Carga útil de eventos de risco adaptativos
Você pode usar as seguintes cargas de eventos de risco adaptativas para acionar fluxos de trabalho assíncronos e sincronizações para webhooks e APIs de notificação de eventos.
| Nome | Tipo de D]ados | Descrição |
|---|---|---|
| data.applicationid | Sequência | O identificador do aplicativo ao qual o evento se referia. |
| data.applicationname | Sequência | O nome do aplicativo de destino dos recursos: aplicativo, direito. |
| data.applicationtype | Sequência | O tipo de solicitação do destino dos recursos: solicitação, direito. |
| data.behavioral_anomaly | Sequência | Especifica se o usuário apresenta algum desvio em relação aos padrões de comportamento habituais do próprio usuário ou da organização. Por exemplo, falso. |
| data.behavioral_score | Sequência | Indica o nível de anomalias na tipagem comportamental que ocorrem durante a autenticação tradicional por nome de usuário e senha. Por exemplo, -1.Observação: para usar esse atributo, o recurso deve estar ativado e configurado na página de login do Verify.
|
| data.browser | Sequência | O Adaptive Access identificou o navegador. Por exemplo, o Safari para celular. Observação: pode diferir do navegador ou do User-Agent no evento base.
|
| data.city | Sequência | O Adaptive Access informou que a cidade... Por exemplo, Cincinnati. Observação: pode diferir da Geo-City do evento original.
|
| data.country | Sequência | O país indicado pelo Adaptive Access. Por exemplo, os EUA. Observação: pode diferir do país geográfico do evento original.
|
| data.csid | Sequência | O ID da sessão do Acesso Adaptativo. Por exemplo, abcde1f2-gh33-44ii-5jjbk-666l77m888nn. |
| data.decision_decisionCode | Sequência | O elemento de condição da política de acesso final na regra de política de acesso que foi correspondida. Por exemplo, TRUSTEER_OK. |
| data.decision_reason | Sequência | Descrição do motivo final da correspondência entre a regra e a condição da política de acesso. Por exemplo, Access from a known and trusted device. |
| data.device_authentication_status | Sequência | Status de autenticação do dispositivo no âmbito da conta, com base nas informações recebidas nos logins atual e anterior. Por exemplo, authenticated. |
| data.devicetype | Sequência | O agente do usuário do navegador. |
| data.gd_id | Sequência | O ID global do dispositivo do Adaptive Access. Por exemplo, 1111ABCD2E33F44GHI55J6K777777777777777L88888888MN999P1Q2RS3333T4-12345678. |
| data.isp | Sequência | A Adaptive Access informou o provedor de serviços de internet. Por exemplo, a Spectrum. |
| data.new_device | Sequência | Indica se o dispositivo é novo na conta. Por exemplo, false. |
| data.new_location | Sequência | Especifica se a localização do usuário é nova na conta. Por exemplo, false. |
| data.origin | Sequência | O endereço IP do sistema que fez com que o evento fosse gerado. |
| data.os | Sequência | O Adaptive Access informou o sistema operacional. Por exemplo, iOS. |
| data.pdxid_a2Pdx | Sequência | O ID da condição da política de acesso que foi correspondido durante a avaliação da política de acesso. Por exemplo, a2Pdx.Observação: pode haver várias correspondências para cada condição de correspondência, política ou regra de execução automática.
|
| data.pdxid_DefaultRule | Sequência | Os valores padrão das regras só são aplicados se nenhuma ID de condição da política de acesso tiver sido encontrada durante a avaliação da política de acesso. |
| data.pdxname_a2Pdx | Sequência | O nome da condição da política de acesso que foi correspondida durante a avaliação da política de acesso. Por exemplo, com.ibm.security.access.risk.rt.pdx.trusteer.A2PdxModuleImpl.Observação: pode haver várias correspondências para cada condição de correspondência, política ou regra de execução automática.
|
| data.pdxname_DefaultRule | Sequência | Os valores padrão das regras só são aplicados se nenhuma condição da política de acesso tiver sido atendida durante a avaliação da política de acesso. |
| data.pdxreason_a2Pdx | Sequência | Descrição do motivo pelo qual uma regra e uma condição da política de acesso foram aplicadas. Por exemplo, XXXXX1234I As informações relativas ao usuário [ 123456A5BB ], ao índice da sessão [ aaaaa0b2-ccc33-44dd-5eee-666f77g888hh ] e ao locatário [ mycoid.verify.myco.com ] são confiáveis.Observação: pode haver várias correspondências para cada condição de correspondência, política ou regra de execução automática.
|
| data.pdxreason_DefaultRule | Sequência | Os valores padrão das regras só são aplicados se nenhuma condição da política de acesso tiver sido atendida durante a avaliação da política de acesso. |
| data.pdxreasoncode_a2Pdx | Sequência | O elemento de condição da política de acesso na regra de política de acesso que foi correspondida. Por exemplo, TRUSTEER_OK.Observação: pode haver várias correspondências para cada condição de correspondência, política ou regra de execução automática.
