HTTP および Secure HTTP(HTTPS)プロトコルを介して、Cisco Secure Application セキュリティイベントを Splunk 展開に送信できます。Splunk サーバーの詳細情報を使用して新しい接続を有効にすると、脆弱性、攻撃、および監視イベントが Cisco Secure Application から指定の Splunk インスタンスに送信されます。
[gear icon] 
で [Settings ] オプションが表示されます。このオプションから、高度なセキュリティのためにサードパーティのサーバーに接続する [Connections] オプションを使用できます。
現在、Cisco Secure Application は Splunk との統合のみをサポートしています。
新しい接続を作成するには、[New Connection ] をクリックして、[New Connection] ダイアログボックスで以下の項目を指定します。
- Name:接続を識別するための任意の名前。
- Service Type:Splunk HTTP Event Collector。
現在、Cisco Secure Application は HTTP イベントコレクタのみをサポートしています。
- Endpoint:Splunk ホストエンドポイント。
- Token:Splunk を使用して生成されたトークン。
接続を保存すると、この値は非表示になります。
[Connections] ページには、Splunk 接続の詳細とそのステータスが表示されます。接続は、[modify icon] 
を使用して変更できます。
接続が成功すると、Cisco Secure Application は 1 分ごとにイベントを送信します。
現在、この接続は Vulnerabilities をサポートしています。このサポートは、以降のリリースで Attacks および Observations まで拡張されます。
AppDynamics の IP アドレス
Splunk インスタンスがパブリック IP をブロックしている場合は、次の IP リストのロックを解除してください。オレゴン環境から発信されるすべてのトラフィックには、次のいずれかのソース IP アドレスが割り当てられます。
34.218.183.67
52.88.49.75
34.218.135.55
44.224.91.190
44.224.93.208
100.21.44.47
35.163.240.75
100.21.168.150
44.224.41.204
すべての IP とそのリージョンを表示するには、「SaaS ドメインと IP 範囲」を参照してください。
セキュリティ イベント
サポートされているエージェントは、セキュリティイベントを Cisco Secure Application に送信して、UI に攻撃と脆弱性を表示します。Splunk 内でこれらのイベントを使用する場合、Cisco Secure Application はイベント属性を必要な形式で Splunk に送信します。イベントの詳細を以下に示します。
| 属性 | タイプ | 説明 |
|---|
| tenantId | int32 | AppDynamics コントローラがインストールされているサーバーのテナント ID。 |
| tenantName | 文字列 | AppDynamics コントローラがインストールされているサーバーの名前。 |
| applicationId | int32 | 脆弱なアプリケーションの ID。 |
| applicationname | 文字列 | 脆弱なアプリケーションの名前。 |
| applicationUuid | 文字列 | アプリケーションが実行されているサーバーの一意の ID。 |
| tierId | int32 | 脆弱なアプリケーションの階層 ID。 |
| tiername | 文字列 | 脆弱なアプリケーション階層の名前。 |
| tierUuid | 文字列 | 階層が実行されているサーバーの一意の ID。 |
| timestamp | 文字列 | 脆弱性が最初に検出された時刻。 |
| severity | 文字列 | CVSS3 環境のシビラティ(重大度)の説明。 |
| severityNumber | Float32 | 脆弱性のリスクスコア。数値が高いほどリスクが高くなる。 |
| リソース | 文字列 | セキュリティイベントのソース。この値は Secure App と表示されます。つまり、セキュリティイベントは Cisco Secure Application から送信されます。 |
| createdAt | 文字列 | 脆弱性が最初に検出された時刻。この値はタイムスタンプ値と同じです。 |
| lastSeenAt | 文字列 | 脆弱性が最後に検出された時刻。 |
| fixedAt | 文字列 | CVE 修復の日付。この値は CVE が修正されている場合にのみ使用できます。 |
| cveId | 文字列 | Common Vulnerability and Exposure ID。 |
| packageName | 文字列 | 脆弱性が検出されたライブラリの名前。 |
| packageVersion | 文字列 | 脆弱性があるパッケージのバージョン。 |
| fixedVersion | 文字列 | 脆弱性が修正されたパッケージのバージョン。これは修復バージョンです。 |
| 属性 | タイプ | 説明 |
|---|
| TenantId | int32 | AppDynamics コントローラがインストールされているサーバーのテナント ID。 |
| TenantName | 文字列 | AppDynamics コントローラがインストールされているサーバーの名前。 |
| ApplicationId | int32 | 攻撃の影響を受けるアプリケーションの ID。 |
| ApplicationName | 文字列 | 攻撃の影響を受けるアプリケーションの名前。 |
| ApplicationUuid | 文字列 | 攻撃の影響を受けるアプリケーションの一意の ID。 |
| タイムスタンプ | 文字列 | 攻撃が検出された時刻。 |
| SeverityNumber | float32 | 攻撃のリスクスコア。数値が高いほどリスクが高くなる。 |
| Name | String | 攻撃イベントの名前。 |
| Resource | 文字列 | 攻撃のエントリポイント。イベントをトリガーしたトランザクションでクライアントがアクセスした Web サーバーの URL。イベントタイプによっては、このフィールドが表示されない場合があります。 |
| CreatedAt | 文字列 | 攻撃が最初に検出された時点を示すタイムスタンプ。これはタイムスタンプと同じです。 |
| LastSeenAt | 文字列 | 攻撃が最後に検出された時刻。 |
| MaliciousIpSource | 文字列 | 悪意のある IP リストの名前。これは、既知の悪意のある IP リストにあるクライアント IP アドレスから攻撃されている場合に使用できます。 現在、Talos の悪意のある IP リストがサポートされています。したがって、この属性には攻撃が Talos リストのクライアント IP からのものである場合、値 Talos が表示されます。 |