ランタイムアプリケーション自己保護 (RASP) エージェントは、ランタイムでアプリケーションを監視し、セマンティック分析と行動ベースラインチェックを使用して、低い偽陽性率で脅威を検出します。生成されるアラートのほとんどは、実際の攻撃を示しています。このトピックでは、アラートの証拠を確認してアラートが真陽性であるかどうかを判断する方法と、ホワイトリストルールを使用して誤検知を抑制する方法について説明します。
前提条件
開始する前に、以下を確認してください。
Security Center でアプリケーション保護が有効になっていること
アクセスするには、セキュリティセンター コンソール
(任意) RASP エージェントのバージョン 0.5.2 以降。悪意のある特徴量または入力パラメーターに基づいてホワイトリストルールを設定する場合に必要です。保護対象のアプリケーションを再起動すると、最新バージョンに自動的にアップグレードされます。
アラートの確認と対応
次の例では、悪意のあるファイルのアップロードによってトリガーされたアラートについて説明します。
Security Center コンソールにログインします。上部のナビゲーションバーで、管理対象のアセットが存在するリージョン (中国または中国本土以外) を選択します。
左側のナビゲーションウィンドウで、[保護設定] > [アプリケーション保護] を選択します。
[攻撃アラート] タブでアラートを見つけ、[操作] 列の [詳細] をクリックします。
アラート詳細ページで証拠を確認し、アラートが真陽性であるかどうかを判断します。
アラートの証拠の理解
詳細ページは 4 つのセクションで構成されています。各セクションを確認して、アラートが実際の攻撃を表しているか、誤検知であるかを判断します。
| セクション | フィールド | 説明 | 活用方法 |
|---|---|---|---|
| 基本アラート | 攻撃者の IP アドレス | アプリケーションにアクセスしたソース IP アドレス。 | この IP が既知の内部システム、信頼できるユーザー、またはセキュリティスキャンツールに属しているかどうかを確認します。予期しない外部 IP については、さらなる調査が必要です。 |
| 基本アラート | 脆弱性名 | 該当する場合、攻撃者によって悪用された脆弱性。 | 脆弱性 ID をクリックして詳細を表示します。脆弱性にパッチを適用して、攻撃対象領域を減らします。 |
| 高度なアラート | 悪意のある特徴 | アプリケーションに送信された悪意のあるデータ。この例では、/usr/local/tomcat/webapps/upload/addservlet.jsp をアップロードするリクエストです。 | このリクエストが予期された動作であるかどうかを判断します。予期された動作である場合は、ホワイトリストに追加します。そうでない場合は、実際の攻撃として扱います。 |
| 高度なアラート | トリガー関数 | アラートをトリガーした、アプリケーション内のセキュリティ上機密性の高い関数。 | どの内部関数が関与したかを理解します。 |
| 高度なアラート | 指定されたパラメーター | アプリケーションがリクエストを処理したときに生成された動作とイベントログを示す JSON オブジェクト。 | キーと値のペアを調べて、疑わしいパターンがないか確認します。 |
| 高度なアラート | 呼び出しスタック | イベント発生時の呼び出しスタック。関数呼び出しのシーケンスを記録します。 | 実行パスを追跡して、攻撃者がどのようにして脆弱なコードに到達したかを理解します。 |
| 詳細情報 | リクエスト URL | アプリケーションにアクセスした HTTP リクエストに関する情報。 | リクエストが正当なソースからのものであるかどうかを検証します。そうでない場合は、アクセスの制御を適用するか、そのソースからのリクエストをブロックします。 |
[アラート分析] セクションで AI が生成した概要を確認し、アラートが真陽性であるかどうかの追加の判断材料とします。
評価に基づく対応
証拠を確認した後、アラートが実際の攻撃であるかどうか、およびどの保護モードがアクティブであるかに基づいて対応します。
| シナリオ | 監視モード | ブロックモード |
|---|---|---|
| 実際の攻撃 | リクエストはブロックされませんでした。悪意のあるファイルを直ちに特定して削除してください。 | 攻撃はブロックされ、ファイルはサーバーに書き込まれませんでした。直ちにクリーンアップする必要はありません。 |
| 誤検知 | アラートをホワイトリストに追加して、同様のアラートを抑制します。 | アラートをホワイトリストに追加して、同様のアラートを抑制します。 |
ホワイトリストルールによる誤検知の抑制
アラートが正当なリクエストによってトリガーされた場合は、ホワイトリストに追加します。アラート詳細ページでは、アラートの値がホワイトリストのフィールドに事前入力されるため、手動でデータを入力することなく直接操作できます。
