リスク事象のペイロード

オンラインで編集

以下のリスクイベントのペイロードを使用して、イベント通知のWebhookやAPI向けの非同期ワークフローや同期処理をトリガーすることができます。

リスクイベント自体にはレポートはありませんが、リスクイベントの結果によって、 SAML またはOIDC SSOイベントの成否が決まります。 また、MFA認証イベントもトリガーされます。
表 1. リスク属性
名前 データ・タイプ 説明
data.applicationid ストリング そのイベントの対象となったアプリケーションの識別子。
data.applicationname ストリング リソースの対象となるアプリケーション名。 例えば、申請や受給資格など。
data.applicationtype ストリング リソースの対象となるアプリケーションの種類。 例えば、申請や受給資格など。
data.decision_decisionCode ストリング 一致したアクセスポリシールール内の、最後のアクセスポリシー条件要素。 例えば、TRUSTEER_OKなどです。
data.decision_reason ストリング 対応するアクセスポリシールールおよび条件に関する最終的な理由の説明。
data.devicetype ストリング ブラウザのユーザーエージェント。
data.origin ストリング イベントの生成の原因となったシステムの IP アドレス。
data.pdxid_ <matching_rule_condition> ストリング アクセスポリシーの評価中に一致したアクセスポリシーの条件ID。
注: 各一致条件、ポリシー、または「常に実行」ルールに対して、複数の一致結果が存在する場合があります。
data.pdxid_DefaultRule ストリング デフォルトのルール値は、アクセスポリシーの評価中に一致するアクセスポリシー条件IDが見つからなかった場合にのみ適用されます。
data.pdxidname_ <matching_rule_condition> ストリング アクセスポリシーの評価中に一致したアクセスポリシーの条件名。 例えば、com.ibm.security.access.risk.rt.pdx.trusteer.A2PdxModuleImplなどです。
注: 各一致条件、ポリシー、または「常に実行」ルールに対して、複数の一致結果が存在する場合があります。
data.pdxname_DefaultRule ストリング デフォルトのルール値は、アクセスポリシーの評価中に一致するアクセスポリシーの条件名が見つからなかった場合にのみ適用されます。
data.pdxreason_ <matching_rule_condition> ストリング 一致するアクセスポリシールールおよび条件の説明。 たとえば、 XXXXX1234I の場合、ユーザー [ 123456A5BB ]、セッションインデックス [ aaaaa0b2-ccc33-44dd-5eee-666f77g888hh ]、およびテナント [ mycoid.verify.myco.com ] に関する情報は信頼されています。
注: 各一致条件、ポリシー、または「常に実行」ルールに対して、複数の一致結果が存在する場合があります。
data.pdxreason_DefaultRule ストリング デフォルトのルール値は、アクセスポリシーの評価中に、どのアクセスポリシーの条件にも一致しなかった場合にのみ適用されます。
data.pdxreasoncode_ <matching_rule_condition> ストリング アクセスポリシーの評価中に一致した、アクセスポリシーの条件の理由コード。
注: 各一致条件、ポリシー、または「常に実行」ルールに対して、複数の一致結果が存在する場合があります。
data.pdxreasoncode_DefaultRule ストリング デフォルトのルール値は、アクセスポリシーの評価中にアクセスポリシーの条件の理由コードが一致しなかった場合にのみ適用されます。
data.policy_action ストリング アクセスポリシーの評価中に、一致したすべてのアクセスポリシールールから適用される、最終的な最優先のアクション。 例えば、ACTION_ALLOWなどです。
data.policy_id ストリング アクセスポリシーのID。 例えば、12345などです。
data.policy_name ストリング アクセスポリシーの名前。 例えば、Access Policyなどです。
data.policy_re_evaluation ブール このイベントが、アクセス ポリシーの再評価であるかどうかを示します。たとえば、認証要求 MFA Always やコンテキストの Redirect for additional 変更後に発生する場合などです。
data.realm ストリング

ユーザーの ID ソース。 例

クラウドディレクトリ - CloudIdentityRealm,

IBMid - www.ibm.com

SAML エンタープライズ - AzureRealm

LDAP パススルー - www.cloudsecurity.com

OIDC - www.yahoo.com
data.requestid ストリング アクセスポリシーの評価中に一致したアクセスポリシー要求ID。
data.rule_id ストリング アクセスポリシーの評価中に一致したアクセスポリシールールのID。
data.rule_name ストリング アクセスポリシーの評価中に一致したアクセスポリシールールの名前。
data.userid ストリング イベントの発生原因となったユーザーIDを確認してください。
data.username ストリング Verifyにログインするための固有の識別子。 これは、ユーザーの E メール・アドレスと同一にすることができます。
geoip.city_name

geoio.continent_name

geoip.country_iso_code

geoip.country_name

geoip.location

geoip.region_name

 ストリング data.origin を使用してイベント・サービスによって拡張

以下のコードはペイロードのサンプルです。 実際の属性を取得するには、Events API を使用してください。 https://docs.verify.ibm.com/verify/reference/getallevents および https://docs.verify.ibm.com/verify/docs/pulling-event-data を参照してください。

{
    "geoip": {
      "continent_name": "North America",
      "city_name": "Austin",
      "country_iso_code": "USA",
      "ip": "111.11.11.1",
      "country_name": "United States",
      "region_name": "Texas",
      "location": {
        "lon": "-97.7207",
        "lat": "30.4293"
      }
    },
    "data": {
      "policy_id": "2222222",
      "decision_decisionCode": "DEFAULT_RULE",
      "rule_name": "Default rule",
      "origin": "111.11.11.1",
      "pdxid_DefaultRule": "DefaultRule",
      "policy_name": "Allow access (Custom)",
      "userid": "3333333333",
      "devicetype": "Saturn/5",
      "pdxname_DefaultRule": "DefaultRuleProcessor PDX",
      "rule_id": "4444444444444",
      "pdxreasoncode_DefaultRule": "DEFAULT_RULE",
      "pdxreason_DefaultRule": "CSIBI0031I The policy's default rules for user [ 3333333333 ] and tenant [ tenant name.verify.ibmcloudsecurity.com ] triggered action [ ACTION_ALLOW ]",
      "requestid": "55555555-5555-5555-5555-555555555555",
      "decision_reason": "CSIBI0031I The policy's default rules for user [ 3333333333 ] and tenant [ tenant name.verify.ibmcloudsecurity.com ] triggered action [ ACTION_ALLOW ]",
      "realm": "cloudIdentityRealm",
      "policy_action": "ACTION_ALLOW",
      "username": "email address"
    },
    "year": 2023,
    "event_type": "risk",
    "month": 1,
    "indexed_at": 1674820363305,
    "tenantid": "66666666-6666-6666-6666-666666666666",
    "tenantname": "tenant name.verify.ibmcloudsecurity.com",
    "correlationid": "CORR_ID-7777777777-7777-7777-7777-777777777777",
    "id": "88888888-8888-8888-8888-888888888888",
    "time": 1674820362822,
    "day": 27
}