Skip to main content

攻撃

攻撃とは、アプリケーションやサーバを標的とした攻撃イベントのグループです。Contrastで攻撃として含める攻撃イベントには次のように複数ありますが、これらに限定されるものではありません。

  • SQLインジェクション

  • 信頼できないデータのデシリアライゼーション

  • コマンドインジェクション

  • その他、多数の一般的に広く知られている脆弱性

同一のIPアドレスから30分以内に複数の攻撃イベントを検出した場合、Contrastではこれらのイベントを攻撃としてグループ化します。コードを修正した後に、同じIPアドレスから新たなイベントが検出されると、新たな攻撃として表示されます。

ダッシュボードに表示される攻撃の日付は、ローカルのタイムゾーンではなく、Contrastタスクが実行されたContrastサーバ上の時間に基づきます。

イベントデータの保持

Contrastでは、攻撃イベントのデータは30日間保持されてから、削除されます。攻撃データをより長期間保持するには、以下を行います。

  • Syslogに出力

  • Generic Webhookを設定

    Webhookは、指定されたイベントが発生した場合にのみ、POSTリクエストでデータを受信します。Webhookはイベントを確認すると、データを収集して指定されたURLに送信します。

  • 攻撃の行の最後にある矢印を選択し、ドロップダウンメニューから攻撃をエクスポート(CSVXML形式)を選択 します。

    Image shows how to export attack data

操作

Contrastでは、次のような操作ができます。

  • 攻撃情報の表示:攻撃されたアプリケーションやサーバ、攻撃が発生したコード箇所など、攻撃の情報を確認します。

  • 攻撃の管理:攻撃や攻撃イベントに対してアクションを実行します。例えば、特定の攻撃イベントに対してProtectルールを設定することができます。

  • 攻撃の監視:現在および過去の攻撃について概要画面でモニターします。