PREVIEW この機能は現在プレビュー段階です。それを記念して、3か月の無料トライアルを提供します。IAST の無料トライアルは、プレリリース ソフトウェア条件に同意した瞬間から開始されます。
IAST は、運用前環境、理想的には専用のセキュリティ環境でのみ使用する必要があります。
IAST エージェントを使用すると、追加の請求対象となる APM データの取り込みが発生する可能性があります。
アプリケーションに悪用可能な脆弱性があるということは、誰かが構成ミスを利用して機密情報にアクセスする可能性があることを意味します。これを防ぐには、対話型アプリケーション セキュリティ テスト (IAST) をインストールしてください。
one.newrelic.com > All capabilities > IAST
IAST は次のことに役立ちます。
セキュリティ リスクの比類のない検出精度により、コードをより迅速に出荷します 構築して実行するすべてのアプリケーションを確認して保護します あらゆるアプリケーションの脆弱性を発見、修正、検証します ソフトウェア開発ライフサイクルの早い段階で脆弱性を排除するための時間とコストを削減します。 IAST を使用して、次の言語で作成されたアプリケーションをテストできます。
重要 実稼働ソフトウェアで脆弱性が露出することを避けるためにのみ、非実稼働環境で IAST を実行してください。
IAST は、脆弱なペイロードを含む生成された HTTP リクエストを再生することにより、悪用可能な脆弱性がないかアプリケーションをテストします。
one.newrelic.com > All capabilities > IASTSetup IAST with applications [アプリケーションで IAST をセットアップ を]クリックします。
インストール ウィンドウでアプリケーションの言語を選択し、手順を完了します。
one.newrelic.com > All capabilities > IAST > Install
アプリケーションをインストールしたら、アプリケーションから API を使用して、New Relic が悪用可能な脆弱性の検索を開始できるようにします。これを行うには、API に対して独自のテストを実行します。
すべての手順を完了したら、 See your data [データを表示] をクリックして、テストしたアプリケーションの概要を表示します。
特定のアプリケーションの悪用可能な脆弱性を管理するには、次の手順を実行します。
one.newrelic.com > All capabilities > IAST > Applications
Tested applications [テスト済みのアプリケーション]で、アプリケーションを検索するか選択します。
Application vulnerabilities [アプリケーションの脆弱性] タブで、アプリケーションで見つかった悪用可能な脆弱性をすべて表示します。
one.newrelic.com > All capabilities > IAST > Applications
Exploitable vulnerabilities 「悪用可能な脆弱性」 の表で、悪用可能な脆弱性を選択して、脆弱性の詳細を調べ、それに対処する方法の詳細を理解します。
one.newrelic.com > All capabilities > IAST > Applications
さらに、アプリケーション ウィンドウの Application coverage [アプリケーションカバレッジ] タブで、アプリケーションの各部分がどの程度脆弱であるかを確認します。
one.newrelic.com > All capabilities > IAST > ApplicationsApplication coverage [アプリケーション カバレッジ] タブを表示します。
アプリケーション ポートフォリオ全体の悪用可能な脆弱性をすべて管理するには、次の手順を実行します。
one.newrelic.com > All capabilities > IAST > Exploitable Vulnerabilities
one.newrelic.com > All capabilities > IAST > Exploitable Vulnerabilities
Detected exploitable vulnerabilities [検出された悪用可能な脆弱性] で、それが属するアプリケーションに関係なく、悪用可能な脆弱性を選択し、脆弱性の詳細を調べて、それに対処する方法の詳細を理解します。
one.newrelic.com > All capabilities > IAST > Exploitable Vulnerabilities
New Relic に悪用可能な脆弱性がテストされていないアプリケーションがある場合は、次の手順を実行します。
one.newrelic.com > All capabilities > IAST
Protect untested applications [未テストのアプリケーションを保護する]で、テストするアプリケーションを選択するか、 See all [すべて表示] をクリックしてアプリケーションを検索します。
Untested applications [未テストのアプリケーション] テーブルから、テストするアプリケーションを選択します。
one.newrelic.com > All capabilities > IAST > Protect untested applications > See all
Enable IAST [IAST を有効にする] ウィンドウで、手順に従ってアプリケーション構成を更新し、悪用可能な脆弱性をテストできるようにします
one.newrelic.com > All capabilities > IAST > Protect untested applications
one.newrelic.com > All capabilities > IAST > Coverage
Untested applications [未テストのアプリケーション] の下に悪用可能な脆弱性をテストしたいアプリケーションが表示された場合は、Set up IAST [IAST をセットアップ]して 未テストのアプリケーションを修正 をクリックします。
one.newrelic.com > All capabilities > IAST > Coverage
one.newrelic.com >All capabilities > Query Your Data
SELECT * FROM Vulnerability WHERE issueType = 'Application Vulnerability' AND appId = {MY_APP_ID}
IAST に自分のアプリケーションが表示されません one.newrelic.com > All capabilities > IAST > Applications > Tested applications
APM エージェントのバージョンが正しくありません。APM エージェントのバージョンを確認し、必要に応じてアップグレードします。 IAST フラグが無効になっています。セキュリティ構成を確認し、セキュリティ エージェントに対して IAST フラグが有効になっていることを確認してください。 予期しないエラー。何が問題だったかを確認するには、 nr-security-home/logs ディレクトリに移動し、 LANGUAGE-security-collector-init.log ファイル内の [SETP-8] 行を見つけます。 アプリケーションのトラフィック不足。IAST がアプリケーションをテストできるように、トラフィックを生成します。 セキュリティエージェントが機能しているかどうかわかりません セキュリティ エージェントが正常に動作している場合:
