脅威イベントのペイロード
以下の脅威イベントのペイロードを使用すると、イベント通知のWebhookやAPIに対して、非同期ワークフローや同期処理をトリガーすることができます。
| 名前 | データ・タイプ | 説明 |
|---|---|---|
| data.anomalous_event_count | 数値 | 異常期間中に観測された異常事象の数の推定値。 |
| data.anomalous_suspicious_ips | ストリング | 過去7日間の動向と比較して、過去1時間に異常な挙動が見られたIPアドレ suspicious_ips スのリスト。 |
| data.component | ストリング | 脅威アラートを生成するために分析されたイベントの種類を示すカテゴリ。 Management activity値は または のいずれかになります Login activity 。 |
| data.compromised_users | ストリング | 攻撃中に不審なIPアドレスから正常にアクセスされたユーザーのリスト。 |
| data.date | 日付 | 異常が観測された日付。 |
| data.end_time | ストリング | 異常について分析を行った期間。 |
| data.impacted_user_count | 数値 | 攻撃発生期間中にログインしたユニークユーザー数。 |
|
ストリング | これらの属性には、不審なトラフィックの75%を占める値のリストが含まれています。 |
| data.normal_traffic_volume | 数値 | 異常のない区間におけるイベント数の90パーセンタイル値。 |
| data.rule_id | ストリング | ルールの別名。 |
| data.rule_name | ストリング | その異常の種類の簡単な説明。 |
| data.severity | ストリング | アラートの深刻度レベル。 例えば、 warning または critical などです。 |
| data.source | ストリング | データがパーティション分割されるフィールドと、フィルタリングされるフィールド。 例えば、設定セクションから引用すると。 |
| data.start_time | ストリング | 異常が検出された時点からの経過時間。 |
| data.summary | ストリング | 攻撃や異常の発生源および発生時刻を含むアラートの概要。 |
| data.top5_affected_data_grant_type | ストリング | 異常事態の期間中、失敗が最も多かった助成金の種類トップ5。 |
| data.top5_affected_data_mfamethod | ストリング | 今回の異常発生時に最も多くの障害を引き起こしたMFA方式のトップ5 |
| data.top5_affected_data_origin | ストリング | この異常事態の際、システム内で最も攻撃を受けたのは上位5つのIPアドレスでした。 |
| data.top5_affected_data_username | ストリング | この systemusernames 異常事態の間、最も多くの攻撃を受けたのは、上位5つのIPアドレスでした。 |
| data.top5_affected_geoip_country_name | ストリング | 異常なトラフィックの大部分が発生した上位5カ国。 |
| data.top5_affected_tenantname | ストリング | この異常事態の期間中、最も攻撃を受けたテナント名のトップ5。 |
例
以下のコードはペイロードのサンプルです。 実際の属性を取得するには、Events API を使用してください。 https://docs.verify.ibm.com/verify/reference/getallevents および https://docs.verify.ibm.com/verify/docs/pulling-event-data を参照してください。
{
"data": {
"date": "2023-07-10",
"rule_attribute": "ibm:threat_abnormal_user_activities",
"most_significant_data_origin": [
"<IP>"
],
"top5_affected_data_username": "{'username': 20}",
"source": "[('data.mfamethod', 'Voice OTP'), ('data.username', 'username')]",
"suspicious_ips_count": 1,
"most_significant_data_mfamethod": [
"Voice OTP"
],
"most_significant_geoip_country_name": [
"India"
],
"most_significant_data_grant_type": [],
"top5_affected_tenantname": "{'tenant_name': 20}",
"anomalous_event_count": 20,
"most_significant_tenantname": [
"tenant_name"
],
"summary": "Abnormal number of device enrollments: 20 anomalous events are observed, beyond normal traffic volume, from 2023-07-10 19:00:00 UTC to 2023-07-10 20:00:00 UTC.",
"severity": "critical",
"top5_affected_data_origin": "{'<IP>': 20}",
"rule_name": "Abnormal number of device enrollments",
"impacted_user_count": 1,
"end_time": "2023-07-10 20:00:00",
"anomalous_suspicious_ips": [
"<IP>"
],
"rule_id": "ABNORMAL_DEVICE_ENROLLMENT",
"top5_affected_geoip_country_name": "{'India': 20}",
"start_time": "2023-07-10 19:00:00",
"component": "Login activity",
"normal_traffic_volume": 0,
"top5_affected_data_grant_type": "{}",
"top5_affected_data_mfamethod": "{'Voice OTP': 20}",
"most_significant_data_username": [
"username"
]
},
"year": 2023,
"event_type": "threat",
"month": 7,
"indexed_at": 1689019317074,
"tenantid": "tenant_id",
"tenantname": "tenant_name",
"servicename": "Anomaly-Detector",
"id": "<event_identifier>",
"time": 1689019315275,
"day": 10
}