Événements et rapports
Introduction
Ce guide décrit l'accès aux événements audités associés à Adaptive Access et explique comment interpréter les détails de ces événements.
Les événements d'accès adaptatif sont générés lorsqu'une politique d'accès adaptatif attribuée à une application native est invoquée pour une évaluation d'authentification basée sur une politique.
Les données d'événement contiennent un certain nombre d'indicateurs clés de la détection, ainsi que des détails essentiels de l'utilisateur, de l'application, de la politique d'accès et du résultat de l'évaluation. De plus, les données de session et les clés de corrélation sont disponibles pour aider le support si le dépannage ne résout pas le problème.
La collecte des données d'événement lors du dépannage d'une évaluation d'accès adaptatif inattendue est utilisée lors de l'obtention de support.
Les événements d'accès adaptatif peuvent être consultés en utilisant
API de service d'événements
L'API de service d'événements fournit les données brutes qui sont utilisées pour générer les rapports d'accès adaptatif et peut également être utilisée pour l'intégration SIEM. Tout développeur (ou utilisateur) avec un jeton d'accès autorisé peut accéder aux événements en utilisant l'API de service d'événements.
L'API d'événements est décrite dans les informations de référence API.
Pour recevoir les événements d'accès adaptatif, utilisez event_type="adaptive_risk" lors de l'appel à l'API de service d'événements.
Obtenir un jeton d'accès
Obtenez un jeton d'accès en utilisant un client API qui a des droits manageReports ou readReports. La façon la plus simple de le faire est d'utiliser le flux OAuth Client Credentials.
curl --location --request POST 'https://<tenant_url>/v1.0/endpoint/default/token' \
--header 'Accept: application/json' \
--data-urlencode 'grant_type=client_credentials' \
--data-urlencode 'client_id=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx' \
--data-urlencode 'client_secret=xxxxxxxxxx'
{"access_token":"ixFpC9ToQmbwDzob280GxYqMko3d7zEFcArUBX1C","grant_id":"2340fa1c-ade9-4dd5-b349-7b5f6af388d4","token_type":"Bearer","expires_in":7200}
Récupérer les événements
Utilisez le jeton_d'accès pour récupérer les événements adaptive_risk.
Optionnellement, vous pouvez utiliser un filtre de temps pour remplacer la fenêtre par défaut de 24 heures pour limiter les résultats à la période de dépannage connue.
curl --location --request GET 'https://<tenant_url>/v1.0/events?event_type=\%22adaptive_risk\%22&range_type=time&from=1600869600000&to=1600955999999' \
--header 'Accept: application/json' \
--header 'Authorization: Bearer ixFpC9ToQmbwDzob280GxYqMko3d7zEFcArUBX1C'
{
"response": {
"events": {
"search_after": {
"total_events": 3,
...
... }
...}
},
"success": true
}
Examiner les détails de l'événement.
Le JSON de l'événement contient les détails de l'évaluation de la politique d'accès adaptatif et inclut l'ID de session et l'ID de corrélation.
Les détails clés de l'événement sont décrits dans Éléments de données d'événement d'accès adaptatif.
{
"response": {
"events": {
...
"events": [
{ ... },
{
...
"data": {
...
"applicationid": "4587066640521568871",
"applicationname": "My Native Web App",
"policy_id": "357317",
"policy_name": "My Native Web Adaptive access policy",
"rule_id": "1596095800392",
"rule_name": "Adaptive Access",
"risk_level": "MEDIUM",
"policy_action": "ACTION_MFA_PER_SESSION",
"reason_id": "1003",
"reason": "Access with a change in device attributes",
"csid": "pp24c528943651cbe63c91dd0590b24323a80a0b401600954689",
...
"snippet_id": "511843",
"risk_score": "300",
...
"behavioral_anomaly": "false",
"new_device": "true",
"risky_device": "false",
"risky_connection": "false",
"isp": "TPG Internet",
"city": "Brisbane",
"country": "AUS",
"new_location": "true",
...
