Secure Application ポリシー

Secure Application Runtime のポリシーは、無視、検出、またはブロックするランタイム動作を定義します。ランタイムイベントはすべての攻撃と脆弱性を識別し、定義されたランタイムポリシーに基づいてアクションが実行されます。ランタイムポリシーを作成および設定すると、攻撃と脆弱性を軽減するアクションを指定できます。

アプリケーションのセキュリティをモニタするには、ポリシーを作成する必要があります。ポリシーを作成するには、Secure Application の設定権限が必要です。デフォルトでは、Secure Application には、すべての攻撃と脆弱性を最適に検出して誤検出を減らすランタイムポリシーが含まれています。

Supported Runtime Policies

Secure Application scans attacks and vulnerabilities for the following runtime behaviors:

Command Execution (PROCESS)

This policy detects or blocks the creation of new application processes. You can block a process at the tier level, but not at the application or the global level. The action can be limited to specific processes by name. For example, you can detect the creation of any process that executes the ps command or block the creation of any process that executes the cat command.

You can create rules for processes and stack traces. Meaning, that you can Detect, Block, or Ignore any command execution if a process starts with the following: equals, contains, or matches regex for a specific value. You can also Detect, Block, or Ignore any command execution if the stack trace contains, or matches regex of a specific value.

Filesystem Access (FILE)

This policy detects or blocks the access to the local files. You can block the access to local files at tier level, but not at the application or the global level. The action can be limited to specific files by name. For example, you can detect the access to any file that contains /etc or block the access to any file that contains passwd.

Headers in HTTP Transactions (HTTP_RESPONSE_HEADER)

This policy adds or detects a specific HTTP header to each HTTP response. The default action is detect. You can specify which headers to add with the patch option. You can specify this at the tier level, not at the application or the global level.

You can set the action for any of the following headers:

  • Strict-Transport-Security
  • X-Frame-Options
  • X-XSS-Protection
  • X-Content-Type-Options
注: You must specify Application and Tier to set an action for each header.

Web Transaction (TRANSACTION)

This policy detects or block certain web requests. The default action for this type of policy is detect. The transaction policy has two special options, to block non-encrypted HTTP requests and to block requests from unauthenticated users. You can specify rules to block requests based on originating IP or based on the URL.

Network or Socket Access (NETWORK)

This policy detects or blocks network connections to specific hosts. You can block the network connections at the tier level, not at the application or the global level. A specific rule can either block connections to and from a specific host, or connections that originate from a specific stack trace within the application.

ランタイムポリシーの作成

ランタイムに攻撃または脆弱性のポリシーを作成するには、次の手順を実行します。

  1. [ Policies Create New Policy ] をクリックします。
  2. [Add Policy] ダイアログから、次のフィールドでランタイムに必要な条件を選択します。
    フィールド名 詳細
    Name 必要なランタイムアクティビティを選択します。「サポートされているランタイムポリシー」を参照してください。
    Application ポリシーを適用する必要がある階層またはサービスを含むアプリケーションを選択します。Splunk AppDynamics では、ポリシーに特定のアプリケーションを選択することを推奨しています。[All] を選択して、すべてのアプリケーションにポリシーを適用することもできます。
    Tier ポリシーを適用するために必要なアプリケーション固有の階層またはサービスを選択します。Splunk AppDynamics では、ポリシーに特定の階層を選択することを推奨しています。[All] を選択して、すべての階層またはサービスにポリシーを適用することもできます。また、デフォルトポリシーを確認し、必要に応じて特定のアプリケーションおよび階層のポリシーを作成することを推奨しています。
    Default Action このポリシーのデフォルトアクションを選択します。
    • [Ignore] を選択して、ランタイムアクティビティの通知を無効にできます。ランタイムアクティビティを検出し、[Attacks] または [Vulnerabilities] ページに詳細を表示するには、[Detect] を選択します。または、特定のランタイムアクティビティをブロックし、[Attacks] ページおよび [Vulnerabilities] ページに [Blocked] として表示するには、[Block] を選択します。
    • ヘッダーの場合、[Default Action] は常に [Detect] に設定されます。
    注: サポートされているランタイムポリシーの一部では、[ブロック(Block)] を使用できません。[HTTPトランザクションのヘッダー(Headers in http transactions)] ポリシーなどのポリシーの場合は、ランタイムアクティビティをブロックするために [アプリケーション(Application)] と [ティア(Tier)] を指定する必要があります。
    Rules 要件に基づいてルールを追加します。ルール内で指定したアクションは、[Default Action] で指定したデフォルトアクションよりも優先されます。

    [Ignore] を選択して、ランタイムアクティビティの通知を無効にできます。ランタイムアクティビティを検出し、[Attacks] または [Vulnerabilities] ページに詳細を表示するには、[Detect] を選択します。または、HTTP レスポンスにヘッダーと値を追加するには、[Patch] を選択します。

    注: サポートされているランタイムポリシーの一部では、[Block] を使用できません。
    Enable Policy ランタイムポリシーを有効にするには、[Yes] を選択します。
    注: ApplicationTierAll に設定されている場合、このオプションは選択できません。
  3. Save をクリックします。

セキュリティポリシーの変更

ポリシーを表示または変更するには、次の手順を実行します。

注: [Search] フィルタを使用すると、[Name] 、[Tier] または [Application] フィールドの値に基づいて検索できます。[Name] は、ランタイムポリシーの名前です。
  1. [ Policies Runtime ] をクリックします。
    [Show<number of policies>] ドロップダウンのページの右下隅で選択した数字に基づいて、5、10、20、または 50 のポリシーを表示できます。
  2. 必要なポリシーの横にある [Modify] アイコンをクリックします。
  3. 必要なフィールドを変更します。
  4. 要件に基づいて、[Update] または [Delete Policy] をクリックします。