Gerando um relatório de atividades do Acesso Adaptativo

Editar online

É possível gerar um relatório de atividade do Adaptive Access por meio do console administrativo do IBM® Verify .

Antes de começar

  • Deve-se ter permissão administrativa ou ser um membro do grupo de helpdesk para concluir esta tarefa.
  • Faça login no console IBM Verify de administração como administrador.

Procedimento

  1. Selecione Relatórios e diagnósticos > Relatórios.
    Os blocos para atividade de autenticação, o uso do aplicativo, a atividade de administrador e a atividade de autenticação de diversos fatores são exibidos. O ladrilho Acesso adaptativo mostra as informações de resumo das últimas 24 horas.
  2. Selecione o link “Exibir relatório” no bloco “Acesso adaptativo ”.
    O relatório de resumo para o dia atual será exibido
    • O número total de chamadas
    • O número de tentativas de risco muito alto
    • O número de tentativas de alto risco
    • O número de tentativas de risco médio
    • O número de tentativas de baixo risco

    É exibida uma representação gráfica codificada por cores e escalável do número de chamadas para o período de tempo selecionado. É possível mover o ponteiro do mouse ao longo da linha de data para ver resumos diários dos níveis de risco que foram detectados. O período de tempo pode ser de até 90 dias. A escala de gráfico baseia-se nos conjuntos de dados e o horário da chamada é exibido como horário local.

    A atividade de autenticação para os usuários individuais também será exibida. Ver Tabela 1. Selecione um evento para ver os detalhes associados a ele. Veja os detalhes do evento Adaptive Access.

  3. Após o gráfico, a atividade de autenticação para usuários individuais é exibida.
    Tabela 1. Informações sobre atividades individuais
    Informações Atributos Descrições
    Timestamp time A data e hora em que o evento de acesso adaptativo ocorreu.
    Usuário
    Nome de usuário
    data.username
    Região
    data.realm
    		 Inclui o
    Nome de usuário
    O identificador único para fazer login no Verify. Ele pode ser igual ao endereço de e-mail do usuário.
    Região
    O atributo de origem de identidade que ajuda a distinguir usuários de múltiplas origens de identidade que tenham o mesmo nome de usuário.

    Essas informações são exibidas na guia Usuários e Grupos > Usuários e na caixa de diálogo Editar usuário.

