Charge utile de l'événement de menace
Vous pouvez utiliser les charges utiles d'événements de menace suivantes pour déclencher des workflows asynchrones et des synchronisations pour les webhooks et les API de notification d'événements.
| Nom | Type de données | Descriptif |
|---|---|---|
| data.anomalous_event_count | Nombre | Une estimation du nombre d'événements anormaux observés pendant la durée de l'anomalie. |
| data.anomalous_suspicious_ips | Chaîne | Une liste des adresses IP suspicious_ips qui ont présenté un comportement anormal au cours de la dernière heure par rapport à leur comportement des sept derniers jours. |
| data.component | Chaîne | La catégorie correspondant au type d'événements qui a été analysée pour générer l'alerte de menace. Les valeurs peuvent être Login activity ou Management activity. |
| data.compromised_users | Chaîne | Une liste des utilisateurs auxquels on a pu accéder depuis les adresses IP suspectes pendant l'attaque. |
| data.date | Date : | La date à laquelle l'anomalie a été constatée. |
| data.end_time | Chaîne | La période jusqu'à laquelle les événements ont été analysés pour détecter l'anomalie. |
| data.impacted_user_count | Nombre | Le nombre d'utilisateurs uniques qui se sont connectés pendant la période de l'attaque. |
|
Chaîne | Ces attributs contiennent la liste des valeurs à l'origine de 75 % du trafic suspect. |
| data.normal_traffic_volume | Nombre | La valeur du 90e centile du nombre d'événements pour les intervalles non anormaux. |
| data.rule_id | Chaîne | L'alias de la règle. |
| data.rule_name | Chaîne | Une brève description du type d'anomalie. |
| data.severity | Chaîne | Le niveau de gravité de l'alerte. Par exemple, warning ou critical. |
| data.source | Chaîne | Les champs selon lesquels les données sont partitionnées et ceux qui sont filtrés. Par exemple, extrait de la section de configuration. |
| data.start_time | Chaîne | Le temps écoulé depuis la détection de l'anomalie. |
| data.summary | Chaîne | La fiche récapitulative de l'alerte, qui indique la source et l'heure de l'attaque ou de l'anomalie. |
| data.top5_affected_data_grant_type | Chaîne | Les cinq principaux types de subventions ayant donné lieu au plus grand nombre d'échecs pendant la période concernée. |
| data.top5_affected_data_mfamethod | Chaîne | Les cinq principales méthodes MFA ayant entraîné le plus grand nombre d'échecs lors de l'anomalie |
| data.top5_affected_data_origin | Chaîne | Les cinq adresses IP les plus ciblées du système ont été les plus touchées par cette anomalie. |
| data.top5_affected_data_username | Chaîne | systemusernames Les cinq principales adresses IP de ont été les plus touchées par les attaques pendant cette anomalie. |
| data.top5_affected_geoip_country_name | Chaîne | Les cinq principaux pays d'où provenait la majeure partie du trafic anormal. |
| data.top5_affected_tenantname | Chaîne | Les 5 noms de locataires les plus ciblés pendant l'anomalie. |
Exemple
Le code suivant est un exemple de charge utile. Utilisez les API Events pour récupérer les attributs réels. Voir https://docs.verify.ibm.com/verify/reference/getallevents et https://docs.verify.ibm.com/verify/docs/pulling-event-data.
{
"data": {
"date": "2023-07-10",
"rule_attribute": "ibm:threat_abnormal_user_activities",
"most_significant_data_origin": [
"<IP>"
],
"top5_affected_data_username": "{'username': 20}",
"source": "[('data.mfamethod', 'Voice OTP'), ('data.username', 'username')]",
"suspicious_ips_count": 1,
"most_significant_data_mfamethod": [
"Voice OTP"
],
"most_significant_geoip_country_name": [
"India"
],
"most_significant_data_grant_type": [],
"top5_affected_tenantname": "{'tenant_name': 20}",
"anomalous_event_count": 20,
"most_significant_tenantname": [
"tenant_name"
],
"summary": "Abnormal number of device enrollments: 20 anomalous events are observed, beyond normal traffic volume, from 2023-07-10 19:00:00 UTC to 2023-07-10 20:00:00 UTC.",
"severity": "critical",
"top5_affected_data_origin": "{'<IP>': 20}",
"rule_name": "Abnormal number of device enrollments",
"impacted_user_count": 1,
"end_time": "2023-07-10 20:00:00",
"anomalous_suspicious_ips": [
"<IP>"
],
"rule_id": "ABNORMAL_DEVICE_ENROLLMENT",
"top5_affected_geoip_country_name": "{'India': 20}",
"start_time": "2023-07-10 19:00:00",
"component": "Login activity",
"normal_traffic_volume": 0,
"top5_affected_data_grant_type": "{}",
"top5_affected_data_mfamethod": "{'Voice OTP': 20}",
"most_significant_data_username": [
"username"
]
},
"year": 2023,
"event_type": "threat",
"month": 7,
"indexed_at": 1689019317074,
"tenantid": "tenant_id",
"tenantname": "tenant_name",
"servicename": "Anomaly-Detector",
"id": "<event_identifier>",
"time": 1689019315275,
"day": 10
}