Cisco Secure Application の [Policies] で、攻撃または脆弱性が定義された条件に一致する場合のアクションを指定します。また、対処する攻撃と脆弱性のタイプも判別します。ポリシーを作成および設定すると、攻撃と脆弱性を軽減するアクションを指定できます。 

アプリケーションのセキュリティをモニタするには、ポリシーを作成する必要があります。ポリシーを作成するには、Cisco Secure Application の設定権限が必要です。デフォルトでは、Cisco Secure Application には、すべての攻撃と脆弱性を最適に検出して誤検出を減らすポリシーが含まれています。

Cisco Secure Application は、次のタイプの攻撃と脆弱性をスキャンします。

攻撃タイプ説明

ローカル ファイル インクルード(LFI)

ソフトウェアは、意図された制御領域外のソースから実行可能機能(ライブラリなど)をインポート、要求、または組み込みます。 

パストラバーサル(PATH)

外部入力を使用して、制限された親ディレクトリの下にあるファイルまたはディレクトリを識別するためのパス名を作成します。ただし、ソフトウェアはパス名内の特殊な要素を適切に無効化しません。これにより、制限されたディレクトリ外の場所にパス名が解決される可能性があります。 

リモートコード実行(RCE)ネットワーク上で任意のコードの実行をトリガーします。これは、XML、JSON、Java シリアル化などのコンテンツを使用して、フレームワークのバックドアを介して行われます。

信頼できない逆シリアル化(DESERIAL)

アプリケーションは、結果のデータが有効であることを十分に検証せずに、信頼できないデータを逆シリアル化します。 

脆弱性のタイプ説明

Cookie:HttpOnly(C_HTTP

Cookie:HttpOnly:HttpOnly 属性を持つ Cookie は、JavaScript Document.cookie API にアクセスできません。サーバーにのみ送信されます。たとえば、サーバ側セッションを保持する Cookie は JavaScript で使用できる必要はなく、HttpOnly 属性が付いている必要があります。この予防措置は、クロスサイト スクリプティング(XSS)攻撃を軽減するのに役立ちます。 

Cookie:SameSite(C_SITE)

Cookie:SameSite:SameSite 属性により、サーバーは、Cross-Origin 要求(サイトが登録可能なドメインによって定義される)で Cookie が送信されないようにすることができます。これにより、クロスサイト リクエスト フォージェリ攻撃(CSRF)からの保護が可能になります。 

Cookie:Secure(C_SECURE)

Cookie:Secure:Secure 属性を持つ Cookie は、HTTPS プロトコルを介した暗号化された要求でのみサーバーに送信されます。セキュリティで保護されていない HTTP で送信されることはないため、中間者攻撃者はアクセスできません。 

HTTP ヘッダー:X-Content-Type-Options(H_CONTENT)

X-Content-Type-Options 応答 HTTP ヘッダーは、Content-Type ヘッダーでアドバタイズされた MIME タイプを変更すべきではないことを示すためにサーバーによって使用されるマーカーです。これにより、MIME タイプスニッフィングをオプトアウトする、つまり、MIME タイプが意図的に設定されていることを示すことができます。 

HTTP ヘッダー:Content-Security-Policy(H_CSP)

HTTP ヘッダー:Content-Security-Policy:HTTP Content-Security-Policy 応答ヘッダーにより、Web サイト管理者は、ユーザーエージェントが特定のページにロードできるリソースを制御できます。いくつかの例外はありますが、ほとんどの場合、ポリシーにはサーバの発信元とスクリプトエンドポイントの指定が含まれます。 

HTTP ヘッダー:X-Frame-Options(H_FRAME)

HTTP ヘッダー:X-Frame-Options:X-Frame-Options HTTP 応答ヘッダーは、ブラウザで <frame>、<iframe>、<embed>、または <object> のページのレンダリングを許可するかどうかを示すために使用できます。サイトはこれを使用して、コンテンツが他のサイトに埋め込まれないようにすることで、クリックジャック攻撃を回避できます。 

