Skip to main content

インシデントの表示(Northstar)

インシデントは、調査が必要な重大なセキュリティの問題を表します。Contrastでは、少なくとも1つの悪用された攻撃イベントまたは疑わしい攻撃イベントが観測され、スコア(CVSS v4に基づく)が7を超えると、自動的にインシデントが作成されます。

手順

  1. インシデントの一覧を表示するには、左側のナビゲーションからインシデントを選択します。

    一覧には、各インシデントについて次の詳細が表示されます。

    • 深刻度:Contrastでインシデントに割り当てられた深刻度。

    • Contrastスコア:Contrastスコアは、特定の時点における課題またはインシデントのリスクを表します。このスコアの決定には、Contrast SAST、IAST、SCA、ADR、およびオブザーバビリティのテクノロジからの情報を利用しています。

      スコアの算出には、主に共通脆弱性評価システムバージョン4(CVSS 4)を使用しています。

    • インシデント:インシデントの種類(SQLインジェクションなど)。

    • インシデントID:Contrastでインシデントに割り当てられた識別子。形式は以下の通りです。

      INC-<year>-<numberOfIncidents>

      例えば、INC-2025-33は、2025年に発生し、Contrast で報告された33件目のインシデントを表します。

    • ステータス:インシデントのステータス(オープンまたはクローズ)。

    • 関連するアプリケーション:インシデントの影響を受けるアプリケーション。

    • 担当:インシデントの調査に割り当てられたユーザ。

    • 作成日時:Contrastでインシデントが作成された時間。

    • 最終更新日:最後に更新された時間。

  2. インシデントの詳細を表示するには、インシデントを選択します。 概要タブに、次の詳細が表示されます。

    • 基本情報

      • インシデントID:Contrastでインシデントに割り当てられた識別子。

      • ソースIP:攻撃イベントの発生元であるIPアドレス。

      • 深刻度:Contrastでインシデントに割り当てられた深刻度。

      • ステータス:インシデントのステータス(オープンまたはクローズ)。

      • 作成日時:Contrastでインシデントが作成された日時。

      • 担当:インシデントの調査と修復を担当するユーザ。

      • ルール:インシデントのトリガーとなったルール。

      • MITRE:課題に関連するMITRE ATT&CK戦術へのリンク。

        MITRE ATT&CKフレームワークは、実世界で観測された攻撃者の戦術や手法をまとめたナレッジベースです。

        単一の攻撃イベントが複数の戦術にマッピングされることがあります。多段階の攻撃イベントが発生した場合、観測されたイベントは、より大規模な攻撃連鎖内の単一のアクションを表している可能性があります。あるいは、脅威ベクトルを示している可能性もあります。

        イベントデータを、WAF(Webアプリケーションファイアウォール)やEDR(エンドポイントにおける検知と対応)ソリューションなど、他のセキュリティツールからのセキュリティ情報と組み合わせることで、戦術をより正確に特定することができます。この精緻化により、攻撃の全容を把握することができます。

        イベントをATT&CK戦術にマッピングすることは、リスク評価において非常に重要です。これにより、リスクの高い領域を特定し、新しい検知方法の開発に優先順位を付けることができます。このプロセスは、セキュリティカバレッジの拡大につながります。

        詳細については、 MITRE ATT&CKをご覧ください。

    • サマリー

      • Contrastスコア:Contrastでインシデントに割り当てられたスコア。

      • 何が起こったか:インシデント作成のトリガーとなった観測についての説明。

    • Incident trace:

      インシデントトレースは、動作、上記以外のコンポーネントへの接続、及びContrastが検出及び報告済の攻撃データのグラフィカルモデルを提供します。これは、ルート使用中、メッセージキュー、ウェブリクエスト、データベース、APIコール、その他のアプリケーションエントリを示します。特定のエンティティにインシデントが影響を与える場合、モデルはインシデントインジケーターを表示します。

      The image shows the incident indicator for a resource in the incident trace model.

      各エントリーポイントの詳細を表示するには、その上にカーソルを合わせてください。

      注記

      インシデントトレースはJava 6.20.1エージェントのみをサポートしています。エージェントの設定ファイルで観測モードをオンにする必要があります。

      インシデントトレースにはこれらのエンティティが表示されます。

      エンティティ

      説明

      アプリケーション

      インシデントが影響を与えるアプリケーション。

      my-petclinic

      リソース

      アプリケーションのエントリーポイントを特定し、使用中のルート、メッセージキュー、ウェブリクエストなどを含みます。

      GET/customer-info

      アクション

      Security-relevant behavior that Contrast observes in the application entry points

      これらの動作のうち一つまたはさらにその他:

      • データベース接続(データベースのインスタンス名を含む)

      • データベース呼び出し

      • アクセスしたファイルやディレクトリの名前を含む、ファイルシステムへのアクセス

      • アウトバウンドサービスまたはAPIコール

      • 認証と認可の検出

      • システムコマンド

      • 潜在的に危険な関数

      • カスタマイズされたセキュリティ制御がサービスまたはAPIルートに適用されました。

      あなたが表示するエンティティに依存して、インシデントトレースはこれらの詳細の一部または全てを表示します(全てのエンティティが同じ詳細を表示するわけではありません):

      Entity

      詳細

      Applications

      • URL: The URL for the application

      Resources

      • Attack value: The attack payload that Contrast observed

      • Environment: The environment where an action occurs: Development, QA, or Production

      • Type: The response type that a resource uses. For example: application/json or text/htmll

      Actions

      • Sink information (if applicable):

        • Attack result indicating the action that Contrast took (for example, Blocked or Exploited)

        • Name of the Contrast policy applied to the attack

        • Attack value

      • Request value: The contents of the request that Contrast observed.

    • Associated assets: The applications, servers, and environments where the incident occurred.

      To view the relationships between the application and its associated entities (servers, called APIs, and databases), select the application link to open the view in エクスプローラー.

      The environments are Development, QA, and Production.

    • Associated issues: All the issues related to the incident.

    • Attack value: The suspicious value that Contrast observed going to a sink.

    • Code location: Details about the location in your code where Contrast detected the attack event. These details include:

      • File: The file associated with the attack event.

      • Method: The method associated with the attack event.

      • Stack: The code stack associated with the attack event.

    • Vector analysis: The different pathways or methods that Contrast observed where a malicious attacker could gain access to your system.

  3. インシデントのアクティビティログを表示するには、アクティビティタブを選択します。

    1. Contrastの全てのアクティビティとタスク割り当てに関するアクティビティを表示するには、 全てタブを選択します。

      最新フィルターを使用して、新しい順に順序を変更できます。

    2. コメントを表示するには、コメントタブを選択します。

    3. コメントを追加するには、「コメントを追加」ボックスにコメントを入力し、矢印アイコンを選択します。

ビューを絞り込む

表示を絞り込むには、 フィルタアイコン(icon-filter.svg)を選択してフィルタパネルを開き、1 つ以上のフィルタを選択します。フィルターは以下のとおりです。

IncidentFilters.png

フィルタには次のものがあります:

  • 深刻度:インシデントの深刻度

  • ステータス:インシデントのステータス

  • 割り当てられたユーザ: インシデントに割り当てられたユーザの名前

  • Environments: The environment where Contrast found the incident: Development, QA, and Production.

関連項目

インシデントにタスクを割り当てる

インシデントをクローズする

このセクションの内容:

Contrastスコアは、特定の時間における問題またはインシデントのリスクを表します。Contrastは、Contrast SAST、IAST、SCA、ADR、及びオブザーバビリティテクノロジからの情報を使用中してこのスコアを決定します。