Помимо анализа реквизитов платежей, FraudWall дополнительно анализирует сопутствующую информацию о сессии клиента, в которой был создан данный платеж. При анализе платежа FraudWall автоматически связывает платеж с сессией клиента, тем самым позволяя сопоставить платеж с IP адресом и аппаратными идентификаторами устройства, с которого клиент работал в ДБО.
Эту информацию FraudWall может получить при анализе дампа трафика либо из базы данных посредством fraudwall_dbolog.
fraudwall_dbolog по сути представляет собой журнал событий действий клиентов в ДБО и содержит в себе следующую информацию:
события успешной/неуспешной аутентификации
события смены (сброса) пароля пользователя
события завершения сессии
и т.д.
fraudwall_dbolog является опциональной (т.е. может отсутствовать) и создается только в той базе данных, из которой получен платеж для анализа.
Таблица 27. Перечень полей fraudwall_dbolog
| Поле | Тип данных | Описание |
|---|---|---|
| time_when | ДАТА ВРЕМЯ |
Время события |
| from_id | текст или число | Идентификатор клиента в анализируемой системе, которому принадлежит событие, или пустая строка, если это событие не относится к какому-либо клиенту. |
| corpid | текст |
Текст логина юридического лица. Если не известен, то можно всегда возвращать пустую строку. ПримечаниеПонятие «логин юридического лица» применимо только к некоторым системам ДБО, где логин пользователя может быть одинаковым у разных юридических лиц. Например, у юридических лиц с разными логинами «CORP1» и «CORP2» могут быть пользователи с одинаковым логином «DIRECTOR» |
| userid | текст |
Текст логина пользователя. Если не известен, то можно всегда возвращать пустую строку. |
| ip | текст |
IP адрес компьютера клиента банка в сети Интернет, с которого произошло событие. Если неизвестно, можно возвращать пустую строку |
| device | текст |
строка, содержащая информацию об идентификаторах устройства клиента, с которого была работа с документом (например, перечень обнаруженных MAC-адресов, IMEI и т.д.). Если неизвестно, можно возвращать пустую строку. Наименование идентификаторов: mac - MAC-адрес сетевой карты, appid - уникальный ID моб. приложения на моб. устройстве, serial-number - уникальный серийный номер моб. аппарата, imei - IMEI-номер моб. устройства, imsi - IMSI-номер SIM-карты, iccid - уникальный идентификационный номер SIM-карты в международном формате. Если у Вашей системы ДБО есть также свой цифровой отпечаток устройства клиента, необходимо сообщить об этом нам, м.б. выделено уникальное наименование идентификатора ПримечаниеПример такой строки: mac="00:11:22:33:44:55" mac="00:11:22:33:44:66" imei="123456789012345" |
| sid | текст |
Идентификатор сессии на стороне сервера банка (соответствует полю sid VIEW fraudwall_doc). Если не известен, то можно всегда возвращать пустую строку. |
| dbotype | текст |
Код системы ДБО (присваивается по согласованию с разработчиком FraudWall) |
| event_code | текст |
Краткий код события, который фиксируется системой ДБО (например, "LOGIN", "LOGOUT", "AUTHFAIL", "CREATE_LOGON_OTP", "RESET_PASSWORD", "FORCED_LOGOUT", "CHANGE_PHONE", "DISABLE_NOTICE", "CHANGE_PASSWORD", "ABNORMAL_TRANSITION", "NO_MONEY_DECLINE", "CLOSE_DEPOSIT", "OPEN_CREDIT", "CHANGE_THRESHOLD", "LOCK_USER", "UNLOCK_USER")). Если нет, можно возвращать пустую строку |
| event_text | текст | Детальный текст события, который может также содержать информацию об идентификаторах устройства клиента, с которого было инициировано данное событие (может содержать User-Agent (с префиксом "user-agent=" или "user-agent:")). Если в event_code фиксируется событие "LOGIN", то при наличии возможности в данном поле лучше фиксировать способ аутентификации: "BIOAUTH" или "PINAUTH" |
Назначение:
Данный запрос получает перечень событий, происходивших в системе ДБО с заданного момента времени
Когда выполняется запрос:
Периодически (примерно 1 раз в 1 секунду).
Входные параметры для запроса:
time_when >= максимальное время последней записи, полученное в предыдущем запросе
При первом запуске процесса запрашиваются события, которые произошли не ранее, чем 14 суток от текущего времени. Но в дальнейшем запрашиваются только события, которые происходили за последние 1-2 секунды.
Если FraudWall получает информацию из анализируемой системы через VIEW fraudwall_dbolog в базе Microsoft SQL Server, в SELECT также добавляется WITH(NOLOCK), исключая тем самым блокировку таблиц анализируемой системы.
Результат выполнения запроса:
Возвращает одну или массив структур fraudwall_dbolog, соответствующих запрашиваемым критериям, отсортированный по возрастанию time_when
Авторские права © 2020 ООО "Фродекс"