|
| data.pdxreasoncode_DefaultRule | Sequência | Os valores padrão das regras só são aplicados se nenhum código de motivo de condição da política de acesso tiver sido correspondido durante a avaliação da política de acesso. |
| data.policy_action | Sequência | A ação com a maior precedência entre todas as regras de política de acesso correspondentes durante a avaliação da política de acesso. Por exemplo, ACTION_ALLOW. |
| data.policy_id | Sequência | O ID da política de acesso. Por exemplo, 12345. |
| data.policy_name | Sequência | O nome da política de acesso. Por exemplo, Adaptive Access. |
| data.policy_re_evaluation | Booleano | Indica se este evento é uma reavaliação da política de acesso, por exemplo, após um MFA Always desafio ou uma Redirect for additional mudança de contexto. |
| data.previous_successful_mfa | Sequência | A hora UTC da última autenticação MFA bem-sucedida realizada no dispositivo. Por exemplo, 2023-01-27 01:36:21. |
| data.realm | Sequência | Origem da identidade do usuário. Exemplos Cloud Directory - CloudIdentityRealm, IBMid - www.ibm.com SAML Empresa - AzureRealm LDAP pass-through - www.cloudsecurity.com OIDC - www.yahoo.com |
| data.reason | Sequência | O motivo do Acesso Adaptativo para a decisão da política de acesso. Por exemplo, Access from a known and trusted device. |
| data.reason_id | Sequência | O ID do motivo do Acesso Adaptativo para a decisão da política de acesso. Por exemplo, 1001. |
| data.recommendation | Sequência | A ação de política de acesso recomendada pelo Adaptive Access. Por exemplo, allow_login. |
| data.region | Sequência | Especifica a região onde a solicitação foi feita. |
| data.remote_ip | Sequência | O Adaptive Access informou o endereço IP. Por exemplo, 111.11.111.11.Observação: o endereço pode ser diferente do endereço de origem no evento base.
|
| data.requestid | Sequência | O ID da solicitação da política de acesso que foi correspondido durante a avaliação da política de acesso. |
| data.risk_level | Sequência | O Adaptive Access avaliou o nível de risco com base na correlação entre os valores e o comportamento observados na sessão atual e no histórico do usuário. Por exemplo, LOW. |
| data.risk_score | Sequência | A pontuação de risco avaliada pelo Adaptive Access. Por exemplo, 100. |
| data.risky_connection | Sequência | Especifica se a conexão da sessão foi encerrada com o serviço de hospedagem. Por exemplo, false. |
| data.risky_device | Sequência | Especifica se a versão do navegador utilizada na sessão apresenta riscos. Por exemplo, false. |
| data.rule_id | Sequência | O ID da regra da política de acesso que foi identificada durante a avaliação da política de acesso. Por exemplo, 2222222222222. |
| data.rule_name | Sequência | O nome da regra da política de acesso que foi identificada durante a avaliação da política de acesso. Por exemplo, Adaptive access. |
| data.snippet_id | Sequência | O ID do aplicativo Adaptive Access. Por exemplo, 123456. |
| data.useragent | Sequência | O Adaptive Access informou o User-Agent (navegador). Por exemplo, Mozilla/5.0 (iPhone; CPU iPhone OS 16_2 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/16.2 Mobile/15E148 Safari/604.1.Observação: O User-Agent pode ser diferente do
devicetype no evento base. |
| data.userid | Sequência | Verifique o ID do usuário que causou a geração do evento. |
| data.username | Sequência | O identificador único para fazer login no Verify. Ele pode ser igual ao endereço de e-mail do usuário. |
| geoip.city_name geoio.continent_name geoip.country_iso_code geoip.country_name geoip.location geoip.region_name |
Sequência | Aumentado pelo serviço de evento usando data.origin. |
exemplo
O código a seguir é um exemplo de carga útil. Use as APIs de eventos para obter os atributos reais. Consulte https://docs.verify.ibm.com/verify/reference/getallevents e https://docs.verify.ibm.com/verify/docs/pulling-event-data.
{
"geoip": {
"continent_name": "North America",
"city_name": "Venice",
"country_iso_code": "USA",
"ip": "11.11.111.111",
"country_name": "United States",
"region_name": "California",
"location": {
"lon": "-118.4644",
"lat": "33.9955"
}
},
"data": {
"new_device": "newdevice",
"country": "USA",
"risky_connection": "false",
"policy_id": "riskpolicyid",
"city": "Austin",
"origin": "11.11.111.111",
"isp": "isp",
"userid": "userid",
"devicetype": "devicetype",
"new_location": "newlocale",
"browser": "testbrowser",
"policy_action": "testpolicy",
"applicationid": "riskappid",
"behavioral_anomaly": "riskbehavior",
"risky_device": "false",
"os": "testos",
"risk_score": "100",
"csid": "testcsid",
"rule_name": "riskrule",
"policy_name": "riskpolicy",
"applicationname": "riskapp",
"rule_id": "riskruleid",
"risk_level": "LOW",
"realm": "www.ibm.com",
"decision_reason": "testreason",
"region": "south",
"username": "username"
},
"year": 2023,
"event_type": "adaptive_risk",
"month": 2,
"indexed_at": 1675247929170,
"tenantid": "22222222-2222-2222-2222-222222222222",
"tenantname": "tenant name.verify.ibmcloudsecurity.com",
"correlationid": "CORR_ID-3333333333-3333-3333-3333-333333333333",
"id": "44444444-4444-4444-4444-444444444444",
"time": 1675247929164,
"day": 1
}