攻撃イベントの表示(プレビュー)
注記
この機能は、Contrastのプレリリース版の顧客テストプログラムの一部であり、すべてのお客様がご利用頂けるわけではありません。この機能をご利用になりたい場合は、Contrastの担当者までお問い合わせください。
攻撃イベントは、監視対象のアプリケーションにおいて、Protectルールの違反やその他の疑わしいアプリケーションの動きがあった場合に発生します。
開始する前に
ロールベースのアクセス制御がオンになっていることを確認してください。
ロールベースのアクセス制御はプレビュー機能であり、すべてのお客様がご利用頂けるわけではありません。ロールベースのアクセス制御を有効にするには、Contrastの担当者までお問い合わせください。
「攻撃データの閲覧」アクションのあるロールが必要です。
手順
Contrast Webインターフェイスのナビゲーションバーで攻撃イベントを選択します。
メインビューを設定するには、 グループ化でオプションを選択します。
グループ化のデフォルトは、ソースIPが選択されます。
攻撃イベントのグループを表示する場合は、グループの種類を選択します(現在のところ、唯一のオプションはソースIPです)。
例えば、ソースIPのアドレス「111.111.111.111」に複数の攻撃イベントがある場合、ソースIPでグループ化すると、すべてのイベントを集計したビューが表示されます。
個々の攻撃イベントをすべて表示する場合は、カーソルをグループ化ボックスに移動し、削除()アイコンを選択して、グループの選択を解除します。
グループ化されたビューを使用しているか、個々のイベントのビューを使用しているかによって、攻撃イベントの一覧には次の情報が表示されます。
ソースIP:
グループ表示:複数の攻撃イベントが発生したIPアドレス。
各攻撃イベントの詳細を表示するには、グループの行を選択します。
個別表示:攻撃イベントが発生したIPアドレス。
深刻度(グループ表示の場合のみ):グループ内の攻撃イベントの各深刻度の数を示す棒グラフ。
ルール:
グループ表示: 攻撃が該当したContrastルールの数。
各攻撃イベントのルール名を表示するには、グループの行を選択します。
個別表示:攻撃が該当したContrastルールの名前。
アプリケーション:
グループ表示:Contrastが攻撃イベントを検出したアプリケーションの数。
各攻撃イベントのアプリケーション名を表示するには、グループの行を選択します。
個別表示:Contrastが攻撃イベントを検出したアプリケーションの名前。
サーバ:
グループ表示:Contrastが攻撃イベントを検出したサーバの数。
各攻撃イベントのサーバ名を表示するには、グループの行を選択します。
個別表示:Contrastが攻撃イベントを検出したサーバの名前。
検出:
グループ表示:Contrastがグループ内の攻撃イベントを検出した期間。
各攻撃イベントが検出された時間を表示するには、グループの行を選択します。
個別表示:Contrastが攻撃イベントを検出した時間。
結果:
グループ表示:グループ内の攻撃イベントの結果の種類の数を示す棒グラフ。
各攻撃イベントの結果を表示するには、グループの行を選択します。
個別表示:攻撃イベントの結果。
結果:攻撃のステータス。攻撃内の攻撃イベントで最も深刻度が高いものによって決定されます。
考えられる結果は、深刻度の順に次のとおりです。
攻撃検出済:Contrastで、攻撃イベントが境界(ペリメータ)で検知され、シンクで攻撃が成立したことが確認されました。モードは監視に設定されています。
疑わしい:
境界のみを対象とするルールがブロックモードに設定されている場合に、信頼度の低い攻撃イベントが境界で検知されました。
境界のみを対象とするルールが監視モードに設定されている場合に、信頼性の高いまたは低い攻撃イベントが境界で検知されました。
シンクのみのヒューリスティックを使用して攻撃イベントが検知されました。モードは監視に設定されています。
ブロック済:
Contrastで、攻撃イベントが境界で検知され、シンクで攻撃が成立したことが確認されました。モードはブロックに設定されています。
シンクのみのヒューリスティックを使用して攻撃イベントが検知されました。モードはブロックに設定されています。
探査検出:
境界で攻撃イベントが検知されましたが、シンクでは攻撃が成立したことが確認されませんでした。モードはブロックまたは監視に設定されています。
これらは、攻撃者がアプリケーションの脆弱性を探索、スキャン、ファジングしている可能性を示す、効果のない攻撃です。
URL:攻撃者が攻撃イベントに使用したパス。
攻撃値:攻撃者が送信した値であり、Contrastエージェントがシンクへの送信を検知した値。
処理: 攻撃イベントに対して実行できるアクション。
ビューを絞り込むには、 フィルタを開くを選択してフィルタパネルを開きます。
次のいずれかのフィルタを使用します。
日付範囲:日付範囲を選択するか、カスタマイズ を選択して必要なデータ範囲を指定します。
デフォルトの日付範囲は12時間です。
深刻度:1つまたは複数の脆弱性の深刻度を選択します。
結果:攻撃イベントの結果の種類を1つ以上選択します。
ルール:攻撃イベントに関連するProtectルールを1つ以上選択します。
アプリケーション:利用可能なアプリケーションを1つ以上選択します。
環境:1つ以上のサーバ環境を選択します。
ソースIP:攻撃イベントに関連付けられているソースIPアドレスを1つ以上選択します。