Génération d'un rapport d'activité Adaptive Access
Vous pouvez générer un rapport d'activité Adaptive Access à partir de la IBM® Verify console d'administration.
Avant de commencer
- Vous devez disposer des droits d'administration ou être membre du groupe d'assistance pour effectuer cette tâche.
- Connectez-vous à la IBM Verify console d'administration en tant qu'administrateur.
Procédure
- Sélectionnez « Rapports et diagnostics » > « Rapports ».Les volets pour l'activité d'authentification, l'utilisation de l'application, l'activité de l'administrateur et l'activité d'authentification multi-facteur sont affichés. Le volet Accès adaptatif présente des informations récapitulatives pour les 24 dernières heures.
- Cliquez sur le lien « Afficher le rapport » dans la vignette « Adaptive Access ».Le rapport récapitulatif pour le jour en cours affiche :
- Le nombre total d'appels
- Le nombre de tentatives à risque très élevé
- Le nombre de tentatives à risque élevé
- Le nombre de tentatives à risque moyen
- Le nombre de tentatives à risque faible
Une représentation graphique évolutive avec code couleur du nombre d'appels pour la période sélectionnée est affichée. Vous pouvez déplacer le pointeur de la souris le long de la ligne de date pour voir les résumés quotidiens des niveaux de risque qui ont été détectés. La période ne peut pas dépasser 90 jours. L'échelle du graphique dépend des ensembles de données et l'heure affichée de l'appel est l'heure locale.
L'activité d'authentification pour les utilisateurs individuels est également affichée. Voir le tableau 1. Sélectionnez un événement pour afficher les détails associés. Consultez les détails de l'événement Adaptive Access.
- Après le graphique, l'activité d'authentification pour les utilisateurs individuels est également affichée.
Tableau 1. Informations sur les activités individuelles Informations Attributs Descriptions Horodatage timeDate et heure de l'événement d'accès adaptatif. Utilisateur - Nom d'utilisateur
data.username- Domaine
data.realm
Eléments inclus - Nom d'utilisateur
- L'identifiant unique pour se connecter à Verify. Il peut s'agir de l'adresse électronique de l'utilisateur.
- Domaine
- Attribut de source d'identité qui permet de distinguer les utilisateurs
provenant de plusieurs sources d'identité et possédant le même nom d'utilisateur.
Ces informations s'affichent dans l'onglet Utilisateurs et groupes > Utilisateurs, ainsi que dans la boîte de dialogue Modifier l'utilisateur.
Pour les sources d'identité suivantes :- Dans Cloud Directory, la valeur du domaine est
cloudIdentityRealm. - IBMid, la valeur du domaine est
www.ibm.com. - SAML Dans Enterprise, la valeur « realm » peut correspondre à n'importe quel nom unique que vous avez attribué lors de la création de la source d'identité.
- OnPrem LDAP, la valeur « realm » peut être n'importe quel nom unique que vous avez attribué lors de la création de la source d'identité.
- Dans Cloud Directory, la valeur du domaine est
Niveau de risque data.risk_level- Très élevé
- Elevé
- Moyen
- Faible
Motif data.decision_reasonVoir le tableau 2. Action de stratégie data.policy_action- Rediriger vers une page pour obtenir plus d'informations
- L'utilisateur ne peut pas accéder à l'application et est redirigé vers l' URL e ou l'URI indiquée.
- Bloquer (substitution)
- L'action Bloquer remplace toutes les autres décisions de la stratégie.
- Authentification multi-facteur (substitution)
- L'action Authentification multi-facteur remplace toutes les autres décisions de la stratégie.
- Autoriser (substitution)
- L'action Autoriser remplace toutes les autres décisions de la stratégie.
- Bloquer et rediriger
- L'utilisateur ne peut pas accéder à l'application et est redirigé vers l' URL e ou l'URI indiquée.
- Bloc
- L'accès utilisateur est refusé.
- Toujours l'authentification multi-facteur
- L'authentification multi-facteur est toujours requise, même dans la même session.
- Authentification multi-facteur par session
- Si ce n'est pas déjà fait, force l'authentification multi-facteur.
- Continuer
- L'utilisateur est autorisé sans qu'il soit nécessaire de mettre à jour sa fiche utilisateur Adaptive.
- Autoriser
- L'accès de l'utilisateur est autorisé.
