Você pode configurar seu IAST para lidar com o agendamento de varredura. Essas configurações permitem excluir certas categorias API, parâmetros e vulnerabilidades da análise IAST . Você também pode adiar os exames IAST ou agendá-los para horários específicos do dia.
Agendamento de exames IAST
Você pode iniciar e parar suas varreduras IAST agendadas usando 2 variáveis. Essas variáveis permitem que você defina horários específicos para a verificação IAST ou adicione um atraso ao horário de início da verificação IAST no aplicativo.
Configure suas varreduras IAST agendadas
Abra o arquivo de configuração newrelic.yml
para definir o parâmetro scan_schedule
.
security: scan_schedule: delay: 0 #In minutes, default is 0 min duration: 0 #In minutes, default is forever schedule: "" #Cron Expression to define start time always_sample_traces: false #regardless of scan schedule
Exemplos
Excluir da varredura IAST
A configuração de exclusão da verificação IAST permite que você exclua API específicas, categorias de vulnerabilidades e parâmetros da análise IAST . Isso é útil em situações em que certos componentes do aplicativo são conhecidos por serem seguros ou em que a varredura IAST de determinada API pode resultar em mau funcionamento do aplicativo, como limitação de login.
Para configurar a exclusão de varredura IAST, abra o arquivo de configuração newrelic.yml
para definir o parâmetro exclude_from_iast_scan
.
security: exclude_from_iast_scan: api: [] http_request_parameters: header: [] query: [] body: [] iast_detection_category: insecure_settings: false invalid_file_access: false sql_injection: false nosql_injection: false ldap_injection: false javascript_injection: false command_injection: false xpath_injection: false ssrf: false rxss: false
Excluir API
Você pode ignorar API específicas da análise IAST adicionando-as à seção API do arquivo de configuração newrelic.yml
. Você pode especificar API usando padrões de expressão regular (regex) que seguem a sintaxe do Perl 5. O padrão regex deve fornecer uma correspondência completa para a URL sem o endpoint.
Este é o formato para especificar API:
exclude_from_iast_scan: api: - .*account.* - .*/\api\/v1\/.*?\/login
Por exemplo:
.*account.*
combina API com URLs comohttp://localhost:80/api/v1/account/login
.*/\api\/v1\/.*?\/login
combina API com URLs comohttp://localhost:80/api/v1/{'{account_id}'}/login
Excluir http_request_parameters
Você pode ignorar parâmetros de solicitação HTTP específicos da análise IAST adicionando-os à seção http_request_parameters
do arquivo de configuração newrelic.yml
.
Excluir iast_detection_category
A configuração iast_detection_category
permite que o usuário especifique categorias de vulnerabilidades para as quais a análise IAST será aplicada ou ignorada. Se uma dessas categorias for definida como true
, o agente de segurança IAST não gerará eventos ou sinalizará vulnerabilidades para essa categoria.
Veja este exemplo para pular a verificação de injeção de SQL e SSRF. Os parâmetros sql_injection
e ssrf
são definidos como true
:
exclude_from_iast_scan: iast_detection_category: insecure_settings: false invalid_file_access: false sql_injection: true nosql_injection: false ldap_injection: false javascript_injection: false command_injection: false xpath_injection: false ssrf: true rxss: false
Dica
O iast_detection_category
terá prioridade sobre a configuração de detecção presente na seção de segurança.
Você pode usar esta configuração combinada:
security: enabled: true scan_schedule: delay: 0 #In minutes, default is 0 min duration: 0 #In minutes, default will be forever #schedule: "" #Cron Expression to define start time always_sample_traces: false #continuously collect samples exclude_from_iast_scan: api: [] http_request_parameters: header: [] query: [] body: [] iast_detection_category: insecure_settings: false invalid_file_access: false sql_injection: false nosql_injection: false ldap_injection: false javascript_injection: false command_injection: false xpath_injection: false ssrf: false rxss: false agent: enabled: true
Controladores de varredura IAST
Limite de taxa de varredura IAST
As configurações de limite de taxa de varredura do IAST limitam o número máximo de sondagens ou solicitações de análise que podem ser enviadas ao aplicativo em um minuto. O limite de taxa de varredura IAST padrão é definido como um mínimo de 12 solicitações de repetição por minuto e um máximo de 3.600 solicitações de repetição por minuto.