IBM Security Verify API를 통한 이벤트 로그 다운로드

개시하다


IBM Security Verify에서는 인증 작업 등의 로그가 90일 동안 보관됩니다.
90일이 넘으면 로그가 삭제되기 때문에 로그를 다운로드하는 방법을 소개한다.

API 참조


API 참조는 다음 URL을 통해 확인할 수 있습니다.
https:/<자신의 룸메이트 이름>.verify.ibm.com/developer/explorer/#
  • 사용자를 얻기 위한 API에는 다음과 같은 항목이 있습니다.
  • Events

  • 1. IBM Security Verify에 API 클라이언트 등록


    OAuth 액세스 토큰을 가져올 클라이언트 ID 및 클라이언트 기밀 키를 준비합니다.
    브라우저를 통해 IBM Security Verify 관리 화면에 액세스할 수 있습니다.
    https:/<자신의 룸메이트 이름>.verify.ibm.com/ui/admin
    구성 - API 클라이언트 탭을 열고 API 클라이언트를 추가합니다.

    자격 선택은 다음과 같다.
  • 보고서 관리 또는 읽기

  • 2. 이벤트 로그의 종류와 다운로드 시 고려 사항


    화면을 관리하는 보고서(인증 활동 등)와 마찬가지로 행사는 종류가 있다.
    다운로드할 이벤트 유형을 지정할 수 있습니다.
    다운로드는 한 번의 요청 수량에 제한이 있음을 주의하십시오.
  • 이벤트 유형이 지정되지 않은 경우(기본값) SSO, Authentication, Management 로그가 출력됩니다.
  • The default setting includes management, sso and authentication event types.
  • 에도 다른 활동 종류가 있다.
  • Other events that can be included are: service, fulfillment, adaptive_risk, cert_campaign, access_request, account_sync, token or privacy_consent events.
  • 요청한 이벤트 수는 기본 50 이벤트입니다.최대 10000개의 이벤트 획득
  • The number of events to return. The default setting is 50. The maximum is 10,000.
  • 지난 24시간 동안의 로그를 기본적으로 출력합니다.From/To를 Unix Epoch timestamp(milliseconds 단위)로 지정할 수 있습니다.
  • The lower bound Unix Epoch timestamp of events to return. The default setting is the last 24 hours
  • The upper bound Unix Epoch timestamp of events to return. The default setting is the current time.
  • 3. 이벤트 로그 획득 방법


    활동 로그는 get/v1입니다.0/events를 사용하여 다운로드할 수 있습니다.로그 형식은 JSON 형식입니다.
    curl -i -X GET https://<テナント名>.verify.ibm.com/v1.0/events --header "Authorization: Bearer <アクセストークン>"
    
    
    응답 코드는 200입니다.

    이벤트 로그는 JSON으로 출력됩니다.

    4. 각 이벤트 로그에 대한 샘플


    이벤트 로그의 종류에 따라 견본을 보다.
    ①SSO
    프로그램의 단일 로그인과 관련된 로그를 출력합니다.
    다음은 사용자 정의 응용 프로그램, SAML 협업을 등록할 때의 로그입니다.
    {
                        "geoip": {
                            "continent_name": "Asia",
                            "city_name": "Tokyo",
                            "country_iso_code": "JP",
                            "country_name": "Japan",
                            "region_name": "Tokyo",
                            "location": {
                                "lon": "xx.xx",
                                "lat": "xx.xx"
                            }
                        },
                        "data": {
                            "result": "success",
                            "subtype": "saml",
                            "providerid": "verify-app",
                            "origin": "xx.xx.xx.xx",
                            "realm": "cloudIdentityRealm",
                            "samlassertion": "<saml:Assertion ~~~</saml:Assertion>",
                            "applicationid": "xx",
                            "userid": "xxxxxxxxxx",
                            "applicationtype": "Custom Application",
                            "devicetype": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.212 Safari/537.36",
                            "username": "xxxxxxxx",
                            "applicationname": "SAML application service provider(Bluemix)"
                        },
                        "year": 2021,
                        "event_type": "sso",
                        "month": 5,
                        "indexed_at": 1621910104424,
                        "@processing_time": 155,
                        "tenantid": "xx-xx-xx-xx-xx",
                        "tenantname": "xx.verify.ibm.com",
                        "correlationid": "Cxx",
                        "servicename": "saml_runtime",
                        "id": "xx",
                        "time": 1621910104269,
                        "application_info": {
                            "name": "SAML application service provider(Bluemix)",
                            "type": "Custom Application"
                        },
                        "day": 25
                    }
    
    ②Authentication
    인증에 대한 로그를 출력합니다.
    다음은 Cloud Directory에 사용자 ID/비밀번호로 로그인한 후 성공한 로그입니다.
    {
                        "geoip": {
                            "continent_name": "Asia",
                            "city_name": "Tokyo",
                            "country_iso_code": "JP",
                            "country_name": "Japan",
                            "region_name": "Tokyo",
                            "location": {
                                "lon": "xx.xx",
                                "lat": "xx.xx"
                            }
                        },
                        "data": {
                            "result": "success",
                            "subtype": "user_password",
                            "subject": "xx",
                            "origin": "xx.xx.xx.xx",
                            "cause": "Authentication Successful",
                            "action": "login",
                            "sourcetype": "clouddirectory",
                            "realm": "cloudIdentityRealm",
                            "devicetype": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:88.0) Gecko/20100101 Firefox/88.0",
                            "target": "https://xx.verify.ibm.com/oidc/endpoint/default/authorize?qsId=x&client_id=xx_browser-user",
                            "username": "xxx"
                        },
                        "year": 2021,
                        "event_type": "authentication",
                        "month": 5,
                        "indexed_at": 1622494417954,
                        "@processing_time": 13,
                        "tenantid": "xx-xx-xx-xx-xx",
                        "tenantname": "xx.verify.ibm.com",
                        "correlationid": "xx",
                        "servicename": "authsvc",
                        "id": "xx",
                        "time": 1622494417941,
                        "day": 31
                    }
    
