Conteúdo dos eventos de risco

Editar online

Você pode usar as seguintes cargas de eventos de risco para acionar fluxos de trabalho assíncronos e sincronizações para webhooks e APIs de notificação de eventos.

Os eventos de risco não geram um relatório, mas o resultado de um evento de risco determina o sucesso ou o fracasso de um evento de SSO do OIDC ou do SAML. Isso também aciona um evento de autenticação MFA.

Tabela 1. Atributos de risco
Nome	Tipo de D]ados	Descrição
data.applicationid	Sequência	O identificador do aplicativo ao qual o evento se referia.
data.applicationname	Sequência	O nome do aplicativo de destino dos recursos. Por exemplo, solicitação ou direito.
data.applicationtype	Sequência	O tipo de aplicação do destino dos recursos. Por exemplo, solicitação ou direito.
data.decision_decisionCode	Sequência	O elemento de condição final da política de acesso na regra de política de acesso que foi correspondida. Por exemplo, `TRUSTEER_OK`.
data.decision_reason	Sequência	Descrição do motivo final da correspondência entre a regra e a condição da política de acesso.
data.devicetype	Sequência	O agente do usuário do navegador.
data.origin	Sequência	O endereço IP do sistema que fez com que o evento fosse gerado.
data.pdxid_ <condição_da_regra_de_correspondência>	Sequência	O ID da condição da política de acesso que foi correspondido durante a avaliação da política de acesso. Observação: pode haver várias correspondências para cada condição de correspondência, política ou regra de execução automática.
data.pdxid_DefaultRule	Sequência	Os valores padrão das regras só são aplicados se nenhuma ID de condição da política de acesso tiver sido encontrada durante a avaliação da política de acesso.
data.pdxidname_ <condição_da_regra_de_correspondência>	Sequência	O nome da condição da política de acesso que foi correspondida durante a avaliação da política de acesso. Por exemplo, `com.ibm.security.access.risk.rt.pdx.trusteer.A2PdxModuleImpl`. Observação: pode haver várias correspondências para cada condição de correspondência, política ou regra de execução automática.
data.pdxname_DefaultRule	Sequência	Os valores padrão das regras só são aplicados se nenhuma condição da política de acesso tiver sido atendida durante a avaliação da política de acesso.
data.pdxreason_ <condição_da_regra_de_correspondência>	Sequência	Descrição do motivo pelo qual uma regra e uma condição da política de acesso foram aplicadas. Por exemplo, XXXXX1234I As informações relativas ao usuário [ 123456A5BB ], ao índice da sessão [ aaaaa0b2-ccc33-44dd-5eee-666f77g888hh ] e ao locatário [ `mycoid.verify.myco.com` ] são confiáveis. Observação: pode haver várias correspondências para cada condição de correspondência, política ou regra de execução automática.
data.pdxreason_DefaultRule	Sequência	Os valores padrão das regras só são aplicados se nenhuma condição da política de acesso tiver sido atendida durante a avaliação da política de acesso.
data.pdxreasoncode_ <condição_da_regra_de_correspondência>	Sequência	O código de motivo da condição da política de acesso que foi correspondido durante a avaliação da política de acesso. Observação: pode haver várias correspondências para cada condição de correspondência, política ou regra de execução automática.
data.pdxreasoncode_DefaultRule	Sequência	Os valores padrão das regras só são aplicados se nenhum código de motivo de condição da política de acesso tiver sido correspondido durante a avaliação da política de acesso.
data.policy_action	Sequência	A ação com a maior precedência entre todas as regras de política de acesso correspondentes durante a avaliação da política de acesso. Por exemplo, `ACTION_ALLOW`.
data.policy_id	Sequência	O ID da política de acesso. Por exemplo, `12345`.
data.policy_name	Sequência	O nome da política de acesso. Por exemplo, `Access Policy`.
data.policy_re_evaluation	Booleano	Indica se este evento é uma reavaliação da política de acesso, por exemplo, após um `MFA Always` desafio ou uma `Redirect for additional` alteração de contexto.
data.realm	Sequência	Origem da identidade do usuário. Exemplos Cloud Directory - CloudIdentityRealm, IBMid - www.ibm.com SAML Empresa - AzureRealm LDAP pass-through - www.cloudsecurity.com OIDC - www.yahoo.com
data.requestid	Sequência	O ID da solicitação da política de acesso que foi correspondido durante a avaliação da política de acesso.
data.rule_id	Sequência	O ID da regra da política de acesso que foi correspondido durante a avaliação da política de acesso.
data.rule_name	Sequência	O nome da regra da política de acesso que foi identificada durante a avaliação da política de acesso.
data.userid	Sequência	Verifique o ID do usuário que causou a geração do evento.
data.username	Sequência	O identificador único para fazer login no Verify. Ele pode ser igual ao endereço de e-mail do usuário.
geoip.city_name geoio.continent_name geoip.country_iso_code geoip.country_name geoip.location geoip.region_name	Sequência	Aumentado pelo serviço de evento usando `data.origin`.

exemplo

O código a seguir é um exemplo de carga útil. Use as APIs de eventos para obter os atributos reais. Consulte https://docs.verify.ibm.com/verify/reference/getallevents e https://docs.verify.ibm.com/verify/docs/pulling-event-data.

{
    "geoip": {
      "continent_name": "North America",
      "city_name": "Austin",
      "country_iso_code": "USA",
      "ip": "111.11.11.1",
      "country_name": "United States",
      "region_name": "Texas",
      "location": {
        "lon": "-97.7207",
        "lat": "30.4293"
      }
    },
    "data": {
      "policy_id": "2222222",
      "decision_decisionCode": "DEFAULT_RULE",
      "rule_name": "Default rule",
      "origin": "111.11.11.1",
      "pdxid_DefaultRule": "DefaultRule",
      "policy_name": "Allow access (Custom)",
      "userid": "3333333333",
      "devicetype": "Saturn/5",
      "pdxname_DefaultRule": "DefaultRuleProcessor PDX",
      "rule_id": "4444444444444",
      "pdxreasoncode_DefaultRule": "DEFAULT_RULE",
      "pdxreason_DefaultRule": "CSIBI0031I The policy's default rules for user [ 3333333333 ] and tenant [ tenant name.verify.ibmcloudsecurity.com ] triggered action [ ACTION_ALLOW ]",
      "requestid": "55555555-5555-5555-5555-555555555555",
      "decision_reason": "CSIBI0031I The policy's default rules for user [ 3333333333 ] and tenant [ tenant name.verify.ibmcloudsecurity.com ] triggered action [ ACTION_ALLOW ]",
      "realm": "cloudIdentityRealm",
      "policy_action": "ACTION_ALLOW",
      "username": "email address"
    },
    "year": 2023,
    "event_type": "risk",
    "month": 1,
    "indexed_at": 1674820363305,
    "tenantid": "66666666-6666-6666-6666-666666666666",
    "tenantname": "tenant name.verify.ibmcloudsecurity.com",
    "correlationid": "CORR_ID-7777777777-7777-7777-7777-777777777777",
    "id": "88888888-8888-8888-8888-888888888888",
    "time": 1674820362822,
    "day": 27
}