自适应风险事件有效载荷
您可以使用以下自适应风险事件有效载荷,为事件通知 Webhook 和 API 触发异步工作流和同步操作。
| 名称 | 数据类型 | 描述 |
|---|---|---|
| data.applicationid | 字符串 | 该事件所针对的应用程序的标识符。 |
| data.applicationname | 字符串 | 资源目标的应用程序名称: application、entitlement。 |
| data.applicationtype | 字符串 | 资源目标的应用程序类型: 应用程序、授权。 |
| data.behavioral_anomaly | 字符串 | 指定用户的行为是否偏离了其自身或组织的常规行为模式。 例如,false。 |
| data.behavioral_score | 字符串 | 表示在传统的用户名和密码身份验证过程中出现的行为模式异常程度。 例如,-1。注意: 要使用此属性,必须在“验证”登录页面上启用并配置该功能。
|
| data.browser | 字符串 | Adaptive Access 报告了该浏览器。 例如,移动版 Safari。 注意: 可能与基础事件中的浏览器或用户代理不同。
|
| data.city | 字符串 | 《自适应访问》报道了该市的情况。 例如辛辛那提。 注: 可能与基础事件中的“Geo-City”有所不同。
|
| data.country | 字符串 | Adaptive Access 报告了该国的情况。 例如,美国。 注: 可能与基础事件中的地理国家/地区不同。
|
| data.csid | 字符串 | 自适应访问会话 ID。 例如,abcde1f2-gh33-44ii-5jjbk-666l77m888nn。 |
| data.decision_decisionCode | 字符串 | 在匹配的访问策略规则中,最后一个访问策略条件元素。 例如,TRUSTEER_OK。 |
| data.decision_reason | 字符串 | 匹配访问策略规则和条件的最终原因说明。 例如,Access from a known and trusted device。 |
| data.device_authentication_status | 字符串 | 基于当前及上次登录时接收到的信息,显示该设备在该账户范围内的身份验证状态。 例如,authenticated。 |
| data.devicetype | 字符串 | 浏览器的用户代理。 |
| data.gd_id | 字符串 | 自适应访问全球设备标识符。 例如,1111ABCD2E33F44GHI55J6K777777777777777L88888888MN999P1Q2RS3333T4-12345678。 |
| data.isp | 字符串 | Adaptive Access 报告了互联网服务提供商。 例如,Spectrum。 |
| data.new_device | 字符串 | 指定该设备是否为该账户中的新设备。 例如,false。 |
| data.new_location | 字符串 | 指定该用户的位置信息是否为该账户中的新信息。 例如,false。 |
| data.origin | 字符串 | 导致生成事件的系统的 IP 地址。 |
| data.os | 字符串 | Adaptive Access 报告的操作系统。 例如 iOS。 |
| data.pdxid_a2Pdx | 字符串 | 在访问策略评估过程中匹配到的访问策略条件 ID。 例如,a2Pdx。注意: 每个匹配条件、策略或“始终运行”规则都可能存在多个匹配项。
|
| data.pdxid_DefaultRule | 字符串 | 只有在访问策略评估过程中未匹配到任何访问策略条件 ID 时,才会使用默认规则值。 |
| data.pdxname_a2Pdx | 字符串 | 在访问策略评估过程中匹配到的访问策略条件名称。 例如,com.ibm.security.access.risk.rt.pdx.trusteer.A2PdxModuleImpl。注意: 每个匹配条件、策略或“始终运行”规则都可能存在多个匹配项。
|
| data.pdxname_DefaultRule | 字符串 | 只有在访问策略评估过程中未匹配到任何访问策略条件名称时,才会使用默认规则值。 |
| data.pdxreason_a2Pdx | 字符串 | 匹配访问策略规则和条件的理由说明。 例如, XXXXX1234I 用户 [ 123456A5BB ]、会话索引 [ aaaaa0b2-ccc33-44dd-5eee-666f77g888hh ] 和租户 [ mycoid.verify.myco.com ] 的信息均被视为可信。注意: 每个匹配条件、策略或“始终运行”规则都可能存在多个匹配项。
|
| data.pdxreason_DefaultRule | 字符串 | 只有在访问策略评估过程中未匹配到任何访问策略条件时,才会应用默认规则值。 |
| data.pdxreasoncode_a2Pdx | 字符串 | 在匹配的访问策略规则中,访问策略条件元素。 例如,TRUSTEER_OK。注意: 每个匹配条件、策略或“始终运行”规则都可能存在多个匹配项。
|
| data.pdxreasoncode_DefaultRule | 字符串 | 只有在访问策略评估过程中未匹配到任何访问策略条件原因代码时,才会显示默认规则值。 |
| data.policy_action | 字符串 | 在访问策略评估过程中,所有匹配的访问策略规则中优先级最高的最终操作。 例如,ACTION_ALLOW。 |
| data.policy_id | 字符串 | 访问策略 ID。 例如,12345。 |
| data.policy_name | 字符串 | 访问策略名称。 例如,Adaptive Access。 |
| data.policy_re_evaluation | Boolean | 指示此事件是否为对访问策略的重新评估,例如在发生身份验证 MFA Always 挑战或上下文变更 Redirect for additional 之后。 |
| data.previous_successful_mfa | 字符串 | 该设备上次成功完成多因素身份验证(MFA)时的协调世界时(UTC)。 例如,2023-01-27 01:36:21。 |