アプリケーションは 、one.newrelic.com > All capabilities > IAST > Applications > Tested applications に表示されます。
アプリケーションのカバレッジは、one.newrelic.com > All capabilities > IAST > Applications
セキュリティ エージェントのログ ファイル nr-security-home/logs/LANGUAGE-security-collector.logにメッセージ Security Agent is now ACTIVE が表示されます。ファイル名の LANGUAGE を、使用したものに置き換えます。
nr-security-home/logs/snapshots/の最新のログ ファイルで、 Service stats -> agentActiveStat の OK 値を取得します。
nr-security-home/logs ディレクトリで、 LANGUAGE-security-collector-init.log ファイルを検索します。ファイル名の LANGUAGE 使用したものに置き換えて、次の手順が表示されることを確認してください。
[STEP-1]: セキュリティエージェントが起動中です。 [STEP-2]: セキュリティ エージェントは一意の識別子を生成します。Web ソケット接続の場合、ノード認証ヘッダーが表示されます。 [STEP-3]: セキュリティ エージェントはアプリケーションに関する情報を収集します。 [STEP-4]: SaaS バリデータへの Web ソケット接続が正常に確立されました。 [STEP-5]: セキュリティ エージェント スレッドが開始されます。 [STEP-6]: アプリケーションのインストルメンテーションは成功しました。 [STEP-7]: アプリケーションはポリシーと構成を受信して適用します。 [ステップ-8]: 検証のために送信された最初のイベントが表示されます。これは、セキュリティ エージェントが正常に開始されたことを意味します。 以下は、セキュリティ エージェント ログ ファイル LANGUAGE-security-collector-init.logの抜粋です。
Init Logger configured successfully with level: INFO and rollover on max size 52428800.
2023-05-26 10:45:02 : [8] [New Relic RPM Connection Service] INFO : com.newrelic.api.agent.security.Agent - [STEP-1] => Security agent is starting
2023-05-26 10:45:02 : [8] [New Relic RPM Connection Service] INFO : com.newrelic.agent.security.AgentInfo - [STEP-2] => Generating unique identifier: 8a6d79c3-ad67-35d6-b811-17f7515b7f29
2023-05-26 10:45:02 : [8] [New Relic RPM Connection Service] INFO : com.newrelic.api.agent.security.Agent - [STEP-3] => Gathering information about the application
IAST が脆弱性を探しているかどうかはわかりません 現在、IAST は調査結果のみを表示するため、アプリケーションに脆弱性があるかどうかを確認する必要があります。
one.newrelic.com > All capabilities > IAST > Applications > Tested applicationsApplication coverage [アプリケーション カバレッジ] タブをクリックしてアプリケーションのテスト効率を表示します。 API やメソッド呼び出しなどのデータがカバーされています。
IAST に脆弱性は見当たりません New Relic でアプリケーションが表示され、セキュリティ エージェントが IAST を正常に開始したが、 one.newrelic.com > All capabilities > IAST
Application testing efficiency [アプリケーションのテスト効率] が低い。 効率のレベルは one.newrelic.com > All capabilities > IAST > Coverage
アプリケーションは安全です。この場合、one.newrelic.com > All capabilities > IAST > Coverage Application testing efficiency [アプリケーションテスト効率] は高くなりますが、脆弱性は検出されません。
Web ソケット接続が切断されています。 nr-security-home/logs/snapshots/ フォルダ内の最新のログ ファイルを確認し、 Service stats -> websocket 行を探してください。期待値は OKです。
アプリケーションのフレームワークまたは脆弱性カテゴリがサポートされていません。セキュリティ エージェントでサポートされているフレームワークを参照してください。
IAST に脆弱性が見つからない理由がまだわからない場合は、アプリケーションの構成とログを サポート チーム と共有してください。
アプリケーションの安定性の問題に直面しています IAST の一部として、アプリケーションでしばらくの間、高いトラフィックと遅延が発生する可能性があります。この問題は、IAST テストが完了すると数分で解決します。
nr-security-home/logs/snapshots フォルダー内のスナップショット ログ ファイルを確認することもできます。ログ ファイルには、セキュリティ エージェントのステータス、リソースの使用状況、および最後の 5 つのエラーが表示されます。
アプリケーション ディレクトリに不明なファイルとディレクトリが表示されます アプリケーションに HTTP リクエストの処理の一環としてファイルやディレクトリを作成する機能がある場合、IAST はコード パスをテストし、そのようなファイルやディレクトリを作成しようとします。受信 HTTP リクエストの影響下でアプリケーション コードによって作成されたファイルは、エージェントによって削除できません。
どの API もファイルやディレクトリを作成できないことが確実な場合は、アプリケーションの構成とログを サポート チーム と共有してください。
アプリケーションが応答しないか、クラッシュしました IAST の一部として、セキュリティ エージェントは負荷を増加させる新しいリクエストをアプリケーションに送信し、その結果リソース使用率が増加します。この IAST 分析では、アプリケーション内の捕捉されなかったエラーや例外を明らかにすることもできます。
リソース不足によりアプリケーションがクラッシュした場合は、リソースを増やし、アプリケーションを再起動し、再度 IAST を実行します。
Golang アプリケーションには脆弱性が検出されませんでした Windows アプリケーションに予期される脆弱性がすべて表示されない 現在、Windows は完全にはサポートされていないため、一部の脆弱性は検出されません。