観測内容のモニター

[Observations] ページでは、ポリシーに違反しない、または攻撃とは見なされないランタイムイベントについて説明しています。イベントがセキュリティに影響を与える可能性があるが、悪意があるかは判定されていない場合に、これらが通常のランタイム動作になることがあります。たとえば、アプリケーションがアプリケーション ディレクトリ外のファイルを開くと、Observed 状態が発生します。この情報を使用して、インシデントを調査してアプリケーションの動作の履歴を把握したり、ランタイムポリシーを定義したりできます。

[Observations] ページには、次の詳細情報が表示されます。

Name説明
ID

対応する観測内容の ID。Cisco Secure Application がこの ID を生成します。この ID は、観測内容の詳細ページで変更できます。観測内容の詳細ページを表示するには、目的の行をクリックします。

ID をアルファベット順にソートするには、このフィールドをクリックします。

Source

対応する観測内容のソース。これは、これらのタイプの観測内容に関する情報を提供します。

  • Internal:イベントが内部ソースから検出された場合。
  • External:イベントが外部ソースから検出された場合。
  • Unknown:ランタイム動作のソースが不明な場合。

値をアルファベット順にソートするには、このフィールドをクリックします。

Events 観測内容のタイプと、その観測内容タイプの数。
Observation Type

観測タイプには以下が含まれます。

  • API:エージェントがアプリケーションスタックからの発信ソケット接続を検出しました。
  • COMMAND:エージェントが、ローカルコマンドがアプリケーションスタックによって分岐されたことを検出しました。
  • DESERIAL:エージェントが Java クラスの逆シリアル化イベントを検出しました。
  • LFI:エージェントがファイルの読み取り、ファイルの書き込み、またはファイルの削除イベントを検出しました。
  • NETWORK::このエージェントは、特定のホストへのネットワーク接続を検出します。
  • PATH:エージェントがアプリケーションスタックでパストラバーサルイベントを検出しました。
  • SQL:エージェントが非パラメータ化 SQL コマンドを検出しました。
  • VULN:エージェントが安全でない Cookie、認証されていないアクセス、またはクリアテキストの HTTP イベントを検出しました。
Application

観測内容の影響を受けるアプリケーション。

Tier (Nodes)

階層名とノードの数。[] をクリックすると、Splunk AppDynamics ダッシュボードでアプリケーション フローマップを起動できます。影響を受ける階層の横にある情報アイコンは、階層内の観測されたノードに重大または中程度の脆弱性があることを示します。

Last Detected

観測内容の最後のイベントから経過した時間。

このフィールドをクリックして、値を昇順または降順でソートできます。

[Export] ボタンをクリックして表データをダウンロードできます。.csv ファイル内のすべての行、列、および関連データがダウンロードされます。別の .json ファイルには、テーブルのエクスポート元の Cisco Secure Application Web サイトへのリンク、ページに適用されるグローバルフィルタ(存在する場合)、および列に適用される検索フィルタが含まれます。この 2 つのファイルは、ダウンロード用の .zip ファイルに圧縮されています。エクスポートできる最大行数は 10,000 です。テーブルデータが 10,000 行を超える場合は、フィルタを適用して検索を絞り込むか、最初の 10,000 件の結果をエクスポートします。