観測データの表示 (Northstar)
Contrastの観測データを表示するには、「課題」ページで課題を選択し、観測データタブを選択します。
手順
左のナビゲーションで、課題を選択します。
課題を選択します。
観測データタブを選択します。観測データには次のものが含まれます。
ソースIP:攻撃イベントの発生元のIPアドレス。
ルール:攻撃値が違反したContrastルールの名前。
アプリケーション:Contrastで攻撃イベントが検知されたアプリケーションの名前。
アプリケーションとその関連エンティティ(サーバ、呼び出しAPI、データベース)の間の関係を表示するには、アプリケーションのリンクを選択してエクスプローラーでビューを開きます。
サーバ:Contrastで攻撃イベントが検知されたサーバ名。
検知:Contrastで攻撃イベントが検知された時間。
結果:攻撃イベントの結果。考えられる結果としては、深刻度の高い順に次のとおりです:
攻撃検出済:
Contrastで、攻撃イベントが境界(ペリメータ)で検知され、シンクで攻撃が成立したことが確認されました。モードは監視に設定されています。
次の深刻度にマップされます:重大または高
疑わしい:
境界のみを対象とするルールがブロックモードに設定されている場合に、信頼度の低い攻撃イベントが境界で検知されました。
境界のみを対象とするルールが監視モードに設定されている場合に、信頼性の高いまたは低い攻撃イベントが境界で検知されました。
シンクのみのヒューリスティックを使用して攻撃イベントが検知されました。モードは監視に設定されています。
次の深刻度にマップされます:中
ブロック済:
Contrastで、攻撃イベントが境界で検知され、シンクで攻撃が成立したことが確認されました。モードはブロックに設定されています。
シンクのみのヒューリスティックを使用して攻撃イベントが検知されました。モードはブロックに設定されています。
次の深刻度にマップされます:情報
探査検出:
境界で攻撃イベントが検知されましたが、シンクでは攻撃が成立したことが確認されませんでした。モードはブロックまたは監視に設定されています。
これらは、攻撃者がアプリケーションの脆弱性を探索、スキャン、ファジングしている可能性を示す、効果のない攻撃です。
次の深刻度にマップされます:低
URL:攻撃者が攻撃イベントに使用したパス。
攻撃値:攻撃者が送信した値であり、Contrastエージェントがシンクへの送信を検知した値。