Règle data.policy_namedata.policy_id
Le nom de la stratégie et l'identifiant qui sont appliqués à l'événement. Application data.applicationnameNom de l'application accessible. Emplacement data.citydata.regiondata.country
La ville, l'état et le pays où l'événement s'est produit. Unité data.browserdata.os
Le navigateur et le système d'exploitation qui ont été utilisés par l'appareil. IP du client data.originAdresse IP de l'appareil à l'origine de la demande d'authentification. Les détails contiennent un lien X-Force IP reportpour évaluer la valeur de menace de l'adresse.Tableau 2. Motifs de la décision Motif de la décision Descriptif Accès à partir d'un appareil en attente d'authentification multi-facteur Un appareil a été invité à s'authentifier via une authentification multi-facteur mais cette dernière n'a pas été effectuée. Lors de la prochaine session sur le même appareil et pour le même utilisateur, l'authentification multi-facteur est à nouveau demandée. Le score de risque reste le même depuis la dernière session. Accès à partir d'un appareil connu et digne de confiance L'accès a été effectué avec un appareil précédemment utilisé par l'utilisateur. Il s'agit d'un appareil digne de confiance sur la base des renseignements relatifs à l'appareil de Trusteer. Accès à partir d'un appareil connu avec une nouvelle connexion L'accès a été effectué avec un appareil précédemment utilisé par l'utilisateur. Toutefois, l'accès s'effectue par le biais d'un fournisseur de services Internet différent, d'un emplacement géographique différent ou d'une autre méthode de connexion. Accès à l'aide d'une modification des attributs d'appareil L'accès a été effectué à l'aide d'un nouvel appareil ou d'un appareil connu, avec un changement significatif de ses attributs. Les attributs matériels et logiciels sont tous examinés pour déterminer une modification des attributs de l'appareil. Accès à l'aide d'une modification du comportement utilisateur Le moteur de risque de Trusteer apprend le comportement utilisateur en analysant les modèles d'accès. Lorsqu'une modification du comportement utilisateur est constatée, une alerte est envoyée. Une modification de comportement consiste par exemple en un accès initial après les heures de travail. Accès incluant une indication d'appareil à risque Les attributs de l'appareil ont été déterminés comme étant à risque sur la base des renseignements de sécurité de Trusteer. Les renseignements de sécurité de Trusteer sont constamment étendus et mis à jour en fonction de la recherche approfondie et de l'analyse des données. Outil d'évaluation des risques non disponible - risque moyen appliqué Le système n'a pas pu terminer l'évaluation des risques. L'action de stratégie pour un niveau de risque moyen a été appliquée. Accès à partir d'un périphérique qui a passé MFA dans la session en cours Le compte de l'utilisateur a été consulté à partir d'un appareil ayant validé l'authentification à deux facteurs (MFA) au cours de la session actuelle. Accès par le même périphérique après un échec d'authentification multi-facteurs Le compte de l'utilisateur a été consulté à partir d'un appareil qui avait auparavant échoué à une vérification par authentification multifactorielle. Une authentification multifactorielle supplémentaire est requise pour vérifier la légitimité de l'accès. Accès avec indication d'un emplacement à risque Le compte de l'utilisateur a été consulté à partir d'un nouvel appareil dont les données de géolocalisation sont jugées à risque et ne sont pas associées au compte. Accès suspect à partir d'un appareil infecté par un logiciel malveillant Le compte de l'utilisateur a été consulté à partir d'un appareil infecté par un logiciel malveillant. Accès avec une indication de langue à risque On a accédé au compte de l'utilisateur à partir d'un nouvel appareil dont les paramètres linguistiques du navigateur sont considérés comme présentant un risque et ne sont pas associés au compte. Accès signalé comme présentant un risque lié au service d'hébergement Le compte de l'utilisateur a été consulté à partir d'un nouvel appareil se connectant via un service d'hébergement connu pour présenter des risques et qui n'est pas associé à ce compte. Accès avec indication d'une machine virtuelle On a accédé au compte de l'utilisateur à partir d'un appareil présentant des caractéristiques propres à l'utilisation d'une machine virtuelle. Accès via un outil d'accès à distance Le compte de l'utilisateur a été consulté à partir d'un appareil qui serait contrôlé à distance par un autre appareil. Sélectionnez un événement pour afficher les détails associés. Consultez les détails de l'événement Adaptive Access.
- Facultatif : sélectionnez des filtres pour affiner les résultats.Vous pouvez effectuer une recherche par
- Identité
- Les sélections de filtre sont Nom d'utilisateur et Domaine.
- Source
- Les sélections de filtre sont Adresse IP client et Emplacement.
- Détails de l'évènement
- Les sélections de filtre sont le niveau de risque, le nom de la stratégie, l'ID de la stratégie, le nom de l'application, le motif et l'ID de session.
Remarque : les champs de recherche sont sensibles à la casse. - Changez la plage de dates pour le rapport.Sélectionnez les dates Du et Au pour afficher les listes déroulantes du calendrier et sélectionnez les dates pour le rapport. Vous ne pouvez pas sélectionner de date antérieure à 90 jours.Remarque : la date de fin ne peut pas être postérieure à la date du jour.
- Sélectionnez « Exécuter le rapport ».Les informations du rapport sont actualisées.
- Facultatif : générer un fichier d' CSV s pour le rapport.
- Cliquez sur « Générer l' CSV ».
- Suivez les instructions fournies dans la section « Téléchargement d'un rapport d' CSV ».