Download PDF
Download page 攻撃のモニタリング.
攻撃のモニタリング
[Attacks] ページには、管理対象アプリケーションに対するすべてのオープンおよびクローズ攻撃の詳細が表示されます。デフォルトでは、このページには選択したアプリケーションの概要が表示されます。「Cisco Secure Application を使用したアプリケーション セキュリティのモニタ」を参照してください。
攻撃
[Attacks] ページには、次の詳細情報が表示されます。
| フィールド名 | 説明 |
|---|---|
| Attacks By Outcome | 攻撃の次の状態に関する情報を表示します。
|
| Top Applications | このチャートには、アプリケーションごとのオープン攻撃に基づく上位 10 個のアプリケーションが表示されます。特定のアプリケーションスコープを選択すると、そのアプリケーションだけが表示されます。すべてのアプリケーションを表示するには、アプリケーションスコープをリセットします。「Cisco Secure Application を使用したアプリケーション セキュリティのモニタ」を参照してください。これらのアプリケーションでは、各アプリケーションへのオープン攻撃の総数に対する exploited、blocked、attempted の各状態の割合が示されます。ブロックされた攻撃、エクスプロイトされた攻撃、オープン攻撃の数を表示するには、各状態にカーソルを合わせます。 |
| Top Attack Types | このチャートには、上位 10 個の攻撃イベントが表示されます。これらのイベントでは、各イベントへのオープン攻撃の総数に対する exploited、blocked、attempted の各状態の割合が示されます。Blocked、Exploited、Attempted の各状態のオープン攻撃の数を表示するには、各状態にカーソルを合わせます。攻撃タイプは次のとおりです。
|
| ID | 該当する攻撃の ID。Cisco Secure Application がこの ID を生成します。この ID は、攻撃の詳細ページで変更できます。攻撃の詳細ページを表示するには、目的の行をクリックします。ID を番号順にソートするには、このフィールドをクリックします。 |
| Outcome | 該当する攻撃の結果。攻撃の次の状態に関する情報を表示します。
値をアルファベット順にソートするには、このフィールドをクリックします。 |
| Attack Type (Events) | 攻撃タイプとその数。 |
| Event Trigger | Secure Application が潜在的な攻撃を特定したイベントの結果として生じるランタイム動作からの関連情報。 |
| Application | 攻撃の影響を受けるアプリケーション。 |
| Business Transaction | [Attack ID] をクリックすると、各 [Attack] の概要と、[Business Transaction] が有効になっている場合は [Business Transition] タイプが表示されます。「ビジネストランザクションの監視」を参照してください。 |
| Tier | 階層名とノードの数。 |
| Last Detected | 攻撃の最後のイベントから経過した時間。このフィールドをクリックして、値を昇順または降順でソートできます。 |
| Status | 攻撃のステータスは、open または closed で定義されます。設定権限がある場合は、必要な行のチェックボックスをオンにし、[Set Status] オプションをクリックして適切なステータスを設定します。Open または Closed 状態に基づいてソートする場合は、このフィールドをクリックします。 |
攻撃の詳細情報の表示
Attackの詳細ページには、攻撃の情報が表示されます。上部ペインには、攻撃の概要が表示されます。アプリケーション フローマップを表示するには、アプリケーション名の横にあるフローマップアイコン(
)をクリックします。下部ペインは、左側のペイン(攻撃に自動的に関連付けられたイベントのリスト)と右側のペイン(選択したイベントの詳細情報)に分かれています。
[Search] フィルタを使用して、[Outcome]、[ Event Type]、[ Attack Type]、または [Affected Tiers] でフィルタ処理できます。
| フィールド名 | 説明 |
|---|---|
| Outcome | イベントの結果。選択したイベントが Exploited、Blocked、Attempted のいずれであるかが示されます。 |
| Event Type | 攻撃イベントのタイプまたは脆弱性の名前。 |
| Attack Type | RCE などの攻撃のタイプ。 |
| Application | 影響を受けるアプリケーション。 |
| Tier | 影響を受ける階層。 |
| Timestamp | イベントが検出された時刻。 |
| Timestamp | イベントが検出された日時。 |
| Affected Node | 影響を受けるノードの名前。フローマップアイコン( |
| Event Trigger | 攻撃対象が表示されます。これは、ファイル、ホスト、コマンドなどです。 |
| Vulnerabilities | 攻撃に使用された脆弱性のタイプ。イベントタイプによっては、このフィールドが表示されない場合があります。 値が表示されている場合は、値をクリックすると、脆弱性の詳細情報が表示されます。脆弱性の詳細については、「脆弱性のモニタリング」を参照してください。 |
| Entry Point | イベントをトリガーしたトランザクションでクライアントがアクセスした Web サーバの URL。イベントタイプによっては、このフィールドが表示されない場合があります。 |
| Client IP | トランザクションにおける接続のリモートエンドポイントの IP アドレス。この IP アドレスは、クライアントネットワークのクライアントマシン、ロードバランサ、またはプロキシの IP アドレスになります。 これは、既知の悪意のある IP リストにあるクライアント IP アドレスから攻撃されている場合に使用できます。現在、Talos の悪意のある IP リストがサポートされています。したがって、この属性には攻撃が Talos リストのクライアント IP からのものである場合、値 Talos が表示されます。 |
| Network Flow | 送信元および宛先 IP アドレスを含むノードで観測されたネットワークフロー。 |
| Details | 着信リクエストによってトリガーされたノードの結果の動作に関する詳細情報。詳細情報は、イベントと攻撃タイプに応じて異なる場合があります。[Show More] をクリックすると、[Details] ダイアログボックスが表示されます。 必要に応じて詳細情報をコピーできます。 |
| Stack Trace | 該当するイベントのスタックトレースの詳細情報。[Show More] をクリックすると、[Stack Trace] ダイアログボックスが表示されます。 この情報を使用すると、開発者がイベントの結果の原因となったコードの行を特定できます。必要に応じて詳細情報をコピーできます。 |
| Socket Address | 宛先 IP アドレス。これは、ホスト、ネットワーク、サブネットワークなどです。IP アドレスの横にある警告アイコン(  )は、既知の悪意のある IP が検出されたことを示します。 これは、既知の悪意のある IP リストにあるクライアント IP アドレスから攻撃されている場合に使用できます。現在、Talos の悪意のある IP リストがサポートされています。したがって、この属性には攻撃が Talos リストのクライアント IP からのものである場合、値 Talos が表示されます。 |
| Policy | イベントが検出されたときに、既存のポリシーに基づいてこのイベントに使用されるアクション。 設定権限がある場合は、この値をクリックしてポリシーを変更できます。「Cisco Secure Application のポリシー」を参照してください。 |
[ Export] ボタンをクリックして表データをダウンロードできます。.csv ファイル内のすべての行、列、および関連データがダウンロードされます。別の .json ファイルには、テーブルのエクスポート元の Cisco Secure Application Web サイトへのリンク、ページに適用されるグローバルフィルタ(存在する場合)、および列に適用される検索フィルタが含まれます。この 2 つのファイルは、ダウンロード用の .zip ファイルに圧縮されています。エクスポートできる最大行数は 10,000 です。テーブルデータが 10,000 行を超える場合は、フィルタを適用して検索を絞り込むか、最初の 10,000 件の結果をエクスポートします。