    다음은 SMS OPP를 통한 두 가지 요소 인증, 성공 시 로그입니다.
    {
                        "geoip": {
                            "continent_name": "Asia",
                            "city_name": "Tokyo",
                            "country_iso_code": "JP",
                            "country_name": "Japan",
                            "region_name": "Tokyo",
                            "location": {
                                "lon": "xx.xx",
                                "lat": "xx.xx"
                            }
                        },
                        "data": {
                            "result": "success",
                            "mfamethod": "SMS OTP",
                            "subtype": "mfa",
                            "subject": "xx",
                            "origin": "xx.xx.xx.xx",
                            "realm": "cloudIdentityRealm",
                            "mfadevice": "81-80-xxxx-xxxx",
                            "devicetype": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.212 Safari/537.36",
                            "username": "testuser03",
                            "target": "https://xx.verify.ibm.com/saml/sps/auth?themeId=xx&stateid=xx"
                        },
                        "year": 2021,
                        "event_type": "authentication",
                        "month": 5,
                        "indexed_at": 1621910102564,
                        "@processing_time": 36,
                        "tenantid": "xx",
                        "tenantname": "xx.verify.ibm.com",
                        "correlationid": "xx",
                        "servicename": "authsvc",
                        "id": "xx",
                        "time": 1621910102528,
                        "day": 25
                    }
    
    ③Management
    관리 시스템 작업에 대한 로그를 출력합니다.
    다음은 Cloud Directory에 새로 등록된 사용자(testuser03)의 로그입니다.
    {
                        "geoip": {
                            "continent_name": "Asia",
                            "city_name": "Tokyo",
                            "country_iso_code": "JP",
                            "country_name": "Japan",
                            "region_name": "Tokyo",
                            "location": {
                                "lon": "xx.xx",
                                "lat": "xx.xx"
                            }
                        },
                        "data": {
                            "targetid_realm": "cloudIdentityRealm",
                            "api_grant_type": "authorization_code",
                            "targetid_username": "testuser03",
                            "performedby_type": "user",
                            "targetid": "xx",
                            "userinfo_lookup": "performedby;targetid",
                            "resource": "user",
                            "origin": "xx.xx.xx.xx",
                            "performedby_username": "xx",
                            "cause": "\"testuser03\" を作成しました。",
                            "messageid": "システムはユーザー",
                            "devicetype": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:88.0) Gecko/20100101 Firefox/88.0",
                            "performedby_realm": "cloudIdentityRealm",
                            "target": "testuser03",
                            "result": "success",
                            "performedby": "xx",
                            "json": "{\"emails\":[{\"type\":\"work\",\"value\":\"[email protected]\"}],\"password\":\"********\",\"addresses\":[{\"type\":\"work\",\"primary\":false}],\"urn:ietf:params:scim:schemas:extension:ibm:2.0:Notification\":{\"notifyType\":\"EMAIL\",\"notifyManager\":false,\"notifyPassword\":true},\"schemas\":[\"urn:ietf:params:scim:schemas:core:2.0:User\",\"urn:ietf:params:scim:schemas:extension:ibm:2.0:User\",\"urn:ietf:params:scim:schemas:extension:ibm:2.0:Notification\"],\"name\":{\"familyName\":\"user03\",\"givenName\":\"test\"},\"urn:ietf:params:scim:schemas:extension:ibm:2.0:User\":{\"userCategory\":\"regular\",\"twoFactorAuthentication\":false,\"realm\":\"cloudIdentityRealm\",\"customAttributes\":[]},\"active\":true,\"userName\":\"testuser03\"}",
                            "self": "false",
                            "action": "created",
                            "location": "https://xx.verify.ibm.com/v2.0/Users",
                            "realm": "cloudIdentityRealm"
                        },
                        "year": 2021,
                        "event_type": "management",
                        "month": 5,
                        "indexed_at": 1622496563088,
                        "@processing_time": 30,
                        "tenantid": "xx",
                        "tenantname": "xx.verify.ibm.com",
                        "correlationid": "xx",
                        "servicename": "profilemgmt",
                        "id": "xx",
                        "time": 1622496563058,
                        "day": 31
                    }
    
    

    최후


    이번에는 이벤트 로그의 다운로드 방법과 로그 샘플을 소개했다.
    IBM의 SIEM 제품인 IBM QRadar에서도 로그를 보관할 수 있습니다.
    글로벌 커뮤니티 글은 영어지만 화면을 캡처한 해설이 있어 이해하기 쉽다.
    참조해주세요.

  • (참조) IBM Security Verify 브로셔
  • https://www.ibm.com/docs/ja/security-verify?topic=integrations-security-qradar

  • (참조) Integrating QRadar and IBM Security Verify for Recipe
  • https://community.ibm.com/community/user/security/blogs/vandana-verma-sehgal1/2021/01/27/recipe-for-integrating-qradar-and-ibm-security-ve
  • 좋은 웹페이지 즐겨찾기