ビジネストランザクションの監視

:このページには、ビジネストランザクションの脆弱性リスクを監視するための詳細が含まれています。ビジネストランザクションCisco Secure Application は、インターネットへの露出、潜在的な機密データへのアクセス、脆弱なライブラリの使用、脆弱なコードへの到達、脆弱性エクスプロイトの予測、安全でない外部 API、およびランタイム脅威アクティビティが考慮されるアルゴリズムを使用して、ビジネストランザクションのリスクを評価します。

これらの要因により、トリアージ、軽減、および修復に必要なものに優先順位を付けることができ、ビジネスへのリスクエクスポージャを削減できます。Business TransactionApplicationEntry Tier カテゴリに [Search] フィルタを使用できます。Cisco Secure Application を使用したアプリケーション セキュリティのモニタ

[Business Transactions] ページには、次の詳細情報が表示されます。

フィールド名説明
Business Transaction

ビジネストランザクションの名前。Splunk AppDynamics コントローラでビジネストランザクションを表示するには、名前の横にあるアイコンをクリックします。

Application (Tiers)

アプリケーションのビジネストランザクションの一部であるアプリケーション名と階層の数。Splunk AppDynamics コントローラでアプリケーションを表示するには、名前の横にあるアイコンをクリックします。

Entry Tier

トランザクションの発生元の階層。Splunk AppDynamics コントローラで階層を表示するには、名前の横にあるアイコンをクリックします。

Business Risk ビジネスリスクアルゴリズムは、脆弱性エクスプロイトの可能性と、ビジネストランザクションにおける潜在的なエクスプロイトの影響に基づいて計算されます。以下は、ビジネスリスクの 3 つのステータスです。
  • [Normal]:0 ~ 330
  • [Warning]:340 ~ 660
  • [Critical]:670~ 1000

値が大きいほど、アプリケーションの脆弱性のリスクが高くなります。

Total Vulnerabilities

検出された脆弱性の数は、重大度に基づいています。

  • クリティカル
  • 高(High)
  • 中(Medium)

色分けされたアイコンは、これらの重大度を表します。

Total Attacks このチャートには、次の状態に基づく攻撃の数が表示されます。
  • Exploited
  • Blocked
  • Attempted

[Export] ボタンをクリックして表データをダウンロードできます。.csv ファイル内のすべての行、列、および関連データがダウンロードされます。別の .json ファイルには、テーブルのエクスポート元の Cisco Secure Application Web サイトへのリンク、ページに適用されるグローバルフィルタ(存在する場合)、および列に適用される検索フィルタが含まれます。この 2 つのファイルは、ダウンロード用の .zip ファイルに圧縮されています。エクスポートできる最大行数は 10,000 です。テーブルデータが 10,000 行を超える場合は、フィルタを適用して検索を絞り込むか、最初の 10,000 件の結果をエクスポートします。

ビジネストランザクションの詳細の表示

特定のビジネストランザクションの詳細を表示するには、[Business Transactions] ページで任意のビジネストランザクションをクリックします。

上部ペインは、次のセクションに分割されています。

  • ビジネスリスクスコア。6 つのビジネスリスク要因を含みます。
    • エクスプロイトのリスクが高い脆弱性:Cisco Security Risk Score が 66 を超えるビジネストランザクションの脆弱性が特定されます。
    • 脅威アクティビティ:既知の攻撃タイプに一致するビジネストランザクションのセキュリティイベントが特定されます。「攻撃のモニタリング」 および 「観測内容のモニタリング」を参照してください。
    • 安全でない外部 API の使用:安全でない外部 API の使用が特定されます。
    • 重要なビジネストランザクション:カスタム名を持つビジネストランザクションが特定されます。
    • データストアへのアクセス:データストアにアクセスできるビジネストランザクションが特定されます。
    • パブリックアクセス可能:インターネットからアクセスできるビジネストランザクションが特定されます。
  • Business Transaction:ビジネストランザクションの名前。
  • Application:アプリケーションの名前。
  • Daily Highest Business Risk Score Detected:ビジネスリスクスコアの傾向の可視化。
  • Top Recommended Actions:潜在的なリスクを修復するために実行できる上位アクション。

[脆弱性(Vulnerabilities)] タブ

[Business Transactions] ページで、[Vulnerabilities] タブを表示できます。このタブには、次の情報が表示されます。

フィールド名 説明
Title ビジネストランザクションに関連する脆弱性のタイプ。
ID

Common Vulnerabilities and Exposures(CVE)識別子。名前をクリックすると、その CVE に固有の詳細を表示できます。
Cisco Security Risk Score Cisco Security Risk Score は、リアルタイムのイベントに基づいたエクスプロイトの見積を提供します。次の 3 つのステータスがあります。
  • 緑 0 ~ 33
  • オレンジ 34 ~ 66
  • 赤 67 ~ 100
Reached

この列に感嘆符がある場合、この脆弱なコードに到達されたことを意味します。
CVSS Score このスコアは、次の 5 つの重大度からなる共通脆弱性評価システム(CVSS)に基づいています。
  • None:0 ~ 0
  • Low:0.1 ~ 3.9
  • Medium:4.0 ~ 6.9
  • High:7.0 ~ 8.9
  • Critical:9.0 ~ 10.0
Tier (Nodes)

