위협 이벤트 페이로드
다음 위협 이벤트 페이로드를 사용하여 이벤트 알림 웹훅 및 API에 대한 비동기 워크플로와 동기화를 트리거할 수 있습니다.
| 이름 | 데이터 유형 | 설명 |
|---|---|---|
| data.anomalous_event_count | 숫자 | 이상 현상이 지속되는 기간 동안 관측된 이상 사건의 수에 대한 추정치. |
| data.anomalous_suspicious_ips | 문자열 | 지난 7일간의 활동 패턴과 비교했을 때 지난 1시간 동안 비정상적인 활동을 보인 IP suspicious_ips 주소 목록입니다. |
| data.component | 문자열 | 위협 경보를 생성하기 위해 분석된 이벤트 유형에 해당하는 범주. Management activity값은 이거나 일 Login activity 수 있습니다. |
| data.compromised_users | 문자열 | 공격 당시 의심스러운 IP 주소에서 성공적으로 접속한 사용자 목록입니다. |
| data.date | 날짜 | 이상 현상이 관측된 날짜. |
| data.end_time | 문자열 | 이상 현상을 분석하기 위해 검토한 기간. |
| data.impacted_user_count | 숫자 | 공격이 발생한 기간 동안 로그인한 고유 사용자 수. |
|
문자열 | 이 속성들은 의심스러운 트래픽의 75%를 차지하는 값들의 목록을 포함하고 있습니다. |
| data.normal_traffic_volume | 숫자 | 비이상 구간에서 관측된 이벤트 수의 90분위수 값. |
| data.rule_id | 문자열 | 규칙 별칭. |
| data.rule_name | 문자열 | 이상 현상의 유형에 대한 간략한 설명. |
| data.severity | 문자열 | 경보의 심각도 수준. 예를 들어, warning 또는 critical입니다. |
| data.source | 문자열 | 데이터가 파티셔닝되는 필드와 필터링되는 필드. 예를 들어, config 섹션에서 발췌한 내용입니다. |
| data.start_time | 문자열 | 이상 현상이 감지된 시점부터의 시간. |
| data.summary | 문자열 | 공격 또는 이상 현상의 발생 원인과 시간을 포함하는 경보 개요. |
| data.top5_affected_data_grant_type | 문자열 | 이번 이상 현상 기간 동안 가장 많은 실패 사례를 기록한 상위 5개 보조금 유형. |
| data.top5_affected_data_mfamethod | 문자열 | 이번 이상 현상 발생 기간 동안 가장 많은 오류가 발생한 MFA 방식 상위 5가지 |
| data.top5_affected_data_origin | 문자열 | 이 이상 현상이 발생한 동안 시스템 내 상위 5개 IP 주소가 가장 많은 공격을 받았습니다. |
| data.top5_affected_data_username | 문자열 | 이 systemusernames 기간 동안 가장 많은 공격을 받은 상위 5개 IP 주소는 다음과 같습니다. |
| data.top5_affected_geoip_country_name | 문자열 | 비정상적인 트래픽의 대부분이 발생한 상위 5개 국가. |
| data.top5_affected_tenantname | 문자열 | 이번 이상 현상 기간 동안 가장 많이 공격받은 상위 5개 테넌트 이름. |
예제
다음 코드는 샘플 페이로드입니다. 이벤트 API를 사용하여 실제 속성을 가져옵니다. https://docs.verify.ibm.com/verify/reference/getallevents 및 https://docs.verify.ibm.com/verify/docs/pulling-event-data 을 참조하십시오.
{
"data": {
"date": "2023-07-10",
"rule_attribute": "ibm:threat_abnormal_user_activities",
"most_significant_data_origin": [
"<IP>"
],
"top5_affected_data_username": "{'username': 20}",
"source": "[('data.mfamethod', 'Voice OTP'), ('data.username', 'username')]",
"suspicious_ips_count": 1,
"most_significant_data_mfamethod": [
"Voice OTP"
],
"most_significant_geoip_country_name": [
"India"
],
"most_significant_data_grant_type": [],
"top5_affected_tenantname": "{'tenant_name': 20}",
"anomalous_event_count": 20,
"most_significant_tenantname": [
"tenant_name"
],
"summary": "Abnormal number of device enrollments: 20 anomalous events are observed, beyond normal traffic volume, from 2023-07-10 19:00:00 UTC to 2023-07-10 20:00:00 UTC.",
"severity": "critical",
"top5_affected_data_origin": "{'<IP>': 20}",
"rule_name": "Abnormal number of device enrollments",
"impacted_user_count": 1,
"end_time": "2023-07-10 20:00:00",
"anomalous_suspicious_ips": [
"<IP>"
],
"rule_id": "ABNORMAL_DEVICE_ENROLLMENT",
"top5_affected_geoip_country_name": "{'India': 20}",
"start_time": "2023-07-10 19:00:00",
"component": "Login activity",
"normal_traffic_volume": 0,
"top5_affected_data_grant_type": "{}",
"top5_affected_data_mfamethod": "{'Voice OTP': 20}",
"most_significant_data_username": [
"username"
]
},
"year": 2023,
"event_type": "threat",
"month": 7,
"indexed_at": 1689019317074,
"tenantid": "tenant_id",
"tenantname": "tenant_name",
"servicename": "Anomaly-Detector",
"id": "<event_identifier>",
"time": 1689019315275,
"day": 10
}