month": 1,
    "indexed_at": 1674820363305,
    "tenantid": "66666666-6666-6666-6666-666666666666",
    "tenantname": "tenant name.verify.ibmcloudsecurity.com",
    "correlationid": "CORR_ID-7777777777-7777-7777-7777-777777777777",
    "id": "88888888-8888-8888-8888-888888888888",
    "time": 1674820362822,
    "day": 27
}