Cisco Secure Application のポリシー

Cisco Secure Application Runtime の ポリシーは、無視、検出、またはブロックするランタイム動作を定義します。ランタイムイベントはすべての攻撃と脆弱性を識別し、定義されたランタイムポリシーに基づいてアクションが実行されます。ランタイムポリシーを作成および設定すると、攻撃と脆弱性を軽減するアクションを指定できます。

アプリケーションのセキュリティをモニタするには、ポリシーを作成する必要があります。ポリシーを作成するには、Cisco Secure Application の設定権限が必要です。デフォルトでは、Cisco Secure Application には、すべての攻撃と脆弱性を最適に検出して誤検出を減らすランタイムポリシーが含まれています。

サポートされているランタイムポリシー

Cisco Secure Application は、次のランタイム動作の攻撃と脆弱性をスキャンします。

コマンド実行(PROCESS)

このポリシーは、新しいアプリケーションプロセスの作成を検出またはブロックします。プロセスは階層レベルでブロックできますが、アプリケーションレベルまたはグローバルレベルではブロックできません。このアクションは、名前によって特定のプロセスに限定できます。たとえば、ps コマンドを実行するプロセスの作成を検出することや、cat コマンドを実行するプロセスの作成をブロックすることができます。

プロセスとスタックトレースのルールを作成できます。つまり、プロセスが特定の値に対して equalscontains、または matches regex で始まる場合、任意のコマンド実行を DetectBlock、または Ignore できます。また、スタックトレースが特定の値の contains、または matches regex の場合、任意のコマンドの実行を DetectBlockIgnore することもできます。

ファイルシステムアクセス(FILE)

このポリシーは、ローカルファイルへのアクセスを検出またはブロックします。ローカルファイルへのアクセスは階層レベルでブロックできますが、アプリケーションレベルまたはグローバルレベルではブロックできません。このアクションは、名前によって特定のファイルに限定できます。たとえば、/etc を含むファイルへのアクセスを検出することや、passwd を含むファイルへのアクセスをブロックすることができます。

HTTP トランザクションのヘッダー(HTTP_RESPONSE_HEADER)

このポリシーは、各 HTTP レスポンスの特定の HTTP ヘッダーを追加または検出します。デフォルトのアクションは検出です。patch オプションで、追加するヘッダーを指定できます。これは階層レベルで指定できますが、アプリケーションレベルまたはグローバルレベルでは指定できません。

次のいずれかのヘッダーに対してアクションを設定できます。

  • Strict-Transport-Security
  • X-Frame-Options
  • X-XSS-Protection
  • X-Content-Type-Options
注: [Application] と [Tier] を指定して、各ヘッダーに対するアクションを設定する必要があります。

Web トランザクション(TRANSACTION)

このポリシーは、特定の Web リクエストを検出またはブロックします。このタイプのポリシーのデフォルトのアクションは detect です。トランザクションポリシーには、2 つの特別なオプションがあります。暗号化されていない HTTP リクエストをブロックするためのオプションと、認証されていないユーザーからのリクエストをブロックするためのオプションです。発信元 IP または URL に基づいてリクエストをブロックするようにルールを指定できます。

ネットワークまたはソケットアクセス(NETWORK)

このポリシーは、特定のホストへのネットワーク接続を検出またはブロックします。ネットワーク接続は階層レベルでブロックできますが、アプリケーションレベルまたはグローバルレベルではブロックできません。特定のルールでは、特定のホストとの間の接続、またはアプリケーション内の特定のスタックトレースから行われた接続のいずれかをブロックできます。

ランタイムポリシーの作成

ランタイムに攻撃または脆弱性のポリシーを作成するには、次の手順を実行します。

  1. [ Policies Create New Policy ] をクリックします。
  2. [Add Policy] ダイアログから、次のフィールドでランタイムに必要な条件を選択します。
    フィールド名 詳細
    Name 必要なランタイムアクティビティを選択します。「サポートされているランタイムポリシー」を参照してください。
    Application ポリシーを適用する必要がある階層またはサービスを含むアプリケーションを選択します。Splunk AppDynamics では、ポリシーに特定のアプリケーションを選択することを推奨しています。[All] を選択して、すべてのアプリケーションにポリシーを適用することもできます。
    Tier ポリシーを適用するために必要なアプリケーション固有の階層またはサービスを選択します。Splunk AppDynamics では、ポリシーに特定の階層を選択することを推奨しています。[All] を選択して、すべての階層またはサービスにポリシーを適用することもできます。また、デフォルトポリシーを確認し、必要に応じて特定のアプリケーションおよび階層のポリシーを作成することを推奨しています。
    Default Action このポリシーのデフォルトアクションを選択します。
    • [Ignore] を選択して、ランタイムアクティビティの通知を無効にできます。ランタイムアクティビティを検出し、[Attacks] または [Vulnerabilities] ページに詳細を表示するには、[Detect] を選択します。または、特定のランタイムアクティビティをブロックし、[Attacks] ページおよび [Vulnerabilities] ページに [Blocked] として表示するには、[Block] を選択します。
    • ヘッダーの場合、[Default Action] は常に [Detect] に設定されます。
    注: サポートされているランタイムポリシーの一部では、[ブロック(Block)] を使用できません。[HTTPトランザクションのヘッダー(Headers in http transactions)] ポリシーなどのポリシーの場合は、ランタイムアクティビティをブロックするために [アプリケーション(Application)] と [ティア(Tier)] を指定する必要があります。
    Rules 要件に基づいてルールを追加します。ルール内で指定したアクションは、[Default Action] で指定したデフォルトアクションよりも優先されます。

    [Ignore] を選択して、ランタイムアクティビティの通知を無効にできます。ランタイムアクティビティを検出し、[Attacks] または [Vulnerabilities] ページに詳細を表示するには、[Detect] を選択します。または、HTTP レスポンスにヘッダーと値を追加するには、[Patch] を選択します。

    注: サポートされているランタイムポリシーの一部では、[Block] を使用できません。
    Enable Policy ランタイムポリシーを有効にするには、[Yes] を選択します。
    注: ApplicationTierAll に設定されている場合、このオプションは選択できません。
  3. Save をクリックします。

セキュリティポリシーの変更

ポリシーを表示または変更するには、次の手順を実行します。

注: [Search] フィルタを使用すると、[Name] 、[Tier] または [Application] フィールドの値に基づいて検索できます。[Name] は、ランタイムポリシーの名前です。
  1. [ Policies Runtime ] をクリックします。
    [Show<number of policies>] ドロップダウンのページの右下隅で選択した数字に基づいて、5、10、20、または 50 のポリシーを表示できます。
  2. 必要なポリシーの横にある [Modify] アイコンをクリックします。
  3. 必要なフィールドを変更します。
  4. 要件に基づいて、[Update] または [Delete Policy] をクリックします。