Monitor Business Transactions

This page includes details to monitor the vulnerability risk of a Business Transaction. Secure Application evaluates the risk of a business transaction using an algorithm that factors in exposure to the internet, access to potentially sensitive data, usage of vulnerable libraries, reached vulnerable code, prediction of vulnerability exploitation, unsafe external APIs, and runtime threat activity.

These factors enable you to prioritize what is required to triage, mitigate, and remediate, which reduces risk exposure to the business. You can use the Search filter for the Business Transaction, Application, and Entry Tier categories. See Monitor Application Security Using Secure Application.

The Business Transactions page includes these details:

Field Name Description
Business Transaction

The name of the business transaction. To view the business transaction on the Splunk AppDynamics Controller, click the icon next to the name.
Application (Tiers)

The application name and the number of tiers that are part of the business transaction for the application. To view the application on the Splunk AppDynamics Controller, click the icon next to the name.
Entry Tier

The tier from which the transaction originates. To view the tier on the Splunk AppDynamics Controller, click the icon next to the name.
Business Risk The Business Risk algorithm is calculated based on the likelihood of vulnerability exploitation, and the impact of the potential exploitation in a business transaction. These are the three statuses for a Business Risk:
  • Normal 0-330
  • Warning 340-660
  • Critical 670-1000

The higher the value, the higher the risk for the application vulnerability.
Total Vulnerabilities

The number of vulnerabilities detected is based on their severity.

  • Critical
  • High
  • Medium
  • Low

The color-coded icons represent these severities.
Total Attacks The number of attacks based on their status:
  • Exploited
  • Blocked
  • Attempted

You can click the Export button to download the table data. It downloads all of the rows, columns, and related data in a .csv file. A separate .json file includes the following: link to the Secure Application website where the table is exported from, global filters (if any) applied to the pages, and search filters applied to the columns. These two files are compressed into a .zip file for downloading. The maximum number of rows that can be exported is 10,000. If table data exceeds 10,000 rows you may apply filters to narrow your search, or export the first 10,000 results.

ビジネストランザクションの詳細の表示

特定のビジネストランザクションの詳細を表示するには、[Business Transactions] ページで任意のビジネストランザクションをクリックします。

上部ペインは、次のセクションに分割されています。

  • ビジネスリスクスコア。6 つのビジネスリスク要因を含みます。
    • エクスプロイトのリスクが高い脆弱性:Cisco Security Risk Score が 66 を超えるビジネストランザクションの脆弱性が特定されます。
    • 脅威アクティビティ:既知の攻撃タイプに一致するビジネストランザクションのセキュリティイベントが特定されます。「攻撃のモニタリング」 および 「観測内容のモニタリング」を参照してください。
    • 安全でない外部 API の使用:安全でない外部 API の使用が特定されます。
    • 重要なビジネストランザクション:カスタム名を持つビジネストランザクションが特定されます。
    • データストアへのアクセス:データストアにアクセスできるビジネストランザクションが特定されます。
    • パブリックアクセス可能:インターネットからアクセスできるビジネストランザクションが特定されます。
  • Business Transaction:ビジネストランザクションの名前。
  • Application:アプリケーションの名前。
  • Daily Highest Business Risk Score Detected:ビジネスリスクスコアの傾向の可視化。
  • Top Recommended Actions:潜在的なリスクを修復するために実行できる上位アクション。

[脆弱性(Vulnerabilities)] タブ

[Business Transactions] ページで、[Vulnerabilities] タブを表示できます。このタブには、次の情報が表示されます。

フィールド名 説明
Title ビジネストランザクションに関連する脆弱性のタイプ。
ID

Common Vulnerabilities and Exposures(CVE)識別子。名前をクリックすると、その CVE に固有の詳細を表示できます。
Cisco Security Risk Score Cisco Security Risk Score は、リアルタイムのイベントに基づいたエクスプロイトの見積を提供します。次の 3 つのステータスがあります。
  • 緑 0 ~ 33
  • オレンジ 34 ~ 66
  • 赤 67 ~ 100
Reached

この列に感嘆符がある場合、この脆弱なコードに到達されたことを意味します。
CVSS Score このスコアは、次の 5 つの重大度からなる共通脆弱性評価システム(CVSS)に基づいています。
  • None:0 ~ 0
  • Low:0.1 ~ 3.9
  • Medium:4.0 ~ 6.9
  • High:7.0 ~ 8.9
  • Critical:9.0 ~ 10.0
Tier (Nodes)

選択した脆弱性により影響を受けるサービスまたは階層。数字は、影響を受けるノードの数を示します。Splunk AppDynamics階層アイコンは、その階層の  フローマップに移動します。
Library 脆弱性により影響を受けるライブラリ。ライブラリをクリックすると、ライブラリの詳細情報を表示できます。Monitor Libraries を参照してください。
Last Detected 階層で脆弱性が最後に確認されてからの時間。
Status

選択した脆弱性のステータス。ステータス値は次のいずれかになります。

  • Detected:少なくとも 1 つの脆弱性がライブラリで検出されています。
  • Confirmed(レビュー後、ユーザーによって手動で設定されています)
  • Fixed(脆弱性が修正されています)
  • Ignored(レビュー後、ユーザーによって手動で設定されています)
  • Not Vulnerable(ライブラリに脆弱性はありません)

Detected および Fixed ステータスは、アプリケーションで使用されるライブラリに基づいて自動的に検出されます。

Attacks Tab

On the Business Transactions page, you can view the Attacks tab, which displays:

Name Description
ID

The ID of the corresponding Attack. Secure Application generates this ID. You can modify this ID on the attacks details page. To view the attack details page, click the desired row.

Click this field to sort the ID alphabetically.
Outcome

The outcome of the corresponding attack. This provides information on these state of the attack:

  • Observed: When the events may impact the security, but any malicious intent is not determined. For example, an application opening a file outside the application directory causes Observed state.
  • Blocked: When the events are blocked based on the attack policy.
  • Exploited: When malicious activity is performed to impact the application's security.
  • Attempted: When the malicious activity is determined but not exploited.

Click this field to sort the values alphabetically.
Attack Type (Events) The type of the attack and count of that attack type.
Attack Trigger Relevant information from the runtime behavior resulting from the event where Secure Application determined a potential attack.
Tier

The tier name and the number of nodes. You can click
to launch the application flow map in the Splunk AppDynamics dashboard. The info icon (
) next to an affected tier indicates that the attacked nodes in the tier include critical or medium vulnerability.
Last Detected

The time that is elapsed since the last event within the attack. Click this field to sort the values in ascending or descending order.
Status

The status of the attack is defined as either Open or Closed. If you have Configure permissions, click the checkboxes for the required rows and then click the Set Status option to set the appropriate status. Click this field to sort based on the Open or Closed state.