ADRによるインシデント管理
アプリケーションにおける検知と対応(ADR)は、アプリケーション層での強力なセキュリティソリューションです。本番環境でのアプリケーション層の攻撃を監視、検知、防止するために特別に設計されています。
また、アプリケーション層の攻撃対象領域が包括的に可視化され、脆弱性に関する情報を得ることで、防御側の盲点がなくなり、より迅速で正確な検知と対応が可能になります。
利点
Contrast ADRでは、次の機能によりアプリケーションを保護できます。
ゼロデイ攻撃からの保護: 既知および未知の脆弱性に対するランタイム保護。
リアルタイムの監視:アプリケーション層での異常な振る舞いを検知して警告。
実用的なアラート:疑わしいアクティビティ、ペイロード、IoC(侵害指標)などの概要から、すべてのアプリケーションのアラートの詳細情報を把握。
ランタイムのオブザーバビリティ: リアルタイムのセキュリティ構成図により、インシデントの詳細情報がより明らかになり、攻撃の深刻度や影響を適切に判定。
運用ガイド:真の攻撃を迅速に特定し、脅威を封じ込める、明確で実行可能な対策手順。
SIEMとのインテグレーション:
Contrast ADRのアラート、イベント、攻撃ペイロード、脆弱性データをSIEMツールに取り込み、効果的な監視とトリアージが可能。
Contrastは現在、以下のSIEMとのインテグレーションをサポートしています。
Azure Sentinel
Datadog
Splunk
Sumo Logic
仕組み
Contrast ADRの組み込み:Contrast ADRをアプリケーションに組み込みます。
ポリシーの定義:アプリケーションの使用中に攻撃を監視またはブロックするルールのポリシーを設定します。
監視と保護: 既知およびゼロデイの脆弱性に対する攻撃を継続的に監視します。必要に応じてポリシーを調整します。
緩和策の実行:一連のルールに基づいてContrastから提案される、アプリケーションに対する脅威を軽減するための対策を確認します。