View issues with NorthstarNorthstar
Issues represent represent a security problem that you can fix in a single place. The information is most useful for AppSec teams and developers.
An issue comprises all the observations from the Contrast AST and ADR technologies that Contrast correlates together.
How Contrast creates issues
Contrast automatically creates issues when an application instrumented with a Contrast agent is attacked. When Contrast detects a new vulnerability, it generates an issue. Any attack event that has a status of exploited, suspicious, or blocked also results in the creation of issues.
Steps
To view a list of issues, from the left navigation, select Issues.
To sort the view according to ascending or descending order, select the arrow (
icon next to a column heading.The list displays these details for each issue:
Severity: The severity that Contrast assigns to the issue.
Contrast score: The Contrast score represents the risk of an issue or incident at a particular point in time. Contrast determines this score by using information from the Contrast SAST, IAST, SCA, ADR, and Observability technologies.
Contrast uses the Common Vulnerability Scoring System Version Version 4 (CVSS 4) standard as the primary framework for calculating the score.
Issue: The issue type and location. For example, SQL Injection from "userid_6a" Parameter on "/WebGoat/SqlInjectionAdvanced/attack6a" page
Issue ID: An identifier that Contrast assigns to the issue. It has this format:
ISS-<year>-<numberOfIssues>For example,
ISS-2025-10represents an issue that occurred in the year 2035 and was the 10th issue that Contrast reported.Status: The status of the issue: Open or Closed.
Application: The name of the applications where Contrast observed the issue.
To view the relationships between the application and its associated entities (servers, called APIs, and databases), select the application link to open the view in Explorer.
Number of observations: The number of times that Contrast observed this issue.
Last detected: The last time that Contrast detected the issue in the application.
Most recent incident: The date of the most recent incident associated with the issue.
To view details about a specific issue, select it. The Overview tab shows these details:
Issue ID: The identifier that Contrast assigned to the issue.
Associated application: The application where Contrast observed the issue.
Severity: The severity level that Contrast assigned to the issue.
Status: The status of the issue: Open or Closed.
First detected: The date when Contrast first saw the issue.
Last detected: The date when Contrast last saw the issue.
Rule: The Contrast rule associate with the issue.
MITRE: A link to the MITRE ATT&CK tactic associated with the issue.
MITRE ATT&CKフレームワークは、実世界で観測された攻撃者の戦術や手法をまとめたナレッジベースです。
単一の攻撃イベントが複数の戦術にマッピングされることがあります。多段階の攻撃イベントが発生した場合、観測されたイベントは、より大規模な攻撃連鎖内の単一のアクションを表している可能性があります。あるいは、脅威ベクトルを示している可能性もあります。
イベントデータを、WAF(Webアプリケーションファイアウォール)やEDR(エンドポイントにおける検知と対応)ソリューションなど、他のセキュリティツールからのセキュリティ情報と組み合わせることで、戦術をより正確に特定することができます。この精緻化により、攻撃の全容を把握することができます。
イベントをATT&CK戦術にマッピングすることは、リスク評価において非常に重要です。これにより、リスクの高い領域を特定し、新しい検知方法の開発に優先順位を付けることができます。このプロセスは、セキュリティカバレッジの拡大につながります。
詳細については、 MITRE ATT&CKをご覧ください。
Associated assets: The servers and environments associated with the issue.
Associated incidents: The incidents that Contrast created for the issue.
How to fix: Guidance for fixing the issue, including details from Contrast Intelligent Remediation and if available, Contrast runbooks.
To view the activity log for incidents, select the Activity tab.
To view all the activity from Contrast and activities related to issue changes, select the All tab.
Use the Recent filter to change the order from most recent to oldest.
To view comments, select the Comments tab
To add a comment, enter the comment in the Add comments box and select the arrow icon.
To view a list of Contrast observations, select the Observation tab. The list of observations includes these details:
Source IP: The IP address where an attack event originated.
Rule: The name of the Contrast rule that the attack value violated.
Application: The name of the application where Contrast detected an attack event.
To view the relationships between the application and its associated entities (servers, called APIs, and databases), select the application link to open the view in Explorer.
Server: The name of the server where Contrast detected the attack event.
Detected: The time when Contrast detected the attack event.
Result: The result for the attack event. The possible results are, in order of severity:
攻撃検出済:
Contrastで、攻撃イベントが境界(ペリメータ)で検知され、シンクで攻撃が成立したことが確認されました。モードは監視に設定されています。
次の深刻度にマップされます:重大または高
疑わしい:
境界のみを対象とするルールがブロックモードに設定されている場合に、信頼度の低い攻撃イベントが境界で検知されました。
境界のみを対象とするルールが監視モードに設定されている場合に、信頼性の高いまたは低い攻撃イベントが境界で検知されました。
シンクのみのヒューリスティックを使用して攻撃イベントが検知されました。モードは監視に設定されています。
次の深刻度にマップされます:中
ブロック済:
Contrastで、攻撃イベントが境界で検知され、シンクで攻撃が成立したことが確認されました。モードはブロックに設定されています。
シンクのみのヒューリスティックを使用して攻撃イベントが検知されました。モードはブロックに設定されています。
次の深刻度にマップされます:情報
探査検出:
境界で攻撃イベントが検知されましたが、シンクでは攻撃が成立したことが確認されませんでした。モードはブロックまたは監視に設定されています。
これらは、攻撃者がアプリケーションの脆弱性を探索、スキャン、ファジングしている可能性を示す、効果のない攻撃です。
次の深刻度にマップされます:低
URL: The path the attacker used for the attack event.
Attack value: The value that the attacker sent that the Contrast agent detected was going to a sink.
Refine the view
To refine the view, select the Filter icon (
) to open the filter panel and select one or more filters. The available filters are:
Severity: The severity of the incident
Status: The status of the incident: Open or Closed
Has incident: Displays only issues that have associated incidents