生成自适应访问活动报告

您可以从管理控制台 IBM® Verify 生成自适应访问活动报告。

准备工作

  • 您必须具有管理许可权或成为 helpdesk 组的成员,才能完成此任务。
  • 以管理员身份登录管理控制台 IBM Verify

过程

  1. 选择 “报告与诊断 ”> “报告 ”。
    这将显示认证活动、应用程序使用情况、管理员活动和多因子认证活动的磁贴。 自适应访问磁贴将显示过去 24 小时的摘要信息。
  2. “自适应访问 ”磁贴上,选择 “查看报告 ”链接。
    当日的摘要报告会显示:
    • 调用总数
    • 级别为“非常高”的风险尝试次数
    • 级别为“高”的风险尝试次数
    • 级别为“中”的风险尝试次数
    • 级别为“低”的风险尝试次数

    将显示所选时间段内调用数的有颜色编码的可缩放图示。 您可以沿日期线移动鼠标指针来查看已检测到的风险级别的每日摘要。 时间段最长可达 90 天。 图形比例尺以数据集为基础,调用时间显示为本地时间。

    还将显示个人用户的认证活动。 参见表1。 选择事件以查看与其相关的详细信息。 请参阅 “自适应访问”活动的详细信息

  3. 在图下方,显示各个用户的认证活动。
    表 1. 个人活动信息
    信息 属性 描述
    时间戳记 time 自适应访问事件发生的日期和时间。
    用户
    用户名
    data.username
    data.realm
    包含
    用户名
    Verify用于登录的唯一标识符。 可与用户的电子邮件地址相同。
    用于帮助区分在多个身份源中具有相同用户名的用户的身份源属性。

    此信息显示在 “用户与组 ”> “用户” 选项卡中,以及 “编辑用户 ”对话框中。

    对于以下身份源:
    • 云目录 ,领域值为 cloudIdentityRealm
    • IBMid ,域值为 www.ibm.com.
    • SAML 在“企业” 中,域值可以是您在创建身份源时指定的任何唯一名称。
    • OnPrem LDAP ,其中“realm”的值可以是您在创建身份源时指定的任何唯一名称。
    风险级别 data.risk_level
    • 非常高
    原因 data.decision_reason 见表2
    策略操作 data.policy_action
    重定向以获取更多背景信息
    用户无法访问该应用程序,并将被重定向至指定的 URL 或 URI。
    阻止(覆盖)
    “阻止”操作将覆盖策略中的所有其他决策。
    MFA(覆盖)
    “MFA”操作将覆盖策略中的所有其他决策。
    允许(覆盖)
    “允许”操作将覆盖策略中的所有其他决策。
    阻止并重定向
    用户无法访问该应用程序,并将被重定向至指定的 URL 或 URI。
    阻止
    用户被拒绝。
    始终使用 MFA
    始终要求进行 MFA,即使在同一会话中。
    每个会话执行一次 MFA
    如果尚未执行 MFA,将强制执行 MFA。
    继续
    允许该用户访问,无需更新自适应用户记录。
    允许
    允许用户。
    策略
    • data.policy_name
    • data.policy_id
    应用于事件的策略名称和标识。
    应用程序 data.applicationname 访问的应用程序的名称。
    位置
    • data.city
    • data.region
    • data.country
    发生事件的城市、省/直辖市/自治区以及国家或地区。
    设备
    • data.browser
    • data.os
    设备使用的浏览器和操作系统。
    客户机 IP data.origin 发出认证请求的设备的 IP 地址。 详细信息包含 X-Force IP report 链接,用于评估地址的威胁值。
    表 2. 裁决理由
    决定理由 描述
    从暂挂 MFA 的设备访问 设备提示 MFA,并且 MFA 未完成。 在相同设备上同一用户的下一个会话中,将再次提示 MFA。 风险评分与上次会话保持相同。
    访问(通过已知的可信设备) 访问是使用用户先前使用的设备进行的。 根据 Trusteer 设备情报,这是可信设备。
    访问(通过已知设备使用新连接) 访问是使用用户先前使用的设备进行的。 但是,访问采用的是不同的因特网服务提供商 (ISP)、不同的地理位置或不同的连接方法。
    访问(设备属性中有更改) 访问是使用新设备或已知设备进行的,但设备属性有重大更改。 将检查硬件和软件属性,以确定设备属性的更改。
    访问(用户行为更改) Trusteer 的风险引擎通过分析访问模式来了解用户行为。 在注意到用户行为的更改时,会发送警报。 行为更改的示例包括在下班后首次访问。
    访问(包含有风险设备指示) 根据 Trusteer 的安全情报,设备属性确定为有风险。 Trusteer 的安全情报在深入研究和数据分析的基础上不断扩展和更新。
    风险服务不可用 - 应用了中等风险 系统无法完成风险评估。 已应用中等风险级别的策略操作。
    从当前会话中已通过多因素身份验证的设备访问 该用户账户是从一台在当前会话中已成功完成多因素身份验证(MFA)的设备上访问的。
    同一设备在多因素身份验证失败后再次尝试访问 该用户账户被一台此前未能通过多因素身份验证(MFA)验证的设备访问。 需要进行额外的一次多因素身份验证(MFA)以验证访问的合法性。
    访问时显示风险位置提示 有人使用了一台新设备访问了该用户的账户,该设备的地理位置信息被视为存在风险,且与该账户无关联。
    来自受恶意软件感染设备的可疑访问 该用户账户是通过一台感染了恶意软件的设备进行的访问。
    访问时显示风险语言提示 有人使用了一台新设备访问了该用户的账户,该设备的浏览器语言属性被视为存在风险,且与该账户无关联。
    访问时提示存在风险的主机服务 有人使用一台新设备访问了该用户的账户,该设备连接自一个已知存在风险的托管服务,且该服务与该账户无关联。
    带有虚拟机标识的访问 有人使用了一台具有虚拟机使用特征的设备访问了该用户的账户。
    使用远程访问工具进行访问的提示 有人使用一台疑似受其他设备远程控制的设备访问了该用户的账户。

    选择事件以查看与其相关的详细信息。 请参阅 “自适应访问”活动的详细信息

  4. 可选: 选择筛选条件以筛选结果。
    可以按以下条件进行搜索
    身份
    过滤器选项为用户名和域。
    过滤器选项为客户机 IP 和位置。
    事件详细信息
    过滤器选择为风险级别、策略名称、策略标识、应用程序名称、原因和会话标识
    您可以使用任何过滤器组合来优化结果。 选择应用过滤器以修改报告。 所选的过滤器已显示在图形上方。 可以通过选择重置链接来清除过滤器。
    注意: 搜索字段区分大小写。
  5. 更改报告的日期范围。
    选择开始结束日期,以显示日历下拉菜单,并选择报告的日期。 您无法追溯到 90 天以前。
    注意: 截止日期不能晚于当前日期。
  6. 选择 “运行报告 ”。
    刷新报告信息。
  7. 可选: 为该报告生成一个 CSV 文件。
    1. 点击 “生成 CSV ”。
    2. 请按照 《下载 CSV 报告 》中的说明操作。