Configuração IAST

Você pode configurar seu IAST para lidar com o agendamento de varredura. Essas configurações permitem excluir certas categorias API, parâmetros e vulnerabilidades da análise IAST . Você também pode adiar os exames IAST ou agendá-los para horários específicos do dia.

Agendamento de exames IAST

Você pode iniciar e parar suas varreduras IAST agendadas usando 2 variáveis. Essas variáveis permitem que você defina horários específicos para a verificação IAST ou adicione um atraso ao horário de início da verificação IAST no aplicativo.

Configure suas varreduras IAST agendadas

Abra o arquivo de configuração newrelic.yml para definir o parâmetro scan_schedule .

security:
  scan_schedule:
    delay: 0                     # In minutes, default is 0 min
    duration: 0                  # In minutes, default is forever
    schedule: ""                 # Cron Expression to define start time
    always_sample_traces: false  # regardless of scan schedule

O campo schedule especifica uma expressão cron que define quando a varredura IAST deve ser executada. Por padrão, schedule está desabilitado. A expressão cron consiste em seis campos separados por espaços:

second: Especifica o segundo da hora (0-59)
minute: Especifica o minuto da hora (0-59)
hour: Especifica a hora do dia (0-23)
day: Especifica o dia do mês (1-31)
month: O mês do ano (1-12 ou JAN-DEZ)
day_of_week: Especifica o dia da semana (1-7 ou DOM-SÁB), onde 1 = Domingo
Importante
O que acontece se duration não for especificado? Omitir o parâmetro de duração implica que a varredura IAST nunca deve parar. Nesse cenário, o cronograma especificado é tratado como um horário de início e não como uma operação recorrente. A verificação continuará indefinidamente, sem interrupção ou término. Por exemplo, schedule: "0 0 0 * * ?" agendaria a verificação IAST para ser executada à meia-noite todos os dias.

always-sample-traces permite que IAST colete ativamente dados trace em segundo plano, e o agente de segurança usará esses dados coletados para executar uma varredura IAST no horário agendado. Entretanto, para aplicativos com gerenciamento de sessão, deixar o valor padrão do sinalizador always_sample_traces definido como false é a opção recomendada. Isso garante que a amostragem e a varredura do IAST sejam limitadas a uma janela especificada. As sessões geralmente têm duração curta, muitas vezes terminando em 30 minutos. Nesse cenário, a amostragem de rastreamento antes da janela não fornecerá insights valiosos e pode resultar em vulnerabilidades perdidas. Por padrão, o valor de always_sample_traces é falso.

Exemplos

Para programar o IAST para iniciar 30 minutos após o início do aplicativo e ser executado por 300 minutos, você deve definir o atraso como 30 e a duração como 300.

security:
  scan_schedule:
    delay: 30         # In minutes, default is 0 min
    duration: 300     # In minutes, default is forever

Para agendar a execução do IAST em um horário específico, defina a programação para uma expressão cron que represente o horário desejado. Por exemplo, para programar o IAST para ser executado todos os dias à meia-noite, você definiria a programação como "0 0 0 * * ?".

security:
  scan_schedule:
    schedule: "0 0 0 * * ?"     # By default, schedule is inactive

Importante

Se tanto o atraso quanto o cronograma forem especificados, o atraso terá precedência. Isso significa que o IAST começará após o atraso especificado, independentemente do cronograma.

Se você quiser que IAST sempre faça a amostragem do rastreamento, defina always_sample_traces como true. Por padrão, isso é definido como false, o que significa que IAST coleta amostras apenas do rastreamento dentro da janela de verificação ativa.

security:
  scan_schedule:
    delay: 30                   # In minutes, default is 0 min
    always_sample_traces: true  # regardless of scan schedule

Excluir da varredura IAST

A configuração de exclusão da verificação IAST permite que você exclua API específicas, categorias de vulnerabilidades e parâmetros da análise IAST . Isso é útil em situações em que certos componentes do aplicativo são conhecidos por serem seguros ou em que a varredura IAST de determinada API pode resultar em mau funcionamento do aplicativo, como limitação de login.

