Skip to main content

攻撃 On-premises customers only

注記

本項は、オンプレミス版のお客様向けです。

SaaS版をご利用の場合は、攻撃イベント をご覧下さい。

攻撃とは、アプリケーションやサーバを標的とした攻撃イベントのグループです。Contrastで攻撃として含まれる攻撃イベントは複数あり、次のようなものがあります(ただし、これらに限定されません)。

  • SQLインジェクション

  • 信頼できないデータのデシリアライゼーション

  • コマンドインジェクション

  • その他、多数の一般的に広く知られている脆弱性

同一のIPアドレスから60分以内に複数の攻撃イベントが検出された場合、Contrastではこれらのイベントを攻撃としてグループ化します。コードを修正した後に、同じIPアドレスから新たなイベントが検出されると、新たな攻撃として表示されます。

ダッシュボードに表示される攻撃の日付は、ローカルのタイムゾーンではなく、Contrastタスクが実行されたContrastサーバ上の時間に基づきます。

イベントデータの保持

Contrastでは、攻撃イベントのデータは30日間保持されてから、削除されます。攻撃データをより長期間保持するには、以下を行います。

  • Syslogに出力

  • Generic Webhookを設定

    Webhookは、指定されたイベントが発生した場合にのみ、POSTリクエストでデータを受信します。Webhookはイベントを確認すると、データを収集して指定されたURLに送信します。

  • 攻撃の行の最後にある矢印を選択し、ドロップダウンメニューから攻撃をエクスポート(CSVXML形式)を選択 します。

    Image shows how to export attack data

探査検出イベントデータの除外

探査検出(PROBED)の結果の攻撃イベントのデータの保存を停止することを選択できます。問題が発生する可能性が低い攻撃に対するデータベースストレージの消費を抑えるには、これを行うことをお勧めします。

探査検出イベントデータの保存を停止するには、contrast-server.vmoptionsファイルで以下のJVM引数を使用します。

contrast.feature.TS-37298_do_not_save_probed_attack_events=on

この設定は、お使いのContrastインスタンス内の全ての組織に適用されます。

操作

Contrastで、次のような操作ができます。

  • 攻撃情報の表示:攻撃されたアプリケーションやサーバ、攻撃が発生したコード箇所など、攻撃の情報を確認します。

  • 攻撃の管理:攻撃や攻撃イベントに対してアクションを実行します。例えば、特定の攻撃イベントに対してProtectルールを設定することができます。

  • 攻撃の監視:現在および過去の攻撃について概要画面でモニターします。

このセクションの内容: