生成自适应访问活动报告

在线编辑

您可以从 IBM® Verify 管理控制台生成 "自适应访问" 活动报告。

准备工作

  • 您必须具有管理许可权或成为 helpdesk 组的成员,才能完成此任务。
  • 以管理员身份登录到 IBM Verify 管理控制台。

过程

  1. 选择 “报告与诊断 ”> “报告 ”。
    这将显示认证活动、应用程序使用情况、管理员活动和多因子认证活动的磁贴。 自适应访问磁贴将显示过去 24 小时的摘要信息。
  2. 选择 自适应访问 磁贴上的 查看报告 链接。
    当日的摘要报告会显示:
    • 调用总数
    • 级别为“非常高”的风险尝试次数
    • 级别为“高”的风险尝试次数
    • 级别为“中”的风险尝试次数
    • 级别为“低”的风险尝试次数

    将显示所选时间段内调用数的有颜色编码的可缩放图示。 您可以沿日期线移动鼠标指针来查看已检测到的风险级别的每日摘要。 时间段最长可达 90 天。 图形比例尺以数据集为基础,调用时间显示为本地时间。

    还将显示个人用户的认证活动。 请参阅 表 1。 选择事件以查看与其相关的详细信息。 查看自适应访问事件详情

  3. 在图下方,显示各个用户的认证活动。
    表 1. 个人活动信息
    信息 属性 描述
    时间戳记 time 自适应访问事件发生的日期和时间。
    用户
    用户名
    data.username
    data.realm
    		 包含
    用户名
    用于登录到 Verify的唯一标识。 可与用户的电子邮件地址相同。
    用于帮助区分在多个身份源中具有相同用户名的用户的身份源属性。

    此信息显示在 “用户和组 ”> “用户 ”选项卡以及 “编辑用户 ”对话框中。

    对于以下身份源:
    • Cloud Directory,域值为 cloudIdentityRealm
    • IBMid,域值为 www.ibm.com
    • SAML Enterprise,域值可以是创建身份源时分配的任何唯一名称。
    • OnPrem LDAP,域值可以是您在创建身份源时指定的任何唯一名称。
    风险级别 data.risk_level
    • 非常高
    原因 data.decision_reason 请参阅 表 2
    策略操作 data.policy_action
    重定向以获取更多信息
    用户无法访问该应用程序,并被重定向到指定URL 或URI。
    阻止(覆盖)
    “阻止”操作将覆盖策略中的所有其他决策。
    MFA(覆盖)
    “MFA”操作将覆盖策略中的所有其他决策。
    允许(覆盖)
    “允许”操作将覆盖策略中的所有其他决策。
    阻止并重定向
    用户无法访问该应用程序,并被重定向到指定URL 或URI。
    阻止
    用户被拒绝。
    始终使用 MFA
    始终要求进行 MFA,即使在同一会话中。
    每个会话执行一次 MFA
    如果尚未执行 MFA,将强制执行 MFA。
    继续
    允许用户不更新自适应用户记录。
    允许
    允许用户。
    策略
    • data.policy_name
    • data.policy_id
    		 应用于事件的策略名称和标识。
    应用程序 data.applicationname 访问的应用程序的名称。
    位置
    • data.city
    • data.region
    • data.country
    		 发生事件的城市、省/直辖市/自治区以及国家或地区。
    设备
    • data.browser
    • data.os
    		 设备使用的浏览器和操作系统。
    客户机 IP data.origin 发出认证请求的设备的 IP 地址。 详细信息包含 X-Force IP report 链接,用于评估地址的威胁值。
    表 2. 裁决理由
    决策原因 描述
    从暂挂 MFA 的设备访问 设备提示 MFA,并且 MFA 未完成。 在相同设备上同一用户的下一个会话中,将再次提示 MFA。 风险评分与上次会话保持相同。
    访问(通过已知的可信设备) 访问是使用用户先前使用的设备进行的。 根据 Trusteer 设备情报,这是可信设备。
    访问(通过已知设备使用新连接) 访问是使用用户先前使用的设备进行的。 但是,访问采用的是不同的因特网服务提供商 (ISP)、不同的地理位置或不同的连接方法。
    访问(设备属性中有更改) 访问是使用新设备或已知设备进行的,但设备属性有重大更改。 将检查硬件和软件属性,以确定设备属性的更改。
    访问(用户行为更改) Trusteer 的风险引擎通过分析访问模式来了解用户行为。 在注意到用户行为的更改时,会发送警报。 行为更改的示例包括在下班后首次访问。
    访问(包含有风险设备指示) 根据 Trusteer 的安全情报,设备属性确定为有风险。 Trusteer 的安全情报在深入研究和数据分析的基础上不断扩展和更新。
    风险服务不可用 - 应用了中等风险 系统无法完成风险评估。 已应用中等风险级别的策略操作。
    从在当前会话中通过 MFA 的设备进行访问 已从在当前会话中成功完成 MFA 的设备访问用户的帐户。
    在多因子认证失败后由同一设备进行访问 用户的帐户已由先前未通过 MFA 质询的设备访问。 需要额外的 MFA 质询来验证访问的合法性。
    使用有风险的位置指示进行访问 用户的帐户是使用具有地理位置属性的新设备访问的,这些属性被视为有风险,并且与该帐户没有关联。
    从受恶意软件感染的设备进行可疑访问 使用受恶意软件感染的设备访问了用户的帐户。
    使用有风险的语言指示进行访问 使用具有浏览器语言属性的新设备访问了用户的帐户,这些浏览器语言属性被视为有风险且未与该帐户关联。
    使用有风险的托管服务指示进行访问 用户的帐户是使用新设备进行访问的,该设备是从未与帐户关联的已知有风险的托管服务进行连接的。
    使用虚拟机指示进行访问 用户的帐户是使用具有与使用虚拟机相关联的特征的设备进行访问的。
    使用远程访问工具指示进行访问 用户的帐户是使用可能由另一个设备远程控制的设备访问的。

    选择事件以查看与其相关的详细信息。 查看自适应访问事件详情

  4. 可选: 选择筛选条件以过滤结果。
    可以按以下条件进行搜索
    身份
    过滤器选项为用户名和域。
    过滤器选项为客户机 IP 和位置。
    事件详细信息
    过滤器选择为风险级别、策略名称、策略标识、应用程序名称、原因和会话标识
    您可以使用任何过滤器组合来优化结果。 选择应用过滤器以修改报告。 所选的过滤器已显示在图形上方。 可以通过选择重置链接来清除过滤器。
    注: 搜索字段区分大小写。
  5. 更改报告的日期范围。
    选择开始结束日期,以显示日历下拉菜单,并选择报告的日期。 您无法追溯到 90 天以前。
    注: 结束日期 不能超过当前日期。
  6. 选择 运行报告
    刷新报告信息。
  7. 可选: 为报告生成CSV文件。
    1. 单击 生成 CSV
    2. 请按照 《下载CSV报告》 中的说明操作。