Para configurar a exclusão de varredura IAST, abra o arquivo de configuração newrelic.yml para definir o parâmetro exclude_from_iast_scan .

security:
  exclude_from_iast_scan:
    api: []
    http_request_parameters:
      header: []
      query: []
      body: []
    iast_detection_category:
      insecure_settings: false
      invalid_file_access: false
      sql_injection: false
      nosql_injection: false
      ldap_injection: false
      javascript_injection: false
      command_injection: false
      xpath_injection: false
      ssrf: false
      rxss: false

Excluir API

Você pode ignorar API específicas da análise IAST adicionando-as à seção API do arquivo de configuração newrelic.yml. Você pode especificar API usando padrões de expressão regular (regex) que seguem a sintaxe do Perl 5. O padrão regex deve fornecer uma correspondência completa para a URL sem o endpoint.

Este é o formato para especificar API:

exclude_from_iast_scan:
  api:
    - .*account.* 
    - .*/\api\/v1\/.*?\/login

Por exemplo:

.*account.* combina API com URLs como http://localhost:80/api/v1/account/login
.*/\api\/v1\/.*?\/login combina API com URLs como http://localhost:80/api/v1/{'{account_id}'}/login

Excluir `http_request_parameters`

Você pode ignorar parâmetros de solicitação HTTP específicos da análise IAST adicionando-os à seção http_request_parameters do arquivo de configuração newrelic.yml.

Esta é uma lista de chaves de cabeçalho HTTP. Se uma solicitação incluir cabeçalhos com essas chaves, a verificação IAST correspondente será ignorada. Por exemplo, se você tiver uma solicitação curl com cabeçalhos e quiser pular a varredura IAST no cabeçalho X-Forwarded-For , poderá passar esta configuração:

bash

$curl -X POST -H "X-Forwarded-For: 123.456.789.012" \
>     -H "Content-Type: application/x-www-form-urlencoded" \
>     -d "param1=value1&param2=value2" http://example.com

Você pode usar esta configuração:

exclude_from_iast_scan:
  http_request_parameters:
    header: 
      - X-Forwarded-For

Esta é uma lista de chaves de parâmetros de consulta. A presença desses parâmetros na string de consulta da solicitação fará com que a varredura IAST seja ignorada. Por exemplo, se você tiver uma requisição curl com parâmetro de consulta e quiser pular a varredura IAST no parâmetro de consulta customerID e username, você pode passar esta configuração:

bash

$curl --location --request GET 'localhost:8080/sql/save?firstName=test&lastName=user&customerID=testuser&username=test123'

Você pode usar esta configuração:

exclude_from_iast_scan:
  http_request_parameters:
    query: 
      - username
      - customerID

Esta é uma lista de chaves dentro do corpo da solicitação. Se essas chaves forem encontradas no conteúdo do corpo, a verificação IAST será ignorada. Estes são os tipos de conteúdo suportados para o corpo da solicitação: JSON, XML e dados codificados por URL de formulário.

Exemplo para JSON Content-Type

Este é um exemplo de curl para o tipo de conteúdo JSON quando você tem uma solicitação curl com corpo JSON e deseja pular a varredura IAST em customerID e firstName.

bash

$curl --location --request POST 'localhost:8080/application/json/post' \
>  --header 'Content-Type: application/json' \
>  --data '{
$    "path": "sample.txt",
$    "script":"testscript",
$    "customerID":"GREAL",
$    "name": {
$      "firstName": "john",
$      "lastName": "wick"
$    },
$    "url":"http://example.com",
$    "cmd":"ls"
$  }'

Você pode usar esta configuração:

exclude_from_iast_scan:
  http_request_parameters:
    body: 
      - customerID
      - name.firstName

Exemplo para XML Content-Type

Esta é uma solicitação curl com corpo XML e você deseja pular a varredura IAST em customerID e username.

bash

$curl --location 'localhost:8080/application/xml/post' \
>  --header 'Content-Type: application/xml' \
>  --data '<?xml version="1.0" encoding="UTF-8" ?>
$  <AppData>
$    <path>sample.txt</path>
$    <script>K2</script>
$    <customerID>GREAL</customerID>
$    <username>bob</username>
$    <url>http://example.com</url>
$    <cmd>ls</cmd>
$    <name>keshav</name>
$    <firstName>Aliko</firstName>
$  </AppData>'

Você pode usar esta configuração:

exclude_from_iast_scan:
  http_request_parameters:
    body: 
      - AppData.customerID
      - AppData.username

Exemplo de tipo de conteúdo codificado em URL de formulário

Esta é uma solicitação curl com corpo Form-URL-Encoded, e você deseja pular a varredura IAST em customerID e username.

bash

$curl --location 'localhost:8080/application/urlencode/post' \
>  --header 'Content-Type: application/x-www-form-urlencoded' \
>  -d 'name=madhav&path=sample.txt&customerID=GREAL&script=K2&url=http://example.com&username=bob&firstName=Aliko&cmd=ls'

Você pode usar esta configuração:

http_request_parameters:
  body: 
    - customerID
    - username

Dica

Para parâmetros de corpo aninhados, especifique um valor de parâmetro separado por um ponto (.).

