风险事件有效载荷
您可以使用以下风险事件有效载荷,为事件通知 Webhook 和 API 触发异步工作流和同步操作。
| 名称 | 数据类型 | 描述 |
|---|---|---|
| data.applicationid | 字符串 | 该事件所针对的应用程序的标识符。 |
| data.applicationname | 字符串 | 资源目标的应用程序名称。 例如,申请或资格。 |
| data.applicationtype | 字符串 | 资源目标的应用程序类型。 例如,申请或资格。 |
| data.decision_decisionCode | 字符串 | 在匹配的访问策略规则中,最后一个访问策略条件元素。 例如,TRUSTEER_OK。 |
| data.decision_reason | 字符串 | 匹配访问策略规则和条件的最终原因说明。 |
| data.devicetype | 字符串 | 浏览器的用户代理。 |
| data.origin | 字符串 | 导致生成事件的系统的 IP 地址。 |
| data.pdxid_ <匹配规则条件> | 字符串 | 在访问策略评估过程中匹配到的访问策略条件 ID。 注意: 每个匹配条件、策略或“始终运行”规则可能会有多个匹配项。 |
| data.pdxid_DefaultRule | 字符串 | 只有在访问策略评估过程中未匹配到任何访问策略条件 ID 时,才会使用默认规则值。 |
| data.pdxidname_ <匹配规则条件> | 字符串 | 在访问策略评估过程中匹配到的访问策略条件名称。 例如,com.ibm.security.access.risk.rt.pdx.trusteer.A2PdxModuleImpl。注意: 每个匹配条件、策略或“始终运行”规则可能会有多个匹配项。 |
| data.pdxname_DefaultRule | 字符串 | 只有在访问策略评估过程中未匹配到任何访问策略条件名称时,才会使用默认规则值。 |
| data.pdxreason_ <匹配规则条件> | 字符串 | 匹配访问策略规则和条件的理由说明。 例如, XXXXX1234I 用户 [ 123456A5BB ]、会话索引 [ aaaaa0b2-ccc33-44dd-5eee-666f77g888hh ] 和租户 [ mycoid.verify.myco.com ] 的信息是可信的。注意: 每个匹配条件、策略或“始终运行”规则可能会有多个匹配项。 |
| data.pdxreason_DefaultRule | 字符串 | 只有在访问策略评估过程中未匹配到任何访问策略条件时,才会应用默认规则值。 |
| data.pdxreasoncode_ <匹配规则条件> | 字符串 | 在访问策略评估过程中匹配到的访问策略条件原因代码。 注意: 每个匹配条件、策略或“始终运行”规则可能会有多个匹配项。 |
| data.pdxreasoncode_DefaultRule | 字符串 | 只有在访问策略评估过程中未匹配到任何访问策略条件原因代码时,才会显示默认规则值。 |
| data.policy_action | 字符串 | 在访问策略评估过程中,所有匹配的访问策略规则中优先级最高的最终操作。 例如,ACTION_ALLOW。 |
| data.policy_id | 字符串 | 访问策略 ID。 例如,12345。 |
| data.policy_name | 字符串 | 访问策略名称。 例如,Access Policy。 |
| data.policy_re_evaluation | Boolean | 指示此事件是否为对访问策略的重新评估,例如在发生身份验证 MFA Always 挑战或上下文变更 Redirect for additional 之后。 |
| data.realm | 字符串 | 用户的身份源。 示例 云目录 - CloudIdentityRealm, IBMid - www.ibm.com SAML 企业 - AzureRealm LDAP pass-through - www.cloudsecurity.com OIDC - www.yahoo.com |
| data.requestid | 字符串 | 在访问策略评估过程中匹配到的访问策略请求 ID。 |
| data.rule_id | 字符串 | 在访问策略评估过程中匹配到的访问策略规则 ID。 |
| data.rule_name | 字符串 | 在访问策略评估过程中匹配到的访问策略规则名称。 |
| data.userid | 字符串 | 验证触发该事件的用户 ID。 |
| data.username | 字符串 | 用于登录 Verify 的唯一标识符。 可与用户的电子邮件地址相同。 |
| geoip.city_name geoio.continent_name geoip.country_iso_code geoip.country_name geoip.location geoip.region_name |
字符串 | 由事件服务使用 data.origin 扩充。 |
示例
以下代码是一个示例有效载荷。 使用 Events API 获取实际属性。 参见 https://docs.verify.ibm.com/verify/reference/getallevents 和 https://docs.verify.ibm.com/verify/docs/pulling-event-data。
{
"geoip": {
"continent_name": "North America",
"city_name": "Austin",
"country_iso_code": "USA",
"ip": "111.11.11.1",
"country_name": "United States",
"region_name": "Texas",
"location": {
"lon": "-97.7207",
"lat": "30.4293"
}
},
"data": {
"policy_id": "2222222",
"decision_decisionCode": "DEFAULT_RULE",
"rule_name": "Default rule",
"origin": "111.11.11.1",
"pdxid_DefaultRule": "DefaultRule",
"policy_name": "Allow access (Custom)",
"userid": "3333333333",
"devicetype": "Saturn/5",
"pdxname_DefaultRule": "DefaultRuleProcessor PDX",
"rule_id": "4444444444444",
"pdxreasoncode_DefaultRule": "DEFAULT_RULE",
"pdxreason_DefaultRule": "CSIBI0031I The policy's default rules for user [ 3333333333 ] and tenant [ tenant name.verify.ibmcloudsecurity.com ] triggered action [ ACTION_ALLOW ]",
"requestid": "55555555-5555-5555-5555-555555555555",
"decision_reason": "CSIBI0031I The policy's default rules for user [ 3333333333 ] and tenant [ tenant name.verify.ibmcloudsecurity.com ] triggered action [ ACTION_ALLOW ]",
"realm": "cloudIdentityRealm",
"policy_action": "ACTION_ALLOW",
"username": "email address"
},
"year": 2023,
"event_type": "risk",
"month": 1,
"indexed_at": 1674820363305,
"tenantid": "66666666-6666-6666-6666-666666666666",
"tenantname": "tenant name.verify.ibmcloudsecurity.com",
"correlationid": "CORR_ID-7777777777-7777-7777-7777-777777777777",
"id": "88888888-8888-8888-8888-888888888888",
"time": 1674820362822,
"day": 27
}