Événements et rapports
Introduction
Ce guide décrit l'accès aux événements audités associés à Adaptive Access et comment interpréter les détails de l'événement.
Les événements d'accès adaptatif sont générés lorsqu'une politique d'accès adaptatif attribuée à une application native est invoquée pour une évaluation d' authentification basée sur une politique.
Les données de l'événement contiennent un certain nombre d'indicateurs clés de la détection, ainsi que des informations essentielles sur l'utilisateur, l'application, la politique d'accès et le résultat de l'évaluation. En outre, les données de session et les clés de corrélation sont disponibles pour aider l'assistance si le dépannage ne résout pas le problème.
L'évaluation de l'accès adaptatif est utilisée lors de l'obtention de l'assistance.
Les événements d'accès adaptatif peuvent être consultés en utilisant
Service d'événements API
L'API du service Events fournit les données brutes utilisées pour générer les rapports Adaptive Access et peut également être utilisée pour l'intégration SIEM. Tout développeur (ou utilisateur) disposant d'une adresse access token peut accéder aux événements à l'aide de l'API du service Events.
L'API "Événements" est décrite dans les informations de référence de l'API.
Pour recevoir des événements d'accès adaptatif, utilisez event_type="adaptive_risk" lorsque vous appelez l'API du service Events.
Obtenir un jeton d'accès
Obtenir un access token pour utiliser un client API qui a des droits manageReports ou readReports. La façon la plus simple de procéder est d'utiliser le flux OAuth "Client Credentials ".
curl --location --request POST 'https://<tenant_url>/v1.0/endpoint/default/token' \
--header 'Accept: application/json' \
--data-urlencode 'grant_type=client_credentials' \
--data-urlencode 'client_id=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx' \
--data-urlencode 'client_secret=xxxxxxxxxx'
{"access_token": "ixFpC9ToQmbwDzob280GxYqMko3d7zEFcArUBX1C","grant_id": "2340fa1c-ade9-4dd5-b349-7b5f6af388d4","token_type": "Bearer","expires_in": 7200}
Récupérer les événements
Utilisez le site access_token pour retrouver les événements adaptive_risk.
Vous pouvez également utiliser un filtre temporel pour remplacer la fenêtre de 24 heures par défaut et limiter les résultats à la période de dépannage connue.
curl --location --request GET 'https://<tenant_url>/v1.0/events?event_type=\%22adaptive_risk\%22&range_type=time&from=1600869600000&to=1600955999999' \
--header 'Accept: application/json' \
--header 'Authorization: Bearer ixFpC9ToQmbwDzob280GxYqMko3d7zEFcArUBX1C'
{
"response": {
"events": {
"search_after": {
"total_events": 3,
...
... }
...}
},
"success": true
}
Examiner les détails de l'événement.
L'événement JSON contient les détails de l'évaluation de la politique d'accès adaptative et inclut l'ID de session et l'ID de corrélation.
Les principaux détails de l'événement sont décrits dans les éléments de données de l'événement d'accès adaptatif.
{
"response": {
"events": {
...
"events": [
{ ... },
{
...
"data": {
...
"applicationid": "4587066640521568871",
"applicationname": "My Native Web App",
"policy_id": "357317",
"policy_name": "My Native Web Adaptive access policy",
"rule_id": "1596095800392",
"rule_name": "Adaptive Access",
"risk_level": "MEDIUM",
"policy_action": "ACTION_MFA_PER_SESSION",
"reason_id": "1003",
"reason": "Access with a change in device attributes",
"csid": "pp24c528943651cbe63c91dd0590b24323a80a0b401600954689",
...
"snippet_id": "511843",
"risk_score": "300",
...
"behavioral_anomaly": "false",
"new_device": "true",
"risky_device": "false",
"risky_connection": "false",
"isp": "TPG Internet",
"city": "Brisbane",
"country": "AUS",
"new_location": "true",
...
},
"year": 2020,
"event_type": "adaptive_risk",
"month": 9,
"day": 24,
"time": 1600954701039,
...