    Para as seguintes origens de identidade:
    • No Cloud Directory, o valor do domínio é cloudIdentityRealm.
    • IBMid; o valor do domínio é www.ibm.com.
    • SAML No Enterprise, o valor do domínio pode ser qualquer nome exclusivo que você tenha atribuído ao criar a fonte de identidade.
    • OnPrem LDAP, o valor do domínio pode ser qualquer nome exclusivo que você tenha atribuído ao criar a fonte de identidade.
    Nível de risco data.risk_level
    • Muito alta
    • Alta
    • Médio
    • Baixa
    Motivo data.decision_reason Ver Tabela 2.
    Ação de política data.policy_action
    Redirecionar para obter mais informações
    O usuário não consegue acessar o aplicativo e é redirecionado para o endereço URL ou para o URI especificado.
    Bloquear (Substituir)
    A ação de bloqueio substitui todas as outras decisões na política.
    MFA (Substituição)
    A ação de MFA substitui todas as outras decisões na política.
    Permitir (Substituir)
    A ação de permissão substitui todas as outras decisões na política.
    Bloquear e redirecionar
    O usuário não consegue acessar o aplicativo e é redirecionado para o endereço URL ou para o URI especificado.
    Bloco
    O usuário é negado.
    Sempre executar MFA
    Sempre requerer MFA, ainda que na mesma sessão.
    MFA por sessão
    Caso ainda não tenha sido feito, forçar a MFA.
    Continuar
    O usuário tem permissão sem atualizar o registro do usuário no Adaptive.
    Permitir
    O usuário é permitido.
    Política
    • data.policy_name
    • data.policy_id
    		 O nome da política e o ID que são aplicados ao evento.
    Aplicativo data.applicationname O nome do aplicativo que é acessado.
    Local
    • data.city
    • data.region
    • data.country
    		 A cidade, o estado e o país onde o evento ocorreu.
    Dispositivo
    • data.browser
    • data.os
    		 O navegador e o sistema operacional que foram usados pelo dispositivo.
    IP do cliente data.origin O endereço IP do dispositivo que fez a solicitação de autenticação. Os detalhes contêm um link X-Force IP report para avaliar o valor de ameaça do endereço.
    Tabela 2. Fundamentos da decisão
    Motivo da decisão Descrição
    Acesso a partir de um dispositivo com MFA pendente Um dispositivo foi solicitado para MFA e o MFA não foi concluído. Na próxima sessão no mesmo dispositivo para o mesmo usuário, o MFA é solicitado novamente. A pontuação de risco permanece a mesma da última sessão.
    Acesso a partir de um dispositivo conhecido e confiável O acesso foi feito com um dispositivo utilizado anteriormente pelo usuário. Com base na inteligência de dispositivo do Trusteer, trata-se de um dispositivo confiável.
    Acesso a partir de um dispositivo conhecido com uma nova conexão O acesso foi feito com um dispositivo utilizado anteriormente pelo usuário. No entanto, o acesso é por meio de um provedor de serviços da Internet (ISP) diferente, de uma localização geográfica diferente ou de um método de conexão diferente.
    Acesso com uma mudança nos atributos do dispositivo O acesso foi feito usando um novo dispositivo ou um dispositivo conhecido com mudança significativa em seus atributos. Os atributos de hardware e software são examinados para determinar uma mudança nos atributos de dispositivo.
    Acesso com uma mudança no comportamento do usuário O mecanismo de risco do Trusteer aprende o comportamento do usuário, analisando os padrões de acesso. Quando se observa uma mudança no comportamento do usuário, um alerta é enviado. Por exemplo, um acesso feito pela primeira vez depois do horário de trabalho é considerado uma mudança de comportamento.
    Acesso incluindo a indicação de um dispositivo arriscado Os atributos do dispositivo foram considerados arriscados com base na inteligência de segurança do Trusteer. A inteligência de segurança do Trusteer constantemente passa por expansões e atualizações com base em pesquisas detalhadas e análises de dados.
    Serviço de risco indisponível - risco médio aplicado O sistema não pôde concluir a avaliação de risco. A ação de política para o nível de risco médio foi aplicada.
    Acesso por meio de um dispositivo que passou pelo MFA na sessão atual A conta do usuário foi acessada a partir de um dispositivo que concluiu a autenticação de duas etapas (MFA) com sucesso na sessão atual.
    Acesso pelo mesmo dispositivo após a falha na autenticação de diversos fatores A conta do usuário foi acessada por um dispositivo que anteriormente não passou no teste de autenticação multifatorial (MFA). É necessária uma verificação de autenticação de dois fatores (MFA) adicional para confirmar a legitimidade do acesso.
    Acesso com indicação de localização de risco A conta do usuário foi acessada por meio de um novo dispositivo cujos dados de localização são considerados de risco e não estão associados à conta.
    Acesso suspeito de um dispositivo infectado por malware A conta do usuário foi acessada por meio de um dispositivo infectado por malware.
    Acesso com indicação de linguagem imprópria A conta do usuário foi acessada por meio de um novo dispositivo cujos atributos de idioma do navegador são considerados de risco e não estão associados à conta.
    Acesso com indicação de serviço de hospedagem de risco A conta do usuário foi acessada por meio de um novo dispositivo que está se conectando a partir de um serviço de hospedagem conhecido por apresentar riscos e que não está associado à conta.
    Acesso com indicação de máquina virtual A conta do usuário foi acessada por meio de um dispositivo com características associadas ao uso de uma máquina virtual.
    Acesso com indicação de uma ferramenta de acesso remoto A conta do usuário foi acessada por meio de um dispositivo que se suspeita ser controlado remotamente por outro dispositivo.

    Selecione um evento para ver os detalhes associados a ele. Veja os detalhes do evento Adaptive Access.

  4. Opcional: Selecione os filtros para filtrar os resultados.
    É possível procurar por
    Identidade
    As seleções de filtro são nome de usuário e região.
    Origem
    As seleções de filtro são o IP e o local do cliente.
    Detalhes do evento
    As seleções de filtro são nível de risco, nome da política, ID da política, nome do aplicativo, razão e ID de sessão.
    É possível usar qualquer combinação de filtros para refinar os seus resultados. Selecione Aplicar filtros para modificar o relatório. Os filtros selecionados são exibidos acima do gráfico. É possível limpar os filtros, selecionando o link Reconfigurar.
    Observação: Os campos de pesquisa diferenciam maiúsculas de minúsculas.
  5. Mude o intervalo de data para o relatório.
    Selecione as datas De e Para para exibir os menus suspensos do calendário e selecione as datas para o relatório. Não é possível voltar mais de 90 dias.
    Observação: A data de destino não pode ser posterior à data atual.
  6. Selecione “Executar relatório ”.
    As informações do Relatório são atualizadas.
  7. Opcional: Gerar um arquivo ` CSV ` para o relatório.
    1. Clique em “Gerar” CSV.
    2. Siga as instruções em “Como baixar um relatório do CSV ”.