適応型リスクイベントのペイロード
以下の適応型リスクイベントペイロードを使用して、イベント通知のWebhookやAPI向けの非同期ワークフローや同期処理をトリガーすることができます。
| 名前 | データ・タイプ | 説明 |
|---|---|---|
| data.applicationid | ストリング | そのイベントの対象となったアプリケーションの識別子。 |
| data.applicationname | ストリング | リソースの対象となるアプリケーション名: application、entitlement。 |
| data.applicationtype | ストリング | リソースの対象となるアプリケーションの種類: アプリケーション、権限。 |
| data.behavioral_anomaly | ストリング | ユーザーまたは組織の通常の行動パターンから逸脱しているかどうかを指定します。 例えば、false。 |
| data.behavioral_score | ストリング | 従来のユーザー名とパスワードによる認証中に発生する、行動パターン分析における異常の度合いを示します。 例えば、-1などです。注: この属性を使用するには、「Verify」ログインページでこの機能が有効化され、設定されている必要があります。
|
| data.browser | ストリング | Adaptive Accessがブラウザを報告しました。 例えば、Mobile Safari。 注: 基本イベントのブラウザやユーザーエージェントとは異なる場合があります。
|
| data.city | ストリング | 『Adaptive Access』紙が報じた。 例えばシンシナティ。 注: ベースイベントのジオシティとは異なる場合があります。
|
| data.country | ストリング | 『Adaptive Access』が報じた国。 例えば、アメリカ。 注: ベースイベントの「Geo-Country」とは異なる場合があります。
|
| data.csid | ストリング | アダプティブ・アクセス・セッションID。 例えば、abcde1f2-gh33-44ii-5jjbk-666l77m888nnなどです。 |
| data.decision_decisionCode | ストリング | 一致したアクセスポリシールール内の、最後のアクセスポリシー条件要素。 例えば、TRUSTEER_OKなどです。 |
| data.decision_reason | ストリング | 対応するアクセスポリシールールおよび条件に関する最終的な理由の説明。 例えば、Access from a known and trusted deviceなどです。 |
| data.device_authentication_status | ストリング | 現在のログインおよび前回のログインで取得された情報に基づき、アカウントの範囲内におけるデバイスの認証ステータス。 例えば、authenticatedなどです。 |
| data.devicetype | ストリング | ブラウザのユーザーエージェント。 |
| data.gd_id | ストリング | Adaptive AccessのグローバルデバイスID。 例えば、1111ABCD2E33F44GHI55J6K777777777777777L88888888MN999P1Q2RS3333T4-12345678などです。 |
| data.isp | ストリング | Adaptive Accessは、インターネットサービスプロバイダーを報告した。 例えば、Spectrum。 |
| data.new_device | ストリング | そのデバイスがアカウント内で新規のものかどうかを指定します。 例えば、falseなどです。 |
| data.new_location | ストリング | ユーザーの所在地がアカウント内で新規のものかどうかを指定します。 例えば、falseなどです。 |
| data.origin | ストリング | イベントの生成の原因となったシステムの IP アドレス。 |
| data.os | ストリング | Adaptive Accessが報告したオペレーティングシステム。 例えば、 iOS。 |
| data.pdxid_a2Pdx | ストリング | アクセスポリシーの評価中に一致したアクセスポリシーの条件ID。 例えば、a2Pdxなどです。注: 各一致条件、ポリシー、または「常に実行」ルールに対して、複数の一致結果が存在する場合があります。
|
| data.pdxid_DefaultRule | ストリング | デフォルトのルール値は、アクセスポリシーの評価中に一致するアクセスポリシー条件IDが見つからなかった場合にのみ適用されます。 |
| data.pdxname_a2Pdx | ストリング | アクセスポリシーの評価中に一致したアクセスポリシーの条件名。 例えば、com.ibm.security.access.risk.rt.pdx.trusteer.A2PdxModuleImplなどです。注: 各一致条件、ポリシー、または「常に実行」ルールに対して、複数の一致結果が存在する場合があります。
|
| data.pdxname_DefaultRule | ストリング | デフォルトのルール値は、アクセスポリシーの評価中に一致するアクセスポリシーの条件名が見つからなかった場合にのみ適用されます。 |
| data.pdxreason_a2Pdx | ストリング | 一致するアクセスポリシールールおよび条件の説明。 たとえば、 XXXXX1234I の場合、ユーザー [ 123456A5BB ]、セッションインデックス [ aaaaa0b2-ccc33-44dd-5eee-666f77g888hh ]、およびテナント [ mycoid.verify.myco.com ] に関する情報は信頼されています。注: 各一致条件、ポリシー、または「常に実行」ルールに対して、複数の一致結果が存在する場合があります。
|
| data.pdxreason_DefaultRule | ストリング | デフォルトのルール値は、アクセスポリシーの評価中にアクセスポリシーの条件に一致するものがなかった場合にのみ適用されます。 |
| data.pdxreasoncode_a2Pdx | ストリング | 一致したアクセスポリシールール内のアクセスポリシー条件要素。 例えば、TRUSTEER_OKなどです。注: 各一致条件、ポリシー、または「常に実行」ルールに対して、複数の一致結果が存在する場合があります。
|
| data.pdxreasoncode_DefaultRule | ストリング | デフォルトのルール値は、アクセスポリシーの評価中にアクセスポリシーの条件の理由コードが一致しなかった場合にのみ適用されます。 |
| data.policy_action | ストリング | アクセスポリシーの評価中に、一致したすべてのアクセスポリシールールから適用される、最終的な最優先のアクション。 例えば、ACTION_ALLOWなどです。 |
| data.policy_id | ストリング | アクセスポリシーのID。 例えば、12345などです。 |
| data.policy_name | ストリング | アクセスポリシーの名前。 例えば、Adaptive Accessなどです。 |
| data.policy_re_evaluation | ブール | このイベントが、アクセス ポリシーの再評価であるかどうかを示します。たとえば、認証要求 MFA Always やコンテキストの Redirect for additional 変更後に発生する場合などです。 |