悪意のある特徴量または指定されたパラメーターに基づいてホワイトリストルールを作成するには、RASP エージェントをバージョン 0.5.2 以降にアップグレードする必要があります。アップグレード手順については、「RASP エージェントのバージョン表示」をご参照ください。
アラートのホワイトリストへの追加
Security Center コンソールにログインします。上部のナビゲーションバーで、管理対象のアセットが存在するリージョン (中国または中国本土以外) を選択します。
左側のナビゲーションウィンドウで、[保護設定] > [アプリケーション保護] を選択します。
[攻撃アラート] タブでアラートを見つけ、[操作] 列で [処理] > [ホワイトリストに追加] を選択します。
[ホワイトリストに追加] パネルで、ホワイトリストルールを設定し、[OK] をクリックします。
システムは、アラートの詳細に基づいてルールフィールドに事前入力します。これらの値により、特定のリクエストパターンを対象とする正確なルールが作成されます。
スコープを広げる (たとえば、単一のファイルではなくディレクトリ全体からのすべてのアラートを抑制する) には、[一致モード] と [一致させるコンテンツ] フィールドを調整します。
例:アラートが
/usr/local/tomcat/webapps/upload/1.jspによってトリガーされたとします。/upload/ディレクトリへのすべてのリクエストが正当なものである場合、[一致モード] を [前方一致] に変更し、[一致させるコンテンツ] を/usr/local/tomcat/webapps/upload/に設定します。
一致モード:
| 一致モード | アラートがトリガーされない条件 |
|---|---|
| 完全一致 | 送信されたコンテンツが [一致させるコンテンツ] の値と完全に一致する場合。 |
| 部分一致 | 送信されたコンテンツに [一致させるコンテンツ] の文字列が含まれる場合。 |
| 前方一致 | 送信されたコンテンツが [一致させるコンテンツ] の文字列で始まる場合。 |
| 後方一致 | 送信されたコンテンツが [一致させるコンテンツ] の文字列で終わる場合。 |
保存後、[ホワイトリスト] ページでルールを表示および管理できます。
ホワイトリストルールの管理
ホワイトリストルールの表示
Security Center コンソールにログインします。上部のナビゲーションバーで、管理対象のアセットが存在するリージョン (中国または中国本土以外) を選択します。
左側のナビゲーションウィンドウで、[保護設定] > [アプリケーション保護] を選択します。
[攻撃アラート] タブで、[ホワイトリスト] をクリックします。
[ホワイトリスト] ページで、次の操作を使用してルールを表示および管理します。
ルールの有効化または無効化:[ルールスイッチ] 列のスイッチを切り替えます。
ルールの編集:[操作] 列の [編集] をクリックします。
ルールの削除:[操作] 列の [削除] をクリックします。
ルールの作成:[ホワイトリストの設定] をクリックします。詳細については、「ホワイトリストルールの作成」をご参照ください。
ホワイトリストルールの作成
[ホワイトリスト] ページからホワイトリストルールを作成すると、1 つのルールを複数のアプリケーショングループと脅威タイプに同時に適用できるため、アラートを 1 つずつ追加するよりも効率的です。
Security Center コンソールにログインします。上部のナビゲーションバーで、管理対象のアセットが存在するリージョン (中国または中国本土以外) を選択します。
左側のナビゲーションウィンドウで、[保護設定] > [アプリケーション保護] を選択します。
[攻撃アラート] タブで、[ホワイトリスト] をクリックします。
[ホワイトリスト] ページで、[ホワイトリストの設定] をクリックします。
[ホワイトリストの設定] パネルで、ルールパラメーターを設定し、[OK] をクリックします。
パラメーター 説明 ルール名 ホワイトリストルールのわかりやすい名前。 ホワイトモード ホワイトリストの基準:悪意のある特徴量、指定されたパラメーター、またはリクエスト URL。 脅威タイプ 抑制する脅威タイプ。[選択] をクリックして [脅威タイプ] パネルから選択します。 一致モード 送信されたコンテンツを [一致させるコンテンツ] と照合する方法。上記の一致モードの表をご参照ください。 一致させるコンテンツ アラート詳細の悪意のある特徴量、指定されたパラメーター、またはリクエスト URL に基づいて、一致させる値。 宛先アプリケーショングループ ルールを適用するアプリケーショングループ。[選択] をクリックして [宛先アプリケーショングループ] パネルから選択します。
次のステップ
ファイルレス Web シェル防御機能を有効にすると、全体的な検出能力を強化できます。 詳細については、「ファイルレス Web シェル防御機能を使用する」をご参照ください。