攻撃のモニタリング
[Attacks] ページには、管理対象アプリケーションに対するすべてのオープンおよびクローズ攻撃の詳細が表示されます。デフォルトでは、このページには選択したアプリケーションの概要が表示されます。Secure Application を使用したアプリケーション セキュリティのモニター を参照してください。
攻撃
[] ページには、次の詳細情報が表示されます。
| フィールド名 | 説明 |
|---|---|
| 結果別の攻撃 |
攻撃の次の状態に関する情報を表示します。
|
| Top Applications |
このチャートには、アプリケーションごとのオープン攻撃に基づく上位 10 個のアプリケーションが表示されます。特定のアプリケーションスコープを選択すると、そのアプリケーションだけが表示されます。すべてのアプリケーションを表示するには、アプリケーションスコープをリセットします。Secure Application を使用したアプリケーション セキュリティのモニター を参照してください。これらのアプリケーションでは、各アプリケーションへのオープン攻撃の総数に対する 、、 の各状態の割合が示されます。ブロックされた攻撃、エクスプロイトされた攻撃、オープン攻撃の数を表示するには、各状態にカーソルを合わせます。 |
| 上位の攻撃タイプ |
このチャートには、上位 10 個の攻撃イベントが表示されます。これらのイベントでは、各イベントへのオープン攻撃の総数に対する 、、 の各状態の割合が示されます。Blocked、Exploited、Attempted の各状態のオープン攻撃の数を表示するには、各状態にカーソルを合わせます。攻撃タイプは次のとおりです。
|
| ID |
該当する攻撃の ID。Secure Application でこの ID を生成します。この ID は、攻撃の詳細ページで変更できます。攻撃の詳細ページを表示するには、目的の行をクリックします。ID を番号順にソートするには、このフィールドをクリックします。 |
| 結果 |
該当する攻撃の結果。攻撃の次の状態に関する情報を表示します。
値をアルファベット順にソートするには、このフィールドをクリックします。 |
| 攻撃タイプ(イベント) | 攻撃タイプとその数。 |
| イベント トリガー | Secure Application が潜在的な攻撃を特定したイベントの結果として生じるランタイム動作からの関連情報。 |
| アプリケーション |
攻撃の影響を受けるアプリケーション。 |
| Business Transaction |
[Attack ID] をクリックすると、各 [Attack] の概要と [Business Transition] のタイプ([Business Transaction] を有効にしている場合)が表示されます。ビジネストランザクションの監視 を参照してください。 |
| 階層 |
階層名とノードの数。[ |
| 最新の検出 |
攻撃の最後のイベントから経過した時間。このフィールドをクリックして、値を昇順または降順でソートできます。 |
| ステータス(Status) |
攻撃のステータスは、 または で定義されます。設定権限がある場合は、必要な行のチェックボックスをオンにし、[] オプションをクリックして適切なステータスを設定します。 または 状態に基づいてソートする場合は、このフィールドをクリックします。 |
攻撃の詳細情報の表示
攻撃の詳細ページには、攻撃の情報が表示されます。上部ペインには、攻撃の概要が表示されます。アプリケーション フローマップを表示するには、アプリケーション名の横にあるフローマップアイコン()をクリックします。下部ペインは、左側のペイン(攻撃に自動的に関連付けられたイベントのリスト)と右側のペイン(選択したイベントの詳細情報)に分かれています。
[Search] フィルタを使用して、 [Outbreak]、 [Event Type]、 [Attack Type]、または [Affected Tiers]でフィルタ処理できます。
| フィールド名 | 説明 |
|---|---|
| 結果 | イベントの結果。選択したイベントが [Exploited]、 [Blocked]、または [Attempted] のいずれであるかに関する情報が表示されます。 |
| イベント タイプ | 攻撃イベントのタイプまたは脆弱性の名前。 |
| 攻撃タイプ | RCE などの攻撃のタイプ。 |
| アプリケーション | 影響を受けるアプリケーション。 |
| 階層 | 影響を受ける階層。 |
| タイムスタンプ | イベントが検出された時刻。 |
| タイムスタンプ | イベントが検出された日時。 |
| 影響を受けるノード |
影響を受けるノードの名前。フローマップアイコン( |
| イベント トリガー | 攻撃対象が表示されます。これは、ファイル、ホスト、コマンドなどです。 |
| 脆弱性 |
攻撃に使用された脆弱性のタイプ。イベントタイプによっては、このフィールドが表示されない場合があります。 値が表示されている場合は、値をクリックすると、脆弱性の詳細情報が表示されます。脆弱性の詳細については、「脆弱性のモニタリング」を参照してください。 |
| エントリポイント | イベントをトリガーしたトランザクションでクライアントがアクセスした Web サーバの URL。イベントタイプによっては、このフィールドが表示されない場合があります。 |
| クライアント IP |
トランザクションにおける接続のリモートエンドポイントの IP アドレス。この IP アドレスは、クライアントネットワークのクライアントマシン、ロードバランサ、またはプロキシの IP アドレスになります。 これは、既知の悪意のある IP リストにあるクライアント IP アドレスから攻撃されている場合に使用できます。現在、Talos の悪意のある IP リストがサポートされています。したがって、この属性には攻撃が Talos リストのクライアント IP からのものである場合、値 Talos が表示されます。 |
| ネットワークフロー | 送信元および宛先 IP アドレスを含むノードで観測されたネットワークフロー。 |
| 詳細 |
着信リクエストによってトリガーされたノードの結果の動作に関する詳細情報。詳細情報は、イベントと攻撃タイプに応じて異なる場合があります。[] をクリックすると、[] ダイアログボックスが表示されます。 必要に応じて詳細情報をコピーできます。 |
| スタックトレース |
該当するイベントのスタックトレースの詳細情報。[] をクリックすると、[] ダイアログボックスが表示されます。 この情報を使用すると、開発者がイベントの結果の原因となったコードの行を特定できます。必要に応じて詳細情報をコピーできます。 |
| ソケットアドレス |
宛先 IP アドレス。これは、ホスト、ネットワーク、サブネットワークなどです。IP アドレスの横にある警告アイコン(
これは、既知の悪意のある IP リストにあるクライアント IP アドレスから攻撃されている場合に使用できます。現在、Talos の悪意のある IP リストがサポートされています。したがって、この属性には攻撃が Talos リストのクライアント IP からのものである場合、値 Talos が表示されます。 |
| ポリシー |
イベントが検出されたときに、既存のポリシーに基づいてこのイベントに使用されるアクション。 設定権限がある場合は、この値をクリックしてポリシーを変更できます。Secure Application ポリシー を参照してください。 |
[]ボタンをクリックして表データをダウンロードできます。すべての行、列、および関連データが .csv ファイルにダウンロードされます。別の .json ファイルには、テーブルのエクスポート元の Secure Application Web サイトへのリンク、ページに適用されるグローバルフィルタ(存在する場合)、および列に適用される検索フィルタが含まれます。この 2 つのファイルは、ダウンロード用の .zip ファイルに圧縮されています。エクスポートできる最大行数は 10,000 です。テーブルデータが 10,000 行を超える場合は、フィルタを適用して検索を絞り込むか、最初の 10,000 件の結果をエクスポートします。