Données relatives aux événements à risque
Vous pouvez utiliser les charges utiles d'événements de risque suivantes pour déclencher des workflows asynchrones et des synchronisations pour les webhooks et les API de notification d'événements.
| Nom | Type de données | Descriptif |
|---|---|---|
| data.applicationid | Chaîne | L'identifiant de l'application concernée par l'événement. |
| data.applicationname | Chaîne | Le nom de l'application de la cible pour les ressources. Par exemple, une demande ou un droit. |
| data.applicationtype | Chaîne | Le type d'application de la cible pour les ressources. Par exemple, une demande ou un droit. |
| data.decision_decisionCode | Chaîne | L'élément de condition de politique d'accès final de la règle de politique d'accès qui a été mise en correspondance. Par exemple, TRUSTEER_OK. |
| data.decision_reason | Chaîne | Description finale de la règle et de la condition de la politique d'accès correspondante. |
| data.devicetype | Chaîne | L'agent utilisateur du navigateur. |
| data.origin | Chaîne | Adresse IP du système à l'origine de la génération de l'événement. |
| data.pdxid_ <condition_de_correspondance> | Chaîne | L'identifiant de la condition de la politique d'accès qui a été satisfaite lors de l'évaluation de la politique d'accès. Remarque : il peut y avoir plusieurs résultats pour chaque condition de correspondance, chaque règle ou chaque règle d'exécution automatique. |
| data.pdxid_DefaultRule | Chaîne | Les valeurs par défaut des règles ne s'appliquent que si aucun identifiant de condition de politique d'accès n'a été satisfait lors de l'évaluation de la politique d'accès. |
| data.pdxidname_ <condition_de_correspondance> | Chaîne | Le nom de la condition de la politique d'accès qui a été satisfaite lors de l'évaluation de la politique d'accès. Par exemple, com.ibm.security.access.risk.rt.pdx.trusteer.A2PdxModuleImpl.Remarque : il peut y avoir plusieurs résultats pour chaque condition de correspondance, chaque règle ou chaque règle d'exécution automatique. |
| data.pdxname_DefaultRule | Chaîne | Les valeurs par défaut des règles ne s'appliquent que si aucune condition de la politique d'accès n'a été satisfaite lors de l'évaluation de celle-ci. |
| data.pdxreason_ <condition_de_correspondance> | Chaîne | Description du motif d'une règle et d'une condition de politique d'accès correspondantes. Par exemple, XXXXX1234I Les informations relatives à l'utilisateur [ 123456A5BB ], à l'index de session [ aaaaa0b2-ccc33-44dd-5eee-666f77g888hh ] et au tenant [ mycoid.verify.myco.com ] sont considérées comme fiables.Remarque : il peut y avoir plusieurs résultats pour chaque condition de correspondance, chaque règle ou chaque règle d'exécution automatique. |
| data.pdxreason_DefaultRule | Chaîne | Les valeurs par défaut des règles ne s'appliquent que si aucune condition de la politique d'accès n'a été satisfaite lors de l'évaluation de celle-ci. |
| data.pdxreasoncode_ <condition_de_correspondance> | Chaîne | Le code de motif de la condition de la politique d'accès qui a été satisfait lors de l'évaluation de la politique d'accès. Remarque : il peut y avoir plusieurs résultats pour chaque condition de correspondance, chaque règle ou chaque règle d'exécution automatique. |
| data.pdxreasoncode_DefaultRule | Chaîne | Les valeurs par défaut des règles ne s'appliquent que si aucun code de motif de condition de la politique d'accès n'a été identifié lors de l'évaluation de la politique d'accès. |
| data.policy_action | Chaîne | L'action ayant la priorité la plus élevée parmi toutes les règles de politique d'accès correspondantes, telle qu'elle ressort de l'évaluation de la politique d'accès. Par exemple, ACTION_ALLOW. |
| data.policy_id | Chaîne | L'identifiant de la politique d'accès. Par exemple, 12345. |
| data.policy_name | Chaîne | Le nom de la politique d'accès. Par exemple, Access Policy. |
| data.policy_re_evaluation | Booléen | Indique si cet événement correspond à une réévaluation de la politique d'accès, par exemple à la suite d'une MFA Always authentification ou d'un Redirect for additional changement de contexte. |
| data.realm | Chaîne | Source d'identité de l'utilisateur. Exemples Répertoire Cloud - CloudIdentityRealm, IBMid - www.ibm.com SAML Entreprise - AzureRealm LDAP pass-through - www.cloudsecurity.com OIDC - www.yahoo.com |
| data.requestid | Chaîne | L'identifiant de la requête de politique d'accès qui a été mise en correspondance lors de l'évaluation de la politique d'accès. |
| data.rule_id | Chaîne | L'identifiant de la règle de politique d'accès qui a été trouvée lors de l'évaluation de la politique d'accès. |
| data.rule_name | Chaîne | Le nom de la règle de politique d'accès qui a été identifiée lors de l'évaluation de la politique d'accès. |
| data.userid | Chaîne | Vérifiez l'identifiant de l'utilisateur à l'origine de la génération de l'événement. |
| data.username | Chaîne | L'identifiant unique permettant de se connecter à Verify. Il peut s'agir de l'adresse électronique de l'utilisateur. |
| geoip.city_name geoio.continent_name geoip.country_iso_code geoip.country_name geoip.location geoip.region_name |
Chaîne | Etendu par le service d'événement avec data.origin. |
Exemple
Le code suivant est un exemple de charge utile. Utilisez les API Events pour récupérer les attributs réels. Voir https://docs.verify.ibm.com/verify/reference/getallevents et https://docs.verify.ibm.com/verify/docs/pulling-event-data.
{
"geoip": {
"continent_name": "North America",
"city_name": "Austin",
"country_iso_code": "USA",
"ip": "111.11.11.1",
"country_name": "United States",
"region_name": "Texas",
"location": {
"lon": "-97.7207",
"lat": "30.4293"
}
},
"data": {
"policy_id": "2222222",
"decision_decisionCode": "DEFAULT_RULE",
"rule_name": "Default rule",
"origin": "111.11.11.1",
"pdxid_DefaultRule": "DefaultRule",
"policy_name": "Allow access (Custom)",
"userid": "3333333333",
"devicetype": "Saturn/5",
"pdxname_DefaultRule": "DefaultRuleProcessor PDX",
"rule_id": "4444444444444",
"pdxreasoncode_DefaultRule": "DEFAULT_RULE",
"pdxreason_DefaultRule": "CSIBI0031I The policy's default rules for user [ 3333333333 ] and tenant [ tenant name.verify.ibmcloudsecurity.com ] triggered action [ ACTION_ALLOW ]",
"requestid": "55555555-5555-5555-5555-555555555555",
"decision_reason": "CSIBI0031I The policy's default rules for user [ 3333333333 ] and tenant [ tenant name.verify.ibmcloudsecurity.com ] triggered action [ ACTION_ALLOW ]",
"realm": "cloudIdentityRealm",
"policy_action": "ACTION_ALLOW",
"username": "email address"
},
"year": 2023,
"event_type": "risk",
"month": 1,
"indexed_at": 1674820363305,
"tenantid": "66666666-6666-6666-6666-666666666666",
"tenantname": "tenant name.verify.ibmcloudsecurity.com",
"correlationid": "CORR_ID-7777777777-7777-7777-7777-777777777777",
"id": "88888888-8888-8888-8888-888888888888",
"time": 1674820362822,
"day": 27
}