選択した脆弱性により影響を受けるサービスまたは階層。数字は、影響を受けるノードの数を示します。Splunk AppDynamics階層アイコンは、その階層の  フローマップに移動します。
Library 脆弱性により影響を受けるライブラリ。ライブラリをクリックすると、ライブラリの詳細情報を表示できます。ライブラリのモニタ を参照してください。
Last Detected 階層で脆弱性が最後に確認されてからの時間。
Status

選択した脆弱性のステータス。ステータス値は次のいずれかになります。

  • Detected:少なくとも 1 つの脆弱性がライブラリで検出されています。
  • Confirmed(レビュー後、ユーザーによって手動で設定されています)
  • Fixed(脆弱性が修正されています)
  • Ignored(レビュー後、ユーザーによって手動で設定されています)
  • Not Vulnerable(ライブラリに脆弱性はありません)

Detected および Fixed ステータスは、アプリケーションで使用されるライブラリに基づいて自動的に検出されます。

[Attacks] タブ

[Business Transactions] ページで、[Attacks] タブを表示できます。このタブには、次の情報が表示されます。

Name 説明
ID

該当する攻撃の ID。Cisco Secure Application がこの ID を生成します。この ID は、攻撃の詳細ページで変更できます。攻撃の詳細ページを表示するには、目的の行をクリックします。

ID をアルファベット順にソートするには、このフィールドをクリックします。
Outcome

該当する攻撃の結果。攻撃の次の状態に関する情報を表示します。

  • Observed:イベントがセキュリティに影響を与える可能性があるが、悪意があるかは判定されていない場合。たとえば、アプリケーションがアプリケーション ディレクトリ外のファイルを開くと、Observed 状態が発生します。
  • Blocked:攻撃ポリシーに基づいてイベントがブロックされている場合。
  • Exploited:アプリケーションのセキュリティに影響を与えるために悪意のあるアクティビティが実行された場合。
  • Attempted:悪意のあるアクティビティが特定されたが、悪用されていない場合。

値をアルファベット順にソートするには、このフィールドをクリックします。
Attack Type (Events) 攻撃タイプとその数。
Attack Trigger Secure Application が潜在的な攻撃を特定したイベントの結果として生じるランタイム動作からの関連情報。
Tier

階層名とノードの数。[
] をクリックすると、Splunk AppDynamics ダッシュボードでアプリケーション フローマップを起動できます。影響を受ける階層の横にある情報アイコン(
)は、階層内の攻撃されたノードに重大または中程度の脆弱性があることを示します。
Last Detected

攻撃の最後のイベントから経過した時間。このフィールドをクリックして、値を昇順または降順でソートできます。
Status

攻撃のステータスは、Open または Closed で定義されます。設定権限がある場合は、必要な行のチェックボックスをオンにし、[Set Status] オプションをクリックして適切なステータスを設定します。Open または Closed 状態に基づいてソートする場合は、このフィールドをクリックします。

[API Findings] タブ

[Business Transactions] ページで、[API Findings] タブを表示できます。このタブには、次の情報が表示されます。

Name説明
Panoptica Findings これらの調査結果は、API に関連する脆弱性です。確認できる [Panoptica Findings] のタイプには次があります。
  • Security configuration
  • Open ports
  • Vulnerability
  • TLS Version
  • Missing required headers
注: Cisco Secure Application のユーザーインターフェイスでは、Cisco Panoptica の販売終了およびサポート終了の発表に基づいて、Panoptica から API セキュリティ調査結果を取得しなくなります。既存の API セキュリティ調査結果は残りますが、更新されません。まとめると、次のようになります。
  • 新しい API でサービスを更新する場合、 Cisco Secure Application は、Cisco Panoptica のサポート終了後は、それらの新しい API について Cisco Panoptica から API セキュリティ調査結果を取得できなくなりますが、既存の API セキュリティ調査結果は引き続き表示します。
  • ビジネスリスクスコアには、新しい API セキュリティ調査結果は含まれません。
Category 登録された弱点または脆弱性が属するカテゴリ。たとえば、DNS やネットワークなどです。
Severity API セキュリティ調査結果のシビラティ(重大度)レベルには次のようなステータスがあります。
  • Critical
  • High
  • Medium
  • Low
  • Unclassified
API Name API 名。通常は、完全修飾ドメイン名(FQDN)です。論理的である場合も、API が到達可能なエンドポイントの 1 つに対応する場合もあります。たとえば、api.webex.com のようになります。
Tier API コールを行うビジネス トランザクション チェーン内の階層名。

API に関連付けられている各カテゴリの詳細情報を表示するには、[Panoptica Finding] の [Details] セクションに移動し、[Show X Occurrences] に移動します。

Network カテゴリを使用した Occurrences の例を次に示します。

  • Assets:API に関連付けられた IP アドレス。
  • Description:API に関連付けられているセキュリティ調査結果の説明。
  • Module:API の分類やシビラティ(重大度)などのセキュリティ調査結果に寄与するモジュール。