Runtime Application Self Protection (RASP) エージェントは、フック関数用に設定されたアプリケーションランタイムコンテキストとパラメーターを取得します。 そして、RASPエージェントは、取得したデータを意味解析や動作ベースラインチェックなどの技術を用いて解析し、保護されたアプリケーションにおける脅威を検出する。 RASP剤は、低い偽陽性率を有する。 ほとんどの場合、RASPエージェントによって報告されるアラートは、攻撃アラートと呼ばれる実際の攻撃を示します。 アプリケーション保護機能は、攻撃者のIPアドレス、悪意のある攻撃特性、入力パラメーター、コールスタック情報など、攻撃の詳細を提供します。 アラートの詳細ページの情報に基づいて、できるだけ早い機会に攻撃アラートを処理することを推奨します。 このトピックでは、攻撃アラートの処理方法について説明します。
攻撃アラートの表示と処理
次の例では、悪意のあるファイルのアップロードに対して生成される攻撃アラートを表示および処理する方法について説明します。
Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、.
攻撃アラート タブで、表示するアラートを見つけ、[アクション] 列の 詳細 をクリックします。
アラートの詳細ページで、アラート情報を表示します。
アラートが真のポジティブであるかどうかを判断するには、[詳細] の次のフィールドと [アラート分析] のAIモデルによって提供されるアラート情報に注意してください。
セクション
項目
説明
解決策
基本アラート
攻撃者IPアドレス
アプリケーションへのアクセスに使用される送信元IPアドレス。
IPアドレスがアプリケーションへのアクセスに使用される通常のIPアドレスであるかどうかを確認します。
脆弱性の名前
アクセス中に攻撃者によって悪用される脆弱性の名前。 脆弱性名は、脆弱性を悪用することによって開始された攻撃に対してのみ使用できます。
攻撃者が攻撃する可能性のある攻撃対象を減らすために、アプリケーションの脆弱性をできるだけ早く処理することをお勧めします。 脆弱性IDをクリックして、脆弱性の詳細を表示できます。
高度なアラート
悪意のある特徴
攻撃者によってアプリケーションに送信される悪意のあるデータ。
[高度なアラート] セクションの情報を表示して、アラートが通常のサービスリクエストを示しているかどうかを判断します。
この例では、/usr/local/tomcat/webapps/upload/addservlet.jspディレクトリにaddservlet.jspファイルをアップロードするリクエストが正常かどうかを確認します。
リクエストが正常な場合は、特性をホワイトリストに追加できます。 特性をホワイトリストに追加すると、アプリケーション保護機能は特性を持つリクエストに対するアラートを生成しなくなります。
要求が異常である場合、要求は偵察攻撃または実際の攻撃であり得る。
保護モードを 監視 に設定すると、悪意のあるファイルが実行される可能性があります。 この場合、できるだけ早く手動でファイルを削除する必要があります。
保護モードを ブロッキング に設定すると、アプリケーション保護機能によって攻撃がブロックされ、ファイルをサーバーに保存できなくなります。
トリガー関数
アプリケーション内のセキュリティ依存関数。 この関数が呼び出されると、アラートがトリガーされます。 RASPエージェントが関数の呼び出しを検出すると、エージェントは呼び出しをチェックして処理し、リスクを検出します。
指定されたパラメーター
アプリケーションが要求を処理するときにアプリケーションによって生成される動作ログとイベントログ。 このフィールドは、キーと値のペアを含むJSONオブジェクトです。
スタック呼び出し
イベントが発生したときのアプリケーションの呼び出しスタック。関数呼び出しのシーケンスが記録されます。
より多くの情報
リクエスト URL
アプリケーションへのアクセス要求に関する情報。
アプリケーションにアクセスするためのリクエストに関する情報を表示し、リクエストが正当なソースから送信されたかどうかを確認します。 リクエストが不正なソースから送信された場合は、ソースからのリクエストに対してアクセス制御を実装するか、拒否します。
ホワイトリストへの攻撃アラートの追加
攻撃アラートが通常のアクセス要求によってトリガーされることを確認した場合、攻撃アラートをホワイトリストに追加して、同様のアラートがトリガーされないようにすることができます。 悪意のある攻撃特性、入力パラメーター、およびリクエストURLのアラート情報に基づいて、ホワイトリストに攻撃アラートを追加できます。 ホワイトリストに攻撃アラートを追加する前に、アラートの詳細ページで情報を取得します。
悪意のある攻撃特性と入力パラメーターに基づいてホワイトリストを設定する場合は、RASPエージェントのバージョンを0.5.2以降にアップグレードする必要があります。 保護されたアプリケーションを再起動すると、RASPエージェントを自動的に最新バージョンにアップグレードできます。 詳細については、「RASPエージェントのバージョンの表示」をご参照ください。
次のセクションでは、攻撃アラートをホワイトリストに追加する方法について説明します。 一度に複数のアプリケーショングループのホワイトリストを設定する場合は、アラートリストの右上隅にある ホワイトリストのリスト をクリックします。 [ホワイトリスト] ページで、ホワイトリストの設定 をクリックします。
Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、.
