Download PDF
Download page 攻撃のモニタリング.
攻撃のモニタリング
[Attacks] ページには、管理対象アプリケーションに対するすべてのオープンおよびクローズ攻撃の詳細が表示されます。
次の図は、[Attacks] ページの例です。
デフォルトでは、このページには選択したアプリケーションの概要が表示されます。特定のアプリケーションまたはサービスの選択については、「Cisco Secure Application を使用したアプリケーション セキュリティのモニタ」の「Select Scope for the Dashboard」を参照してください。
上部ペインには、次の詳細情報が表示されます。
| グラフ | 説明 |
|---|---|
| OPEN | この円グラフは、オープン攻撃の総数を表し、次の状態に基づく攻撃の数を表示します。
必要な状態にカーソルを合わせると、その状態のオープン攻撃の数が表示されます。すべてのチャートで特定の状態に基づいたデータを表示する必要がある場合は、円グラフの状態をクリックします。元のチャートに戻るには、同じ状態をもう一度クリックします。 |
| TOP APPLICATIONS | このチャートには、アプリケーションごとのオープン攻撃に基づく上位 10 個のアプリケーションが表示されます。特定のアプリケーションスコープを選択すると、そのアプリケーションだけが表示されます。 すべてのアプリケーションを表示するには、アプリケーションスコープをリセットします。アプリケーションスコープの変更の詳細については、「Cisco Secure Application を使用したアプリケーション セキュリティのモニタ」を参照してください。 これらのアプリケーションでは、各アプリケーションへのオープン攻撃の総数に対する exploited、blocked、observed の各状態の割合が示されます。 Blocked、Exploited、Observed の各状態のオープン攻撃の数を表示するには、各状態にカーソルを合わせます。 |
| TOP ATTACK TYPES | このチャートには、上位 10 個の攻撃イベントが表示されます。これらのイベントでは、各イベントへのオープン攻撃の総数に対する exploited、blocked、observed の各状態の割合が示されます。 Blocked、Exploited、Observed の各状態のオープン攻撃の数を表示するには、各状態にカーソルを合わせます。 |
下部ペインには、次の詳細情報が表示されます。
[Search] フィルタは、次のカテゴリに使用できます。
- ID
- Source
- Outcome
- Affected Services/Tiers
- Attack Type
- Attack Status
[Search] フィルタの詳細については、「Cisco Secure Application を使用したアプリケーション セキュリティのモニタ」の「View Data Using Search Filter 」を参照してください。
| 名前 | 説明 |
|---|---|
| ID | 該当する攻撃の ID。Cisco Secure Application がこの ID を生成します。 この ID は、攻撃の詳細ページで変更できます。攻撃の詳細ページを表示するには、目的の行をクリックします。 ID をアルファベット順にソートするには、このフィールドをクリックします。 |
| Source | 該当する攻撃の発生源。次の値を入力できます。
Web トランザクションによって攻撃イベントがトリガーされる場合、Cisco Secure Application は次の基準を使用して攻撃の発生源を特定します。
攻撃の発生源に関する詳細情報の行をクリックします。 値をアルファベット順にソートするには、このフィールドをクリックします。 |
| Outcome | 該当する攻撃の結果。攻撃の次の状態に関する情報を表示します。
値をアルファベット順にソートするには、このフィールドをクリックします。 |
| Attack Type (Events) | 攻撃タイプとその数。 |
| Affected Tiers (Nodes) | 攻撃の影響を受けたアプリケーション、および階層名とノード数。 |
| Last Detected | 攻撃の最後のイベントから経過した時間。 このフィールドをクリックして、値を昇順または降順でソートできます。 |
| Status | 攻撃のステータスは、open または closed で定義されます。 設定権限がある場合は、必要な行のチェックボックスをオンにし、[Set Status] オプションをクリックして適切なステータスを設定します。 Open または Closed 状態に基づいてソートする場合は、このフィールドをクリックします。 |
攻撃の詳細情報の表示
攻撃の詳細ページには、攻撃の詳細情報が表示されます。攻撃の詳細ページを表示するには、任意の攻撃をクリックします。
上部ペインには、攻撃の概要が表示されます。アプリケーション フローマップを表示するには、アプリケーション名の横にあるフローマップアイコン(
)をクリックします。
設定権限を持つユーザは、必要に応じて [Attack Notes] にメモを追加できます。このメモは、攻撃の詳細をモニタするときにすべてのユーザに表示されます。
下部ペインは、左側のペイン(攻撃に自動的に関連付けられたイベントのリスト)と右側のペイン(選択したイベントの詳細情報)に分かれています。
[Search] フィルタを使用して、次のカテゴリに基づいてフィルタリングできます。
- Outcome
- Event Type
- Attack Type
- Affected Tiers
[Search] フィルタの詳細については、「Monitor Application Security Using Cisco Secure Application」の「View Data Using Search Filter 」を参照してください。
左側のペインには、次の詳細情報が表示されます。
| フィールド名 | 説明 |
|---|---|
| Outcome | イベントの結果。選択したイベントが、Observed、Blocked、Exploited のいずれであるかが示されます。 |
| Event Type | 攻撃イベントのタイプまたは脆弱性の名前。 |
| Attack Type | RCE などの攻撃のタイプ。 |
| Affected Services/Tiers | 影響を受けるアプリケーションと階層。 |
| Risk | 攻撃の特定のイベントに指定されたリスクスコア。 |
| Timestamp | イベントが検出された時刻。 |
右側のペインには、選択したイベントに基づいて次の詳細情報が表示されます。
これらのフィールドは、Web トランザクション中にイベントがトリガーされると表示されます。
| フィールド名 | 説明 |
|---|---|
| Timestamp | イベントが検出された日時。 |
| Affected Node | 影響を受けるノードの名前。フローマップアイコン( |
| Vulnerabilities | 攻撃に使用された脆弱性のタイプ。イベントタイプによっては、このフィールドが表示されない場合があります。 値が表示されている場合は、値をクリックすると、脆弱性の詳細情報が表示されます。脆弱性の詳細については、「脆弱性のモニタリング」を参照してください。 |
| Entry Point | イベントをトリガーしたトランザクションでクライアントがアクセスした Web サーバの URL。イベントタイプによっては、このフィールドが表示されない場合があります。 |
| Client IP | トランザクションにおける接続のリモートエンドポイントの IP アドレス。この IP アドレスは、クライアントネットワークのクライアントマシン、ロードバランサ、またはプロキシの IP アドレスになります。 |
| Network Flow | 送信元および宛先 IP アドレスを含むノードで観測されたネットワークフロー。 |
| Details | 着信リクエストによってトリガーされたノードの結果の動作に関する詳細情報。詳細情報は、イベントと攻撃タイプに応じて異なる場合があります。[Show More] クリックすると、[Details] ダイアログボックスが表示されます。 必要に応じて詳細情報をコピーできます。 |
| Stack Trace | 該当するイベントのスタックトレースの詳細情報。[Show More] クリックすると、[Stack Trace] ダイアログボックスが表示されます。 この情報を使用すると、開発者がイベントの結果の原因となったコードの行を特定できます。必要に応じて詳細情報をコピーできます。 |
| Policy | イベントが検出されたときに、既存のポリシーに基づいてこのイベントに使用されるアクション。 設定権限がある場合は、この値をクリックしてポリシーを変更できます。「Cisco Secure Application のポリシー」を参照してください。 |