HTTP ヘッダー:Strict-Transport-Security(H_STS)HTTP Strict-Transport-Security 応答ヘッダー(HSTS)は、HTTP ではなく HTTPS を使用してのみ Web サイトにアクセスする必要があるという情報をブラウザに送信するために Web サイトで使用されます。このヘッダーは、中間者攻撃や機密データの漏洩を防ぐために使用されます。 

HTTP ヘッダー:X-XSS-Protection(H_XSS)

HTTP ヘッダー:X-XSS-Protection:HTTP X-XSS-Protection 応答ヘッダーは、Internet Explorer、Chrome、および Safari の機能であり、反射型クロスサイト スクリプティング(XSS)攻撃を検出するとページのロードを停止します。 

不明な例外(EXC)

不明な例外:これは非常に一般的な問題です。通常、ランタイムには、「検出されない」または「記録されない」ことが多い例外形式のセキュリティ検出メカニズムが組み込まれています。つまり、例外の場合、セキュリティ侵害が発生してから数日後または数週間後まで確認されないファイルに埋もれてしまいます。これはランタイム全体ですべてのセキュリティ関連の例外を確認するため、セキュリティポリシーを使用すると、その情報に対してレポートやその他の追加アクションを実行できます。 

脆弱ライブラリ(LIB)

National Vulnerability Database(NVD)で報告されている、アプリケーションのサービスおよび階層に該当するすべての脆弱性を検出します。 

セキュリティポリシーの作成

攻撃または脆弱性のポリシーを作成するには、次の手順を実行します。

  1. [Policies ] > [ Create New Policy] をクリックします。
  2. [Add Policy] ダイアログから、次のフィールドで必要な攻撃条件を選択します。
    • Policy Type:特定の攻撃のポリシーを作成する場合に [Attack Policy ] を選択します。特定の脆弱性のポリシーを作成する場合に [Vulnerability Policy] を選択します。
    • Name:ポリシーが必要な攻撃または脆弱性のタイプを選択します。
    • Application:ポリシーを適用する必要がある階層またはサービスを含むアプリケーションを選択します。
      すべてのアプリケーションの指定された階層またはサービスにポリシーを適用する場合は、[All] を選択します。
    • Tier:ポリシーを適用するために必要なアプリケーション固有の階層またはサービスを選択します。
      すべての階層またはサービスにポリシーを適用する場合は、[All] を選択します。

      AppDynamics では、デフォルトポリシーを確認し、必要に応じて特定のアプリケーションおよび階層のポリシーを作成することを推奨しています。

    • Action:このポリシーのアクションを選択します。
      • 攻撃の場合:[Attacks] ページで通知を表示しない場合は [None] を選択します。攻撃を検出し、[Attacks] ページに詳細を表示する場合は、[Detect] を選択します。または、特定の攻撃をブロックし、[Attacks] ページに [Blocked] として表示するには、[Block] を選択します。
      • 脆弱性の場合:[Vulnerabilities] ページで通知を表示しない場合は [None] を選択します。脆弱性を検出し、[Vulnerabilities] ページに詳細を表示するには、[Detect] を選択します。セキュリティの問題を修正するには、[Patch] を選択します。

      [Block] は、サポートされている攻撃の一部では使用できず、[Patch] はサポートされている脆弱性の一部では使用できません。

  3. [Save] をクリックします。

セキュリティポリシーの変更

攻撃または脆弱性のポリシーを表示および変更するには、次の手順を実行します。

[Search] フィルタを使用すると、[Name] または [Application Name] フィールドの値に基づいて検索できます。

  1. [Policies] をクリックします。
  2. ポリシーを変更するアプリケーションと階層またはサービスを選択します。
  3. [Attacks] をクリックして、攻撃ポリシーのリストを表示します。[Vulnerabilities] をクリックして脆弱性ポリシーのリストを表示します。
    ページの右下隅で [Show<number of policies>] ドロップダウンを選択すると、5、10、20、または 50 のポリシーをリストに表示できます。 
  4. Modify アイコンをクリックします。 
  5. 必要なフィールドを変更します。 
  6. 要件に基づいて、[Update] または [Delete Policy] をクリックします。