},
"year": 2020,
"event_type": "adaptive_risk",
"month": 9,
"day": 24,
"time": 1600954701039,
...
"correlationid": "CORR_ID-1c1ec6f4-07b2-4a20-ab9f-9adc62b980cd"
},
{ ...},
]
}
},
...
}
Rapport d'accès adaptatif
Pour accéder au rapport d'accès adaptatif, référez-vous à Générer un rapport d'activité d'accès adaptatif.
Les rapports d'accès adaptatif ne sont disponibles que dans la console d'administration IBM® Security Verify, cependant le groupe readonly peut être utilisé pour fournir aux développeurs l'accès aux rapports sans autorisations pour modifier la configuration.
Les membres de ce groupe peuvent cliquer sur Basculer vers admin pour accéder à la console d'administration depuis la page d'accueil utilisateur. Ils peuvent voir des informations sur les applications, les opérations de gouvernance, les utilisateurs et groupes, les rapports et la configuration.
Pour activer les autorisations readonly, référez-vous au sujet Gérer les groupes dans le produit IBM Security Verify dans le IBM® Knowledge Center.
Naviguer vers les rapports
Pour voir le rapport d'accès adaptatif, naviguez vers la page Rapports dans la console d'administration IBM® Security Verify.
La tuile d'accès adaptatif affiche les niveaux de risque des 24 dernières heures :
Tuiles de rapport
Voir le rapport
Un rapport d'accès adaptatif est généré lorsque vous sélectionnez Voir le rapport.
Vous pouvez filtrer les événements retournés. Par exemple, définir les dates De et À.
Rapport d'accès adaptatif
Examiner les détails de l'événement
Lors de la sélection d'une ligne individuelle, les détails de l'événement sont affichés.
Les détails clés de l'événement sont décrits dans Éléments de données d'événement d'accès adaptatif.
Vous pouvez cliquer sur le lien Afficher les données de session pour afficher l'ID de session et l'ID de corrélation, ou
cliquer sur le lien Télécharger les données de session pour exporter les données d'événement JSON, similaires au JSON du détail de l'API de service d'événements.
Éléments de données d'événement d'accès adaptatif
L'API de service d'événements ou un rapport d'accès adaptatif peuvent tous deux être utilisés pour obtenir des résultats d'une invocation de politique d'accès adaptatif.
Lors du dépannage, certains détails clés de l'événement ou du rapport incluent :
- ID de session - Par exemple :
pp24c528943651cbe63c91dd0590b24323a80a0b401600954689.
L'ID de session généré par le SDK Web Native comme décrit dans Configurer une application exemple. - ID de corrélation - Par exemple :
CORR_ID-1c1ec6f4-07b2-4a20-ab9f-9adc62b980cd.
Indicateur de requête de bas niveau qui peut être inclus dans le détail du problème si le dépannage ne résout pas le problème. - ID d'extrait - Par exemple
"snippet_id": "511843"
L'ID d'extrait configuré pour l'application ou l'ID d'extrait d'hôte de locataire IBM® Security Verify. - Raison - Par exemple
Access with a change in device attributes.
Référez-vous à Générer un rapport d'activité d'accès adaptatif pour les descriptions deRaison. - Niveau de risque - Par exemple
Medium(rapport d'accès adaptatif) ou"risk_level": "MEDIUM"(API de service d'événements).
Le niveau de risque pour l'évaluation dérivé du score de risque.
Utilisez le niveau de risque pour corréler à l'Action de politiqueappropriée configurée dans Politique d'accès adaptatif pour applications natives.
Corrélation d'ID de session
Lors du dépannage d'une évaluation individuelle ou d'un flux de scénario, il est important de corréler la collecte et détection de l'application Web Native dans le navigateur avec l'évaluation de la politique d'accès adaptatif.
L'ID de session est disponible dans :
- API de service d'événements : csid dans le JSON de l'événement
- Rapport d'accès adaptatif : ID de session dans le détail du rapport
- Console JavaScript : Page de connexion d'application Web
Updated about 2 months ago