| data.realm | 字符串 | 用户的身份源。 示例 云目录 - CloudIdentityRealm, IBMid - www.ibm.com SAML 企业 - AzureRealm LDAP pass-through - www.cloudsecurity.com OIDC - www.yahoo.com |
| data.reason | 字符串 | 访问策略决策的自适应访问依据。 例如,Access from a known and trusted device。 |
| data.reason_id | 字符串 | 访问策略决策的自适应访问原因 ID。 例如,1001。 |
| data.recommendation | 字符串 | 自适应访问建议的访问策略操作。 例如,allow_login。 |
| data.region | 字符串 | 指定发出请求的地区。 |
| data.remote_ip | 字符串 | Adaptive Access 报告的 IP 地址。 例如,111.11.111.11。注意: 该地址可能与基础事件中的“Origin”不同。
|
| data.requestid | 字符串 | 在访问策略评估过程中匹配到的访问策略请求 ID。 |
| data.risk_level | 字符串 | 自适应访问功能会根据当前会话中观察到的数值和行为与用户历史记录之间的关联性,来评估风险等级。 例如,LOW。 |
| data.risk_score | 字符串 | 自适应访问评估的风险评分。 例如,100。 |
| data.risky_connection | 字符串 | 指定会话连接是否已与托管服务断开。 例如,false。 |
| data.risky_device | 字符串 | 指定当前会话中使用的浏览器版本是否存在安全风险。 例如,false。 |
| data.rule_id | 字符串 | 在访问策略评估过程中匹配到的访问策略规则 ID。 例如,2222222222222。 |
| data.rule_name | 字符串 | 在访问策略评估过程中匹配到的访问策略规则名称。 例如,Adaptive access。 |
| data.snippet_id | 字符串 | 自适应访问应用程序 ID。 例如,123456。 |
| data.useragent | 字符串 | Adaptive Access 报告的用户代理(浏览器)。 例如,Mozilla/5.0 (iPhone; CPU iPhone OS 16_2 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/16.2 Mobile/15E148 Safari/604.1。devicetype 注意: User-Agent 可能与基础事件中的有所不同。 |
| data.userid | 字符串 | 验证触发该事件的用户 ID。 |
| data.username | 字符串 | 用于登录 Verify 的唯一标识符。 可与用户的电子邮件地址相同。 |
| geoip.city_name geoio.continent_name geoip.country_iso_code geoip.country_name geoip.location geoip.region_name |
字符串 | 由事件服务使用 data.origin 扩充。 |
示例
以下代码是一个示例有效载荷。 使用 Events API 获取实际属性。 参见 https://docs.verify.ibm.com/verify/reference/getallevents 和 https://docs.verify.ibm.com/verify/docs/pulling-event-data。
{
"geoip": {
"continent_name": "North America",
"city_name": "Venice",
"country_iso_code": "USA",
"ip": "11.11.111.111",
"country_name": "United States",
"region_name": "California",
"location": {
"lon": "-118.4644",
"lat": "33.9955"
}
},
"data": {
"new_device": "newdevice",
"country": "USA",
"risky_connection": "false",
"policy_id": "riskpolicyid",
"city": "Austin",
"origin": "11.11.111.111",
"isp": "isp",
"userid": "userid",
"devicetype": "devicetype",
"new_location": "newlocale",
"browser": "testbrowser",
"policy_action": "testpolicy",
"applicationid": "riskappid",
"behavioral_anomaly": "riskbehavior",
"risky_device": "false",
"os": "testos",
"risk_score": "100",
"csid": "testcsid",
"rule_name": "riskrule",
"policy_name": "riskpolicy",
"applicationname": "riskapp",
"rule_id": "riskruleid",
"risk_level": "LOW",
"realm": "www.ibm.com",
"decision_reason": "testreason",
"region": "south",
"username": "username"
},
"year": 2023,
"event_type": "adaptive_risk",
"month": 2,
"indexed_at": 1675247929170,
"tenantid": "22222222-2222-2222-2222-222222222222",
"tenantname": "tenant name.verify.ibmcloudsecurity.com",
"correlationid": "CORR_ID-3333333333-3333-3333-3333-333333333333",
"id": "44444444-4444-4444-4444-444444444444",
"time": 1675247929164,
"day": 1
}