Excluir `iast_detection_category`

A configuração iast_detection_category permite que o usuário especifique categorias de vulnerabilidades para as quais a análise IAST será aplicada ou ignorada. Se uma dessas categorias for definida como true, o agente de segurança IAST não gerará eventos ou sinalizará vulnerabilidades para essa categoria.

Veja este exemplo para pular a verificação de injeção de SQL e SSRF. Os parâmetros sql_injection e ssrf são definidos como true:

exclude_from_iast_scan:
  iast_detection_category:
    insecure_settings: false
    invalid_file_access: false
    sql_injection: true
    nosql_injection: false
    ldap_injection: false
    javascript_injection: false
    command_injection: false
    xpath_injection: false
    ssrf: true
    rxss: false

Dica

O iast_detection_category terá prioridade sobre a configuração de detecção presente na seção de segurança.

Você pode usar esta configuração combinada:

security:
  enabled: true
  scan_schedule:
    delay: 0                     # In minutes, default is 0 min
    duration: 0                  # In minutes, default will be forever
    #schedule: ""                # Cron Expression to define start time
    always_sample_traces: false  # continuously collect samples
  exclude_from_iast_scan:
    api: []
    http_request_parameters:
      header: []
      query: []
      body: []
    iast_detection_category:
      insecure_settings: false
      invalid_file_access: false
      sql_injection: false
      nosql_injection: false
      ldap_injection: false
      javascript_injection: false
      command_injection: false
      xpath_injection: false
      ssrf: false
      rxss: false
  agent:
    enabled: true

Controladores de varredura IAST

Limite de taxa de varredura IAST

As configurações de limite de taxa de varredura do IAST limitam o número máximo de sondagens ou solicitações de análise que podem ser enviadas ao aplicativo em um minuto. O limite de taxa de varredura IAST padrão é definido como um mínimo de 12 solicitações de repetição por minuto e um máximo de 3.600 solicitações de repetição por minuto.

Esta tradução de máquina é fornecida para sua comodidade.

Agendamento de exames IAST

Configure suas varreduras IAST agendadas

`delay` (em minutos)

`duration` (em minutos)

`schedule` (Expressão Cron)

Importante

`always_sample_traces` (Booleano)

Exemplos

Programe o IAST para iniciar 30 minutos após o início do aplicativo e executar por 300 minutos

Programe o IAST para ser executado em um horário específico

Importante

Definir IAST para sempre amostrar rastreamento

Excluir da varredura IAST

Excluir API

Excluir `http_request_parameters`

Cabeçalho

Consulta

Corpo

Exemplo para JSON Content-Type

Exemplo para XML Content-Type

Exemplo de tipo de conteúdo codificado em URL de formulário

Dica

Excluir `iast_detection_category`

Dica

Controladores de varredura IAST

Limite de taxa de varredura IAST

Esta tradução de máquina é fornecida para sua comodidade.

Configuração IAST

Agendamento de exames IAST .css-21sua1{background:none;border:none;width:0;padding:0;}

Configure suas varreduras IAST agendadas

duration (em minutos)

schedule (Expressão Cron)

always_sample_traces (Booleano)

Exemplos

Programe o IAST para iniciar 30 minutos após o início do aplicativo e executar por 300 minutos

Programe o IAST para ser executado em um horário específico

Definir IAST para sempre amostrar rastreamento

Excluir da varredura IAST

Excluir API

Excluir http_request_parameters

Cabeçalho

Consulta

Corpo

Excluir iast_detection_category

Dica

Controladores de varredura IAST

Limite de taxa de varredura IAST

Agendamento de exames IAST

`duration` (em minutos)

`schedule` (Expressão Cron)

`always_sample_traces` (Booleano)

Excluir `http_request_parameters`

Excluir `iast_detection_category`