攻撃のモニタリング

[Attacks] ページには、管理対象アプリケーションに対するすべてのオープンおよびクローズ攻撃の詳細が表示されます。デフォルトでは、このページには選択したアプリケーションの概要が表示されます。Secure Application を使用したアプリケーションセキュリティのモニターを参照してください。

攻撃

[] ページには、次の詳細情報が表示されます。


フィールド名	説明
結果別の攻撃	攻撃の次の状態に関する情報を表示します。：アプリケーションのセキュリティに影響を与えるために悪意のあるアクティビティが実行された場合。：攻撃ポリシーに基づいてイベントがブロックされている場合。：悪意のあるアクティビティが特定されたが、悪用されていない場合。
Top Applications	このチャートには、アプリケーションごとのオープン攻撃に基づく上位 10 個のアプリケーションが表示されます。特定のアプリケーションスコープを選択すると、そのアプリケーションだけが表示されます。すべてのアプリケーションを表示するには、アプリケーションスコープをリセットします。Secure Application を使用したアプリケーションセキュリティのモニターを参照してください。これらのアプリケーションでは、各アプリケーションへのオープン攻撃の総数に対する、、の各状態の割合が示されます。ブロックされた攻撃、エクスプロイトされた攻撃、オープン攻撃の数を表示するには、各状態にカーソルを合わせます。
上位の攻撃タイプ	このチャートには、上位 10 個の攻撃イベントが表示されます。これらのイベントでは、各イベントへのオープン攻撃の総数に対する、、の各状態の割合が示されます。Blocked、Exploited、Attempted の各状態のオープン攻撃の数を表示するには、各状態にカーソルを合わせます。攻撃タイプは次のとおりです。 DESERIAL：エージェントが Java クラスの逆シリアル化イベントを検出しました。 SQL：エージェントが既知の SQL インジェクションシグニチャイベントを検出しました。 RCE：エージェントがリモートコード実行イベントを検出しました。 LOG4J：エージェントが Log4Shell 攻撃を検出しました。 SSRF：エージェントがサーバー側のリクエストフォージェリイベントを検出しました。 MALIP：エージェントが既知の悪意のある IP アドレスへのインバウンドまたはアウトバウンドのソケット接続を検出しました。
ID	該当する攻撃の ID。Secure Application でこの ID を生成します。この ID は、攻撃の詳細ページで変更できます。攻撃の詳細ページを表示するには、目的の行をクリックします。ID を番号順にソートするには、このフィールドをクリックします。
結果	該当する攻撃の結果。攻撃の次の状態に関する情報を表示します。：アプリケーションのセキュリティに影響を与えるために悪意のあるアクティビティが実行された場合。：攻撃ポリシーに基づいてイベントがブロックされている場合。：悪意のあるアクティビティが特定されたが、悪用されていない場合。値をアルファベット順にソートするには、このフィールドをクリックします。
攻撃タイプ(イベント)	攻撃タイプとその数。
イベントトリガー	Secure Application が潜在的な攻撃を特定したイベントの結果として生じるランタイム動作からの関連情報。
アプリケーション	攻撃の影響を受けるアプリケーション。
Business Transaction	[Attack ID] をクリックすると、各 [Attack] の概要と [Business Transition] のタイプ（[Business Transaction] を有効にしている場合）が表示されます。ビジネストランザクションの監視を参照してください。
階層	階層名とノードの数。[] をクリックすると、Splunk AppDynamics ダッシュボードでアプリケーションフローマップを起動できます。影響を受ける階層の横にある情報アイコン（）は、階層内の攻撃されたノードに重大または中程度の脆弱性があることを示します。
最新の検出	攻撃の最後のイベントから経過した時間。このフィールドをクリックして、値を昇順または降順でソートできます。
ステータス（Status）	攻撃のステータスは、またはで定義されます。設定権限がある場合は、必要な行のチェックボックスをオンにし、[] オプションをクリックして適切なステータスを設定します。または状態に基づいてソートする場合は、このフィールドをクリックします。

View Attack Details

The Attack details page provides information of the attack. The top pane provides a summary of the attack. To view the application flow map, you can click the flow map icon () next to the application name. The bottom pane is split into left pane (a list of events correlated to the attack automatically) and right pane (the details of a selected event).

You can use the Search filter to filter by: Outcome, Event Type, Attack Type, or Affected Tiers.


Field Name	Description
Outcome	The outcome of the event. This provides information on whether the selected event is Exploited, Blocked, or Attempted.
Event Type	The type of the attack event or the vulnerability name.
Attack Type	The type of the attack such as RCE and so on.
Application	The affected application.
Tier	The affected tier.
Timestamp	The time the event is detected.
Timestamp	The date and time when the event is detected.
Affected Node	The name of the affected node. You can click the flow map icon () to view the Tiers and Nodes flow map on the Splunk AppDynamics dashboard.
Event Trigger	It displays the attack target. It can be a file, host, command, etc.
Vulnerabilities	The type of vulnerability used for the attack. Based on the event type, this field may not be displayed. If the value is displayed, click the value to view the vulnerability details. For information about Vulnerabilities, see 脆弱性のモニタリング.
Entry Point	The webserver URL accessed by the client in the transaction that triggered the event. Based on the event type, this field may not be displayed.
Client IP	The IP address of the remote endpoint of the connection in the transaction. This IP address can be the IP address of client machine, load balancer or proxy in a client network.
Network Flow	The network flow as observed from the node that includes the source and the destination IP address.
Details	The details about the resulting behavior of the node triggered by an inbound request. The details may change based on the event and attack type. Click Show More to view the Details dialog box. You can copy the details as per your requirement.
Stack Trace	Details of the stack trace for the corresponding event. Click Show More to view the Stack Trace dialog box. You can use this information to guide developers to the lines of code that were used to achieve the result of the event. You can copy the details as per your requirement.
Socket Address	The destination IP address. It can be a host, network, subnetwork, etc.
Policy	The action that is used for this event based on the existing policy when the event is detected. If you have the Configure permission, you can change the policy by clicking this value. See Secure Application ポリシー.

You can click the Export button to download the table data. It downloads all of the rows, columns, and related data in a .csv file. A separate .json file includes the following: link to the Secure Application website where the table is exported from, global filters (if any) applied to the pages, and search filters applied to the columns. These two files are compressed into a .zip file for downloading. The maximum number of rows that can be exported is 10,000. If table data exceeds 10,000 rows you may apply filters to narrow your search, or export the first 10,000 results.