攻撃アラート タブで、管理するアラートを見つけ、[操作] 列の を選択します。
ホワイトリストに追加 パネルで、ホワイトリストルールを設定し、OK をクリックします。
ホワイトリストルールを設定する前に、次の項目に注意してください。
ホワイトリストルールは、悪意のある特性、指定されたパラメーター、およびリクエストURLのいずれかのホワイトリストモードで設定できます。 アプリケーション保護機能は、アラートの詳細から取得したデータに基づいて、ホワイトリストのルールフィールドを自動的に設定します。 自動的に入力されるフィールドを使用するホワイトリストルールは、同様のリクエストを正確に識別して制御できます。
ホワイトリストルールが有効になるリクエストの範囲を拡大したい場合は、[一致モード] および [一致するコンテンツ] フィールドを変更できます。
たとえば、悪意のあるファイルのアップロードによってトリガーされるアラートの [悪意のある特性] フィールドは、/usr/local/tomcat/webapps/upload/1.jspです。 アップロードディレクトリへのすべてのアクセス要求が正常であることを確認した場合は、次の手順を実行します。
Match Modeフィールドの値をPrefix Matchに変更します。
Content to Matchフィールドの値を /usr/local/tomcat/webapps/upload /に変更します。
次の項目は、ホワイトリストでサポートされている一致モードについて説明します。
完全一致: 送信されたコンテンツが、content to Matchフィールドで指定された文字列と同じ場合、アラートはトリガーされません。
部分一致: 送信されたコンテンツに、content to Matchフィールドで指定された文字列が含まれている場合、アラートはトリガーされません。
Prefix Match: 送信されたコンテンツが、content to Matchフィールドで指定された文字列で始まる場合、アラートはトリガーされません。
サフィックスマッチ: 送信されたコンテンツが一致するコンテンツフィールドで指定された文字列で終了する場合、アラートはトリガーされません。
説明ホワイトリストルールを設定した後、ホワイトリストのリスト ページでホワイトリストルールを表示および管理できます。 詳細については、「ホワイトリストルールの管理」をご参照ください。
ホワイトリストルールの管理
ホワイトリストルールの表示
Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、.
攻撃アラート タブで、ホワイトリストのリスト をクリックします。
ホワイトリストのリスト ページで、ホワイトリストルールを表示します。
ホワイトリストルールを管理するには、次の操作を実行します。
ホワイトリストルールを有効または無効にする: ルールスイッチ 列のスイッチをオンまたはオフにします。
ホワイトリストルールの変更または削除: 操作する 列の 編集 または 削除 をクリックします。
ホワイトリストルールの作成: ホワイトリストの設定 をクリックします。 詳細については、「ホワイトリストルールの作成」をご参照ください。
ホワイトリストルールの作成
ホワイトリストルールを作成するときに、複数の脅威タイプと複数のアプリケーショングループを指定できます。 このように、ホワイトリストルールは指定されたアプリケーショングループに同時に適用され、脅威の種類がアプリケーショングループのホワイトリストに追加されます。
Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、.
攻撃アラート タブで、ホワイトリストのリスト をクリックします。
ホワイトリストのリスト ページで、ホワイトリストの設定 をクリックします。
ホワイトリストの設定 パネルで、ホワイトリストルールを設定し、OK をクリックします。
パラメーター
説明
ルール名
ホワイトリストルールの名前。
白モード
ホワイトリストモード。 有効な値:
悪意のある機能
着信パラメーター
リクエスト URL
脅威タイプ
ホワイトリストルールに追加する脅威の種類。 選択 をクリックすると、検出タイプ パネルで脅威の種類を選択できます。
マッチモード
ホワイトリストルールが有効になる一致モード。
完全一致: 送信されたコンテンツが、content to Matchフィールドで指定された文字列と同じ場合、アラートはトリガーされません。
部分一致: 送信されたコンテンツに、content to Matchフィールドで指定された文字列が含まれている場合、アラートはトリガーされません。
Prefix Match: 送信されたコンテンツが、content to Matchフィールドで指定された文字列で始まる場合、アラートはトリガーされません。
サフィックスマッチ: 送信されたコンテンツが一致するコンテンツフィールドで指定された文字列で終了する場合、アラートはトリガーされません。
一致するコンテンツ
指定されたホワイトリストモードに基づいてホワイトリストルールに対してデータを検証するために使用されるコンテンツ。 このパラメーターは、アラートの詳細ページで提供される 悪意のある機能 、着信パラメーター 、および リクエスト URL パラメーター値に基づいて設定できます。
宛先アプリケーショングループ
ホワイトリストルールを適用するアプリケーショングループ。 選択 をクリックすると、アプリケーショングループの有効化 パネルでアプリケーショングループを選択できます。
関連ドキュメント
Security Centerのアプリケーション保護機能は、メモリ内のwebshell防止機能も提供します。 インメモリwebshell防止機能を有効にして、全体的な検出機能を強化できます。 詳細については、「インメモリwebshell防止機能の使用」をご参照ください。