Splunk AppDynamics SaaS アプリケーション セキュリティ モニタリング Current: Cisco Secure Application と Splunk の統合 PDF Download PDF Download page Cisco Secure Application と Splunk の統合. Current page All pages Cisco Secure Application と Splunk の統合 HTTP および Secure HTTP(HTTPS)プロトコルを介して、Cisco Secure Application セキュリティイベントを Splunk 展開に送信できます。Splunk サーバーの詳細情報を使用して新しい接続を有効にすると、脆弱性、攻撃、および監視イベントが Cisco Secure Application から指定の Splunk インスタンスに送信されます。高度なセキュリティのためにサードパーティのサーバーに接続する [Connections] オプションを使用します。新しい接続を作成するには、次の手順を実行します。Cisco Secure Application ダッシュボードから、[Administration > Connections] タブに移動します。 [New Connection ] をクリックして、[New Connection] ダイアログボックスで次を指定します。Name:接続を識別するための任意の名前。Service Type:Splunk HTTP Event Collector。現在、Cisco Secure Application は HTTP イベントコレクタのみをサポートしています。Endpoint:Splunk ホストエンドポイント。 Token:Splunk を使用して生成されたトークン。接続を保存すると、この値は非表示になります。[Connections] ページには、Splunk 接続の詳細とそのステータスが表示されます。接続を変更するには、変更アイコン を使用します。接続が成功すると、Cisco Secure Application は 1 分ごとにイベントを送信します。現在、この接続は Vulnerabilities をサポートしています。このサポートは、以降のリリースで Attacks および Observations まで拡張されます。Cisco AppDynamics の IP アドレスSplunk インスタンスがパブリック IP をブロックしている場合は、次の IP リストのロックを解除してください。オレゴン環境から発信されるすべてのトラフィックには、次のいずれかのソース IP アドレスが割り当てられます。34.218.183.67 52.88.49.7534.218.135.5544.224.91.19044.224.93.208100.21.44.4735.163.240.75100.21.168.15044.224.41.204すべての IP とそのリージョンを表示するには、「SaaS ドメインと IP 範囲」を参照してください。 セキュリティイベントサポートされているエージェントは、セキュリティイベントを Cisco Secure Application に送信して、UI に攻撃と脆弱性を表示します。Splunk 内でこれらのイベントを使用する場合、Cisco Secure Application はイベント属性を必要な形式で Splunk に送信します。イベントの詳細を以下に示します。脆弱性属性タイプ説明tenantIdint32AppDynamics コントローラがインストールされているサーバーのテナント ID。tenantName文字列AppDynamics コントローラがインストールされているサーバーの名前。applicationIdint32脆弱なアプリケーションの ID。applicationname文字列脆弱なアプリケーションの名前。applicationUuid文字列アプリケーションが実行されているサーバーの一意の ID。tierIdint32脆弱なアプリケーションの階層 ID。tiername文字列脆弱なアプリケーション階層の名前。tierUuid文字列階層が実行されているサーバーの一意の ID。timestamp文字列脆弱性が最初に検出された時刻。severity文字列CVSS3 環境のシビラティ(重大度)の説明。 severityNumberFloat32脆弱性のリスクスコア。数値が高いほどリスクが高くなる。リソース文字列セキュリティイベントのソース。この値は Secure App と表示されます。つまり、セキュリティイベントは Cisco Secure Application から送信されます。createdAt文字列脆弱性が最初に検出された時刻。この値はタイムスタンプ値と同じです。lastSeenAt文字列脆弱性が最後に検出された時刻。fixedAt文字列CVE 修復の日付。この値は CVE が修正されている場合にのみ使用できます。 cveId文字列Common Vulnerability and Exposure ID。packageName文字列脆弱性が検出されたライブラリの名前。 packageVersion文字列脆弱性があるパッケージのバージョン。fixedVersion文字列脆弱性が修正されたパッケージのバージョン。これは修復バージョンです。攻撃属性タイプ説明TenantIdint32AppDynamics コントローラがインストールされているサーバーのテナント ID。TenantName文字列AppDynamics コントローラがインストールされているサーバーの名前。ApplicationIdint32攻撃の影響を受けるアプリケーションの ID。ApplicationName文字列攻撃の影響を受けるアプリケーションの名前。ApplicationUuid文字列攻撃の影響を受けるアプリケーションの一意の ID。タイムスタンプ文字列攻撃が検出された時刻。SeverityNumberfloat32攻撃のリスクスコア。数値が高いほどリスクが高くなる。NameString攻撃イベントの名前。Resource文字列攻撃のエントリポイント。イベントをトリガーしたトランザクションでクライアントがアクセスした Web サーバーの URL。イベントタイプによっては、このフィールドが表示されない場合があります。CreatedAt文字列攻撃が最初に検出された時点を示すタイムスタンプ。これはタイムスタンプと同じです。LastSeenAt文字列攻撃が最後に検出された時刻。MaliciousIpSource文字列悪意のある IP リストの名前。これは、既知の悪意のある IP リストにあるクライアント IP アドレスから攻撃されている場合に使用できます。現在、Talos の悪意のある IP リストがサポートされています。したがって、この属性には攻撃が Talos リストのクライアント IP からのものである場合、値 Talos が表示されます。 ×