"correlationid": "CORR_ID-1c1ec6f4-07b2-4a20-ab9f-9adc62b980cd"
},
{ ...},
]
}
},
...
}
Rapport sur l'accès adapté
Pour accéder au rapport sur l'accès adaptatif, reportez-vous à la section Générer un rapport d'activité sur l'accès adaptatif.
Les rapports sur l'accès adaptatif ne sont disponibles que dans la console d'administration IBM® Verify, mais le groupe readonly peut être utilisé pour permettre aux développeurs d'accéder aux rapports sans avoir le droit de modifier la configuration.
Les membres de ce groupe peuvent cliquer sur Passer à l'administrateur pour accéder à la console d'administration à partir de la page d'accueil de l'utilisateur. Ils peuvent afficher des informations sur les applications, les
opérations de gouvernance, les utilisateurs et les groupes, les rapports et
la configuration.
Pour activer les autorisations readonly, reportez-vous à la rubrique Gestion des groupes dans le produit IBM Verify du Centre de connaissances IBM®.
Naviguer vers les rapports
Pour consulter le rapport sur l'accès adaptatif, accédez à la page Rapports dans la console d'administration IBM® Verify.
La tuile Accès adaptatif affiche les niveaux de risque des dernières 24 heures :
Rapport tuiles
Afficher le rapport
Un rapport sur l'accès adaptatif est généré lorsque vous sélectionnez Afficher le rapport.
Vous pouvez filtrer les événements renvoyés. Par exemple, la définition des dates de début et de fin.
Rapport d'accès adaptatif
Examiner les détails de l'événement
La sélection d'une ligne individuelle permet d'afficher les détails de l'événement.
Les principaux détails de l'événement sont décrits dans les éléments de données de l'événement d'accès adaptatif.
Vous pouvez cliquer sur le lien Show session data pour afficher l'ID de session et l'ID de corrélation, ou
cliquez sur le lien Download session data pour exporter les données JSON de l'événement, similaires au JSON des détails de l'API du service Événements.
Éléments de données sur les événements d'accès adaptatif
L' API du service d'événements ou un rapport d'accès adaptatif peuvent tous deux être utilisés pour obtenir les résultats d'une invocation de politique d'accès adaptatif.
Au cours du dépannage, certains détails clés de l'événement ou du rapport sont à prendre en compte :
- ID de session - Par exemple :
pp24c528943651cbe63c91dd0590b24323a80a0b401600954689.
L'identifiant de session généré par le Native Web SDK comme décrit dans la section Configurer un exemple d'application. - ID de corrélation - Par exemple :
CORR_ID-1c1ec6f4-07b2-4a20-ab9f-9adc62b980cd.
Indicateur de demande de bas niveau qui peut être inclus dans les détails du problème si le dépannage ne résout pas le problème. - ID de l'extrait - Par exemple
"snippet_id": "511843"
L'identifiant du snippet configuré pour l'application ou l'identifiant du snippet de l'hôte du locataire IBM® Verify. - Motif - Par exemple
Access with a change in device attributes.
Reportez-vous à la section Générer un rapport d'activité sur l'accès adaptatif pour obtenir des descriptions deReason. - Niveau de risque - Par exemple
Medium(Adaptive access report) ou"risk_level": "MEDIUM"(Events service API).
Le niveau de risque de l'évaluation dérivé de la note de risque.
Utilisez le niveau de risque pour établir une corrélation avec le sitePolicy actionapproprié configuré dans Adaptive Access Policy pour les applications natives.
Corrélation de l'ID de la session
Lors du dépannage d'une évaluation individuelle ou d'un flux de scénarios, il est important de corréler la collecte et la détection des applications Web natives dans le navigateur avec l'évaluation de la politique d'accès adaptative.
L'identifiant de session est disponible dans la rubrique :
- API du service des événements : csid dans le JSON de l'événement
- Rapport sur l'accès adaptatif : ID de session dans les détails du rapport
- JavaScript console : Page de connexion de l'application web
Updated about 1 month ago