Carga útil do evento de ameaça

Editar online

Você pode usar as seguintes cargas de eventos de ameaça para acionar fluxos de trabalho assíncronos e sincronizações para webhooks e APIs de notificação de eventos.

Tabela 1. Atributos da ameaça
Nome Tipo de D]ados Descrição
data.anomalous_event_count Número Uma estimativa do número de eventos anômalos observados durante o período da anomalia.
data.anomalous_suspicious_ips Sequência Uma lista de endereços IP suspicious_ips que apresentaram comportamento anômalo na última hora, quando comparados com o comportamento dos últimos 7 dias.
data.component Sequência A categoria do tipo de eventos que foi analisada para gerar o alerta de ameaça. Os valores podem ser Login activity ou Management activity.
data.compromised_users Sequência Uma lista dos usuários aos quais se conseguiu acessar a partir dos endereços IP suspeitos durante o ataque.
data.date Data A data em que a anomalia foi observada.
data.end_time Sequência O período até ao qual os eventos foram analisados para a anomalia.
data.impacted_user_count Número O número de usuários únicos que fizeram login durante o período do ataque.
  • data.most_significant_data_cause
  • data.most_significant_data_client_name
  • data.most_significant_data-mfamethod
  • data.most_significant_data_origin
  • data.most_significant_data_redirecturl
  • data.most_significant_data_scope
  • data.most_significant_data_sourcetype
  • data.most_significant_data_subtype
  • data.most dados_significativos_nome_de_usuário
  • data.most_significant_geoip_country_name
  • data.most_significant_tenantname
 Sequência Esses atributos contêm a lista de valores responsáveis por 75% do tráfego suspeito.
data.normal_traffic_volume Número O valor do percentil 90 da contagem de eventos em intervalos não anômalos.
data.rule_id Sequência O apelido da regra.
data.rule_name Sequência Uma breve descrição do tipo de anomalia.
data.severity Sequência O nível de gravidade do alerta. Por exemplo, warning ou critical.
data.source Sequência Os campos pelos quais os dados são particionados e os campos que são filtrados. Por exemplo, extraído da seção de configuração.
data.start_time Sequência O tempo decorrido desde que a anomalia foi detectada.
data.summary Sequência Visão geral do alerta que contém a origem e a hora do ataque ou da anomalia.
data.top5_affected_data_grant_type Sequência Os 5 principais tipos de subsídios que resultaram no maior número de falhas durante a anomalia.
data.top5_affected_data_mfamethod Sequência Os 5 principais tipos de método MFA que resultaram no maior número de falhas durante a anomalia
data.top5_affected_data_origin Sequência Os cinco principais endereços IP do sistema foram os mais atacados durante a anomalia.
data.top5_affected_data_username Sequência Os 5 principais endereços IP da systemusernames foram os mais atacados durante a anomalia.
data.top5_affected_geoip_country_name Sequência Os 5 principais países de onde se originou a maior parte do tráfego anômalo.
data.top5_affected_tenantname Sequência Os 5 principais nomes de locatários que foram mais atacados durante a anomalia.

exemplo

O código a seguir é um exemplo de carga útil. Use as APIs de eventos para obter os atributos reais. Consulte https://docs.verify.ibm.com/verify/reference/getallevents e https://docs.verify.ibm.com/verify/docs/pulling-event-data.

{
    "data": {
      "date": "2023-07-10",
      "rule_attribute": "ibm:threat_abnormal_user_activities",
      "most_significant_data_origin": [
        "<IP>"
      ],
      "top5_affected_data_username": "{'username': 20}",
      "source": "[('data.mfamethod', 'Voice OTP'), ('data.username', 'username')]",
      "suspicious_ips_count": 1,
      "most_significant_data_mfamethod": [
        "Voice OTP"
      ],
      "most_significant_geoip_country_name": [
        "India"
      ],
      "most_significant_data_grant_type": [],
      "top5_affected_tenantname": "{'tenant_name': 20}",
      "anomalous_event_count": 20,
      "most_significant_tenantname": [
        "tenant_name"
      ],
      "summary": "Abnormal number of device enrollments: 20 anomalous events are observed, beyond normal traffic volume, from 2023-07-10 19:00:00 UTC to 2023-07-10 20:00:00 UTC.",
      "severity": "critical",
      "top5_affected_data_origin": "{'<IP>': 20}",
      "rule_name": "Abnormal number of device enrollments",
      "impacted_user_count": 1,
      "end_time": "2023-07-10 20:00:00",
      "anomalous_suspicious_ips": [
        "<IP>"
      ],
      "rule_id": "ABNORMAL_DEVICE_ENROLLMENT",
      "top5_affected_geoip_country_name": "{'India': 20}",
      "start_time": "2023-07-10 19:00:00",
      "component": "Login activity",
      "normal_traffic_volume": 0,
      "top5_affected_data_grant_type": "{}",
      "top5_affected_data_mfamethod": "{'Voice OTP': 20}",
      "most_significant_data_username": [
        "username"
      ]
    },
    "year": 2023,
    "event_type": "threat",
    "month": 7,
    "indexed_at": 1689019317074,
    "tenantid": "tenant_id",
    "tenantname": "tenant_name",
    "servicename": "Anomaly-Detector",
    "id": "<event_identifier>",
    "time": 1689019315275,
    "day": 10
  }