IAST를 구성하여 스캔 일정을 처리할 수 있습니다. 이러한 설정을 사용하면 API IAST 분석에서 특정 , 모범 사례 및 교리 범주를 제외할 수 있습니다. IAST 스캔을 지연하거나 하루 중 특정 시간에 스캔을 예약할 수도 있습니다.
IAST 스캔 일정
2개의 변수를 사용하여 예약된 IAST 스캔을 시작하고 중지할 수 있습니다. 이러한 변수를 사용하면 IAST 스캔에 대한 특정 시간을 설정하거나 애플리케이션에서 IAST 스캔 시작 시간에 지연을 추가할 수 있습니다.
예약된 IAST 스캔 구성
scan_schedule
모델을 설정하려면 newrelic.yml
설정 파일을 엽니다.
security: scan_schedule: delay: 0 #In minutes, default is 0 min duration: 0 #In minutes, default is forever schedule: "" #Cron Expression to define start time always_sample_traces: false #regardless of scan schedule
예
IAST 스캔에서 제외
IAST 검사에서 제외 설정을 사용하면 특정 API, 호환성 범주 및 변수를 IAST 분석에서 제외할 수 있습니다. 이 기능은 애플리케이션의 특정 구성 요소가 안전한 것으로 알려진 상황이나 특정 API에 대한 IAST 스캔으로 인해 로그인 제한과 같은 애플리케이션 오작동이 발생할 수 있는 경우에 유용합니다.
IAST 검사 제외를 구성하려면 newrelic.yml
설정 파일을 열어 exclude_from_iast_scan
매개변수를 설정하세요.
security: exclude_from_iast_scan: api: [] http_request_parameters: header: [] query: [] body: [] iast_detection_category: insecure_settings: false invalid_file_access: false sql_injection: false nosql_injection: false ldap_injection: false javascript_injection: false command_injection: false xpath_injection: false ssrf: false rxss: false
API 제외
newrelic.yml
설정 파일의 API 섹션에 특정 API를 추가하여 IAST 분석에서 특정 API 무시할 수 있습니다. Perl 5 구문을 따르는 정규 표현식(regex) 패턴을 사용하여 API를 지정할 수 있습니다. 정규식 패턴은 엔드포인트를 제외하고 URL에 대한 전체 일치를 제공해야 합니다.
API를 지정하는 형식은 다음과 같습니다.
exclude_from_iast_scan: api: - .*account.* - .*/\api\/v1\/.*?\/login
예를 들어:
.*account.*
API를 URL과 일치시킵니다.http://localhost:80/api/v1/account/login
.*/\api\/v1\/.*?\/login
API를 URL과 일치시킵니다.http://localhost:80/api/v1/{'{account_id}'}/login
들어오지 못하게 하다 http_request_parameters
newrelic.yml
설정 파일의 http_request_parameters
섹션에 이를 추가하면 IAST 분석에서 특정 HTTP 요청 매개 변수와 변수를 무시할 수 있습니다.
들어오지 못하게 하다 iast_detection_category
iast_detection_category
설정을 사용하면 사용자는 IAST 분석을 적용하거나 무시할 취약점 범주를 지정할 수 있습니다. 이러한 범주 중 하나가 true
로 설정된 경우 IAST 보안 에이전트는 해당 범주에 대한 이벤트를 생성하거나 취약점을 플래그로 지정하지 않습니다.
SQL 주입 및 SSRF 검사를 건너뛰려면 이 예를 참조하세요. sql_injection
및 ssrf
보고서가 true
로 설정되었습니다.
exclude_from_iast_scan: iast_detection_category: insecure_settings: false invalid_file_access: false sql_injection: true nosql_injection: false ldap_injection: false javascript_injection: false command_injection: false xpath_injection: false ssrf: true rxss: false
팁
iast_detection_category
은 보안 섹션에 있는 감지 구성보다 우선합니다.
다음과 같은 결합된 설정을 사용할 수 있습니다.
security: enabled: true scan_schedule: delay: 0 #In minutes, default is 0 min duration: 0 #In minutes, default will be forever #schedule: "" #Cron Expression to define start time always_sample_traces: false #continuously collect samples exclude_from_iast_scan: api: [] http_request_parameters: header: [] query: [] body: [] iast_detection_category: insecure_settings: false invalid_file_access: false sql_injection: false nosql_injection: false ldap_injection: false javascript_injection: false command_injection: false xpath_injection: false ssrf: false rxss: false agent: enabled: true
IAST 스캔 컨트롤러
IAST 스캔 속도 제한
IAST 스캔 속도 제한 설정은 1분 안에 애플리케이션으로 전송할 수 있는 분석 프로브 또는 요청의 최대 수를 제한합니다. 기본 IAST 스캔 속도 제한은 분당 최소 12개의 재생 요청, 분당 최대 3,600개의 재생 요청으로 설정됩니다.