Skip to main content

View observation details NorthstarNorthstar

The observation details panel shows additional details for a selected observation.

Before you begin

  • A role with the View application action is required.

Steps

  1. From the left navigation, select Observations.

  2. Select an observation row.

    This action opens an observation details panel.

  3. Select Overview or Evidence.

Observation overview details

You can view additional details for observability, vulnerabilities, and attack events.

Details for observability and attacks

The Overview tab in the details panel for observability shows this information for observability and attacks:

  • Source: Observability or attack event.

  • ソースIP:攻撃イベントの発生元のIPアドレス。

  • ルール:攻撃値が違反したContrastルールの名前。

  • Associated application: The name of the application associated with the observation.

    アプリケーションとその関連エンティティ(サーバ、呼び出しAPI、データベース)の間の関係を表示するには、アプリケーションのリンクを選択してエクスプローラーでビューを開きます。

  • 検知:Contrastで攻撃イベントが検知された時間。

  • 結果:攻撃イベントの結果。考えられる結果としては、深刻度の高い順に次のとおりです:

    • 攻撃検出済:

      • Contrastで、攻撃イベントが境界(ペリメータ)で検知され、シンクで攻撃が成立したことが確認されました。モードは監視に設定されています。

      • 次の深刻度にマップされます:重大または高

    • 疑わしい

      • 境界のみを対象とするルールがブロックモードに設定されている場合に、信頼度の低い攻撃イベントが境界で検知されました。

      • 境界のみを対象とするルールが監視モードに設定されている場合に、信頼性の高いまたは低い攻撃イベントが境界で検知されました。

      • シンクのみのヒューリスティックを使用して攻撃イベントが検知されました。モードは監視に設定されています。

      • 次の深刻度にマップされます:中

    • ブロック済:

      • Contrastで、攻撃イベントが境界で検知され、シンクで攻撃が成立したことが確認されました。モードはブロックに設定されています。

      • シンクのみのヒューリスティックを使用して攻撃イベントが検知されました。モードはブロックに設定されています。

      • 次の深刻度にマップされます:情報

    • 探査検出

      • 境界で攻撃イベントが検知されましたが、シンクでは攻撃が成立したことが確認されませんでした。モードはブロックまたは監視に設定されています。

      • これらは、攻撃者がアプリケーションの脆弱性を探索、スキャン、ファジングしている可能性を示す、効果のない攻撃です。

      • 次の深刻度にマップされます:低

  • URL:攻撃者が攻撃イベントに使用したパス。

  • Associated issue: A link to the issue associated with the observation.

    Selecting the link opens the Issues view.

  • CVE: The CVEs associated with the observation.

  • CWE: The CWEs associated with the observation.

  • Mitre: The MITRE ATT&CK tactics associated with the observation.

  • Data type: The source of the issue: attack or vulnerability.

  • Target: What Contrast analyzed: code or a library.

  • Sensor: How Contrast detected the issue. The current value is Contrast agent.

  • Technique: The analysis technique: static or runtime.

  • What happened: A description of what Contrast observed.

  • Associated assets: The name of the server and the environment associated with the affected application.

Details for vulnerabilities

The Overview tab in the observation details panel shows this information for vulnerabilities.

  • Identification:

    • Issue ID: An ID that Contrast assigns to the issue.

    • CVE: A link to the NIST description of the CVE.

    • Mitre CWE: A link to the Mitre description of the CWE.

    • EPSS score: A score that Contrast calculates using the Exploit Prediction Scoring System.

      This score estimates the probability a specific vulnerability will be exploited in the next 30 days.

  • Application context:

    • Detected: The time when Contrast observed the vulnerability or library.

    • Associated application: The application affected by the vulnerability or library event.

    • Server name: The name of the server associated with the application.

    • Environment: The environment in which the vulnerability or library event occurred: Development, QA, or Production.

  • Library information:

    • Release date: The date the library was released.

    • License: The type of license used for the library. For example, Apache-2.0

  • Metadata:

    • Data type: The source of the issue.

    • Target: What Contrast analyzed: code or a library.

    • Sensor: How Contrast detected the issue. The current value is Contrast agent.

    • Technique: The analysis technique: static or runtime.

  • Description: A description of the behavior that Contrast observed.

Observation evidence details

The Evidence tab shows data that Contrast used to create observations. It includes this information:

  • Vulnerability evidence details:

    • HTTP info: Observed HTTP requests.

    • Details: Information about observed data flows, such as: class method, object, return values, and parameters

  • Attack value evidence details:

    • Attack value: The suspicious values that Contrast observed.

    • Vector analysis: Analysis of the observed attack.

    • Request details: Details about the requests associated with the attack.

    • Code location: Details about the file, methods, and stack traces where Contrast observed the attack.

  • Observability evidence details:

    • Code location: The stack trace associated with the observed use of a cryptography algorithm.

このセクションの内容: