アプリケーション分析 タブでは、ご利用のアプリケーションセキュリティ状況を包括的に把握できます。具体的には、保護対象となっているプロセス数、検出された攻撃数、最も標的とされるサーバー、攻撃の発生元、および脆弱性に対するブロッキング効果の程度が確認可能です。これらのデータを活用して、保護カバレッジのギャップを特定し、セキュリティ強化の優先順位を決定してください。
前提条件
開始する前に、以下の条件を満たしていることをご確認ください。
Security Center でアプリケーション保護クォータを購入済みであること
Java または PHP アプリケーションプロセスを少なくとも 1 つ、アプリケーション保護に追加済みであること
保護対象のアプリケーションプロセスの表示
アプリケーションプロセスは起動・停止が動的に行われるため、統計情報を確認する前に、オンデマンドスキャンを実行して正確なプロセス数を取得してください。
Security Center コンソール にログインします。左上隅にあるリージョン選択メニューから、ご利用の資産に対応するリージョン(中国 または 中国以外)を選択します。
左側ナビゲーションウィンドウで、保護設定 > アプリケーション保護 を選択します。
アプリケーション分析 タブの アプリケーションアクセス統計 セクションで、残りクォータ の右側にある リソース統計 をクリックします。
アプリケーションプロセス パネルで、即時スキャン をクリックします。最後の検出時間が更新されるまでお待ちください。
Java または PHP の下に表示される数字をクリックすると、保護可能なプロセス一覧が表示されます。アプリケーション保護 列には、各プロセスのステータスとして以下のいずれかが表示されます。プロセス一覧をエクスポートする場合は、
をクリックします。ステータス 説明 追加済み プロセスが保護されており、クォータが消費済みです 未追加 プロセスは実行中ですが、まだ保護されていません 失敗 このプロセスへの保護適用に失敗しました
スキャン実行時に実行中のプロセスのみがカウントされます。プロセス数は動的に変化するため、必要なクォータ量の見積もりにはスキャン結果をご活用ください。スキャンデータは 7 日間保持され、新しいスキャン実行時に既存のデータが上書きされます。
Security Center のベーシック版、バリュー・アド版、アンチウイルス版、またはアドバンスト版では、エージェントによるプロセスデータ収集は 1 日 1 回のみです。アプリケーション保護に追加された各プロセスは、1 単位のクォータを消費します。
攻撃防止効果の表示
アプリケーション分析 タブでは、過去 30 日間の攻撃データを以下の 3 つのセクションで表示します:アプリケーションの動作分析、攻撃タイプ別ディストリビューション、および 攻撃防止動向。
Security Center コンソール にログインします。上部ナビゲーションバーから、管理対象の資産に対応するリージョン(中国 または 中国以外)を選択します。
左側ナビゲーションウィンドウで、保護設定 > アプリケーション保護 を選択します。
アプリケーション分析 タブで、以下のメトリックを確認します。
合計チェック数:保護対象アプリケーションに対して実行されたセキュリティチェックの総数です。この数値が記録されている場合、攻撃アラート ページにアラートが表示されなくても、アプリケーション保護が正常に機能しています。
成功した攻撃検出数 = ブロック済み + モニタリング中
攻撃データが存在しない場合、アプリケーションが想定通りに動作していることを意味します。アプリケーション保護は、実際に発生した攻撃のみを検出します。
データの活用方法:
30 日を超える期間の攻撃データを調査したり、特定の時間範囲でフィルター処理したい場合は、攻撃アラート タブに移動してください。
最も標的とされるサーバーの表示
Security Center コンソール にログインします。上部ナビゲーションバーから、管理対象の資産に対応するリージョン(中国 または 中国以外)を選択します。
左側ナビゲーションウィンドウで、保護設定 > アプリケーション保護 を選択します。
アプリケーション分析 タブで、攻撃対象サーバーの IP アドレス セクションまでスクロールし、最も多くの攻撃を受けるサーバーを確認します。
標的となるサーバーのセキュリティ強化:
攻撃対象領域を縮小するため、既知の脆弱性を修正してください。「脆弱性の表示と対応」をご参照ください。
標的となるサーバーで、悪意のあるホスト行動防止、Webshell 防止、悪意のあるネットワーク行動防止、および Webshell 検出と削除 を有効化してください。「ホスト保護設定タブでの機能有効化」をご参照ください。
標的となるサーバーに対して攻撃を仕掛ける IP アドレスを確認するには、「攻撃者 IP アドレス」セクションをご参照ください。
主要な攻撃発生元の表示
Security Center コンソール にログインします。上部ナビゲーションバーから、管理対象の資産に対応するリージョン(中国 または 中国以外)を選択します。
左側ナビゲーションウィンドウで、保護設定 > アプリケーション保護 を選択します。
アプリケーション分析 タブで、攻撃者 IP アドレス セクションまでスクロールし、最も多くの攻撃を発信する IP アドレスを確認します。
特定された攻撃発生元のブロック:
Elastic Compute Service (ECS) インスタンスのセキュリティグループルールを設定し、既知の攻撃発生元 IP アドレスからのアクセスを拒否してください。「セキュリティグループルールの追加」をご参照ください。
Web Application Firewall (WAF) を利用している場合、攻撃発生元 IP アドレスを IP ブラックリストに登録してください。「IP アドレスのブラックリストルールを設定して特定のリクエストをブロック」をご参照ください。
脆弱性防止効果の表示
Security Center コンソール にログインします。左上隅にあるリージョン選択メニューから、ご利用の資産に対応するリージョン(中国 または 中国以外)を選択します。
左側ナビゲーションウィンドウで、保護設定 > アプリケーション保護 を選択します。
アプリケーション分析 タブで、脆弱性防止 セクションまでスクロールします。
このセクションでは、以下のメトリックが表示されます。
| メトリック | 説明 |
|---|---|
| 保護対象アプリケーション | 脆弱性防止のためにアプリケーション保護に追加されたアプリケーションプロセス数 |
| 防御済みアプリケーション脆弱性/保留中の脆弱性 | アプリケーション保護によってブロックされた脆弱性の数。異なる資産で発生した同一脆弱性もそれぞれ個別にカウントされます。 |
| サポート対象の全脆弱性 | 数字をクリックすると、アプリケーション保護が対応可能なすべての脆弱性の一覧が表示されます。 |
| 全脆弱性に対する成功した防御回数の合計 | 脆弱性を経由した攻撃のうち、モニタリングまたは遮断が成功した回数 |
| 上位 5 件の脆弱性 | モニタリングおよび遮断を含む防御セッション数が最も多い上位 5 件の脆弱性 |
| 脆弱性動向 | 脆弱性を経由した攻撃のモニタリングまたは遮断が時間経過とともにどの程度発生しているかを示す頻度。詳細情報に脆弱性名が含まれるアラートのみがカウント対象となります。 |
データの活用方法:
脆弱性動向 が継続的に増加傾向を示す場合、上位 5 件の脆弱性 を確認し、アプリケーションコード内の該当脆弱性のパッチ適用を優先してください。
サポート対象の全脆弱性 の横の数字をクリックすると、アプリケーション保護が防御可能な脆弱性の完全な一覧が表示されます。この一覧を活用して、パッチ適用のカバレッジギャップを特定してください。