| data.previous_successful_mfa | ストリング | そのデバイスで最後に正常に完了した多要素認証(MFA)のUTC時刻。 例えば、2023-01-27 01:36:21などです。 |
| data.realm | ストリング | ユーザーの ID ソース。 例 クラウドディレクトリ - CloudIdentityRealm, IBMid - www.ibm.com SAML エンタープライズ - AzureRealm LDAP パススルー - www.cloudsecurity.com OIDC - www.yahoo.com |
| data.reason | ストリング | アクセスポリシーの決定理由としての「適応型アクセス」。 例えば、Access from a known and trusted deviceなどです。 |
| data.reason_id | ストリング | アクセスポリシーの決定に関するAdaptive Accessの理由ID。 例えば、1001などです。 |
| data.recommendation | ストリング | Adaptive Access が推奨するアクセスポリシーのアクション。 例えば、allow_loginなどです。 |
| data.region | ストリング | リクエストが行われた地域を指定します。 |
| data.remote_ip | ストリング | Adaptive Access が報告した IP アドレス。 例えば、111.11.111.11などです。注: このアドレスは、ベースイベントのOriginとは異なる場合があります。
|
| data.requestid | ストリング | アクセスポリシーの評価中に一致したアクセスポリシー要求ID。 |
| data.risk_level | ストリング | Adaptive Accessは、現在のセッションで確認された値や行動と、ユーザーの履歴との相関関係に基づいてリスクレベルを評価します。 例えば、LOWなどです。 |
| data.risk_score | ストリング | Adaptive Accessによるリスク評価スコア。 例えば、100などです。 |
| data.risky_connection | ストリング | ホスティングサービスとのセッション接続が終了しているかどうかを指定します。 例えば、falseなどです。 |
| data.risky_device | ストリング | セッションで使用されるブラウザのバージョンにリスクがあるかどうかを指定します。 例えば、falseなどです。 |
| data.rule_id | ストリング | アクセスポリシーの評価中に一致したアクセスポリシールールのID。 例えば、2222222222222などです。 |
| data.rule_name | ストリング | アクセスポリシーの評価中に一致したアクセスポリシールールの名前。 例えば、Adaptive accessなどです。 |
| data.snippet_id | ストリング | Adaptive AccessのアプリケーションID。 例えば、123456などです。 |
| data.useragent | ストリング | Adaptive Accessが報告したUser-Agent(ブラウザ)。 例えば、Mozilla/5.0 (iPhone; CPU iPhone OS 16_2 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/16.2 Mobile/15E148 Safari/604.1などです。注: User-Agent は、基本イベントのものと
devicetype 異なる場合があります。 |
| data.userid | ストリング | イベントの発生原因となったユーザーIDを確認してください。 |
| data.username | ストリング | Verifyにログインするための固有の識別子。 これは、ユーザーの E メール・アドレスと同一にすることができます。 |
| geoip.city_name geoio.continent_name geoip.country_iso_code geoip.country_name geoip.location geoip.region_name |
ストリング | data.origin を使用してイベント・サービスによって拡張 |
例
以下のコードはペイロードのサンプルです。 実際の属性を取得するには、Events API を使用してください。 https://docs.verify.ibm.com/verify/reference/getallevents および https://docs.verify.ibm.com/verify/docs/pulling-event-data を参照してください。
{
"geoip": {
"continent_name": "North America",
"city_name": "Venice",
"country_iso_code": "USA",
"ip": "11.11.111.111",
"country_name": "United States",
"region_name": "California",
"location": {
"lon": "-118.4644",
"lat": "33.9955"
}
},
"data": {
"new_device": "newdevice",
"country": "USA",
"risky_connection": "false",
"policy_id": "riskpolicyid",
"city": "Austin",
"origin": "11.11.111.111",
"isp": "isp",
"userid": "userid",
"devicetype": "devicetype",
"new_location": "newlocale",
"browser": "testbrowser",
"policy_action": "testpolicy",
"applicationid": "riskappid",
"behavioral_anomaly": "riskbehavior",
"risky_device": "false",
"os": "testos",
"risk_score": "100",
"csid": "testcsid",
"rule_name": "riskrule",
"policy_name": "riskpolicy",
"applicationname": "riskapp",
"rule_id": "riskruleid",
"risk_level": "LOW",
"realm": "www.ibm.com",
"decision_reason": "testreason",
"region": "south",
"username": "username"
},
"year": 2023,
"event_type": "adaptive_risk",
"month": 2,
"indexed_at": 1675247929170,
"tenantid": "22222222-2222-2222-2222-222222222222",
"tenantname": "tenant name.verify.ibmcloudsecurity.com",
"correlationid": "CORR_ID-3333333333-3333-3333-3333-333333333333",
"id": "44444444-4444-4444-4444-444444444444",
"time": 1675247929164,
"day": 1
}