威胁事件有效载荷
您可以使用以下威胁事件有效载荷,为事件通知 Webhook 和 API 触发异步工作流和同步操作。
| 名称 | 数据类型 | 描述 |
|---|---|---|
| data.anomalous_event_count | 数字 | 对异常持续期间观测到的异常事件数量的估计。 |
| data.anomalous_suspicious_ips | 字符串 | 一份IP地址列表,这些IP地址在 suspicious_ips 过去一小时内的行为与过去7天的行为相比出现了异常。 |
| data.component | 字符串 | 用于生成威胁警报的事件类型所属的类别。 这些值可以是 Login activity 或 Management activity。 |
| data.compromised_users | 字符串 | 一份列出了在攻击期间从可疑IP地址成功登录的用户名单。 |
| data.date | 日期 | 观察到该异常现象的日期。 |
| data.end_time | 字符串 | 对异常现象进行分析的时间范围。 |
| data.impacted_user_count | 数字 | 在攻击期间登录的独立用户数量。 |
|
字符串 | 这些属性包含了一组值,这些值导致了75%的可疑流量。 |
| data.normal_traffic_volume | 数字 | 非异常时间段内事件计数的第90百分位数。 |
| data.rule_id | 字符串 | 该规则的别名。 |
| data.rule_name | 字符串 | 对该异常类型的简要描述。 |
| data.severity | 字符串 | 警报的严重程度。 critical例如, warning 或。 |
| data.source | 字符串 | 用于对数据进行分区的字段以及用于过滤的字段。 例如,以下内容摘自配置部分。 |
| data.start_time | 字符串 | 自异常被检测到以来的时间。 |
| data.summary | 字符串 | 该警报概览包含攻击或异常的来源及发生时间。 |
| data.top5_affected_data_grant_type | 字符串 | 在此次异常期间,导致失败最多的前5种资助类型。 |
| data.top5_affected_data_mfamethod | 字符串 | 在此次异常事件中导致最多失败的5种MFA方法 |
| data.top5_affected_data_origin | 字符串 | 在此次异常事件期间,该系统中遭受攻击最严重的5个IP地址是: |
| data.top5_affected_data_username | 字符串 | 在此次异常事件期间,该 systemusernames 网络中遭受攻击最频繁的前5个IP地址是: |
| data.top5_affected_geoip_country_name | 字符串 | 异常流量主要源自的前5个国家。 |
| data.top5_affected_tenantname | 字符串 | 异常期间遭受攻击最多的前5个租户名称。 |
示例
以下代码是一个示例有效载荷。 使用 Events API 获取实际属性。 参见 https://docs.verify.ibm.com/verify/reference/getallevents 和 https://docs.verify.ibm.com/verify/docs/pulling-event-data。
{
"data": {
"date": "2023-07-10",
"rule_attribute": "ibm:threat_abnormal_user_activities",
"most_significant_data_origin": [
"<IP>"
],
"top5_affected_data_username": "{'username': 20}",
"source": "[('data.mfamethod', 'Voice OTP'), ('data.username', 'username')]",
"suspicious_ips_count": 1,
"most_significant_data_mfamethod": [
"Voice OTP"
],
"most_significant_geoip_country_name": [
"India"
],
"most_significant_data_grant_type": [],
"top5_affected_tenantname": "{'tenant_name': 20}",
"anomalous_event_count": 20,
"most_significant_tenantname": [
"tenant_name"
],
"summary": "Abnormal number of device enrollments: 20 anomalous events are observed, beyond normal traffic volume, from 2023-07-10 19:00:00 UTC to 2023-07-10 20:00:00 UTC.",
"severity": "critical",
"top5_affected_data_origin": "{'<IP>': 20}",
"rule_name": "Abnormal number of device enrollments",
"impacted_user_count": 1,
"end_time": "2023-07-10 20:00:00",
"anomalous_suspicious_ips": [
"<IP>"
],
"rule_id": "ABNORMAL_DEVICE_ENROLLMENT",
"top5_affected_geoip_country_name": "{'India': 20}",
"start_time": "2023-07-10 19:00:00",
"component": "Login activity",
"normal_traffic_volume": 0,
"top5_affected_data_grant_type": "{}",
"top5_affected_data_mfamethod": "{'Voice OTP': 20}",
"most_significant_data_username": [
"username"
]
},
"year": 2023,
"event_type": "threat",
"month": 7,
"indexed_at": 1689019317074,
"tenantid": "tenant_id",
"tenantname": "tenant_name",
"servicename": "Anomaly-Detector",
"id": "<event_identifier>",
"time": 1689019315275,
"day": 10
}