Welcome
インタラクティブ監視
AppScan 360° は、アプリケーションにインストールされたエージェントを使用して、正当な対話と悪意のある対話の両方をすべて監視することにより、実行時にアプリケーション内のセキュリティーの脆弱性を特定します。IAST は独自のテストを送信しないので、プロセスは「パッシブ」であり、そのため無期限に実行できます。
IAST エージェントのデプロイ
IAST エージェントがアプリケーションとの通信を監視し、AppScan 360° にレポートできるように、アプリケーション・サーバーに IAST エージェントをデプロイします。
PHP IAST エージェントの配置
Java、.NET、Node.js または PHP ベースのアプリケーションをサポートするアプリケーション・サーバーに IAST エージェントを配置できます。このセクションでは、Web サーバーで PHP エージェント・タイプを作成する方法について説明します。

作業の開始
HCL AppScan 360° の資料にようこそ。この資料では、このサービスのインストール、保守、使用に関する情報を参照できます。
インストール
AppScan 360° のアーキテクチャーと製品のインストール方法について説明します。
管理
ユーザー、アプリケーション、ポリシーを定義し、DevOps 統合を構成します。
ナビゲーション
このセクションでは、AppScan 360° のメイン・メニュー・バーの項目と、詳細情報へのリンクについて説明します。
動的分析
HCL AppScan 360° は、実動環境、ステージング環境、開発環境の Web アプリケーションのセキュリティー・スキャンを実行します。
インタラクティブ監視
AppScan 360° は、アプリケーションにインストールされたエージェントを使用して、正当な対話と悪意のある対話の両方をすべて監視することにより、実行時にアプリケーション内のセキュリティーの脆弱性を特定します。IAST は独自のテストを送信しないので、プロセスは「パッシブ」であり、そのため無期限に実行できます。
- インタラクティブ監視 (IAST) について
  AppScan 360° は、通常のアプリケーション・ランタイム動作を監視し、脆弱性を検出できます。
- IAST セッションの開始
  アプリケーション・サーバーに IAST エージェントをデプロイし、スキャンを設定します。
- IAST エージェントのデプロイ
  IAST エージェントがアプリケーションとの通信を監視し、AppScan 360° にレポートできるように、アプリケーション・サーバーに IAST エージェントをデプロイします。
  - Java IAST エージェントの配置
    Java、.NET、Node.js または PHP ベースのアプリケーションをサポートするアプリケーション・サーバーに IAST エージェントを配置できます。このセクションでは、Web サーバーに Java エージェント・タイプを作成する方法について説明します。
  - .NET IAST エージェントの配置
    Java、.NET、Node.js または PHP ベースのアプリケーションをサポートするアプリケーション・サーバーに IAST エージェントを配置できます。このセクションでは、Web サーバーで .NET エージェント・タイプを作成する方法について説明します。
  - Node.js IAST エージェントのデプロイ
    Java、.NET、Node.js または PHP ベースのアプリケーションをサポートするアプリケーション・サーバーに IAST エージェントを配置できます。このセクションでは、Web サーバーで Node.js エージェント・タイプを作成する方法について説明します。
  - PHP IAST エージェントの配置
    Java、.NET、Node.js または PHP ベースのアプリケーションをサポートするアプリケーション・サーバーに IAST エージェントを配置できます。このセクションでは、Web サーバーで PHP エージェント・タイプを作成する方法について説明します。
- Kubernetes でのデプロイ
  AppScan は、Kubernetes クラスターへの IAST エージェントの自動インストールをサポートしています。MutatingAdmissionWebhook を使用すると、IAST エージェントはすべての開始ポッドに自動的にインストールされます。
- Azure App Service での配置
  IAST エージェントを使用して、Azure App Service で実行されるアプリケーションを監視します。
- IAST エージェントでの OWASP ベンチマーク
- REST API を使用した IAST
  REST API により、エージェントの配置など、IAST スキャンを構成および開始します。
- IAST 構成ファイル
  デフォルトの IAST 設定をオーバーライドして、把握したい脆弱性のみをレポートするように JSON ファイルを構成します。
- ユーザー設定
  一部の低レベルの IAST 動作は、ユーザー・パラメーターを使用して制御できます。
- IAST スキャン結果
  インタラクティブ (IAST) スキャン・エントリーには、前回のスキャンが開始された後の結果が示されます。
- IAST のトラブルシューティング
ソフトウェア・コンポジション分析
ソフトウェア・コンポジション分析 (SCA) を使用して、コードで使用されるオープン・ソースおよびサードパーティ・パッケージのセキュリティー上の脆弱性をスキャンします。SCA には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
静的分析
静的分析 (SAST) を使用して、Web アプリケーションやデスクトップ・アプリケーションのセキュリティーの脆弱性をスキャンします。静的分析には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
結果
[スキャンとセッション] ページには、DAST、SAST、SCA、および IAST カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。「スキャンとセッション」ページでは、カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。
参照
よくある質問、および製品ライフサイクル (SDLC) への AppScan 360° の統合に関する情報。

PHP IAST エージェントの配置

Java、.NET、Node.js または PHP ベースのアプリケーションをサポートするアプリケーション・サーバーに IAST エージェントを配置できます。このセクションでは、Web サーバーで PHP エージェント・タイプを作成する方法について説明します。

Windows での PHP エージェントの配置

このタスクについて

Windows エージェントは、PHP プロジェクトの拡張機能として追加される dll ファイルとしてインストールされます。

手順

ここで説明されているように AppScan 360° PHP Windows エージェントをダウンロードします。
ZIP ファイルの内容を解凍します。
解凍した ZIP ファイルで、hcl_agen.dll を見つけます。
AppScan 360° ユーザー・インターフェースを通じて、PHP エージェントのキーを生成します。
Web サーバー上で、以下の操作を行います。
1. PHP 拡張ディレクトリーを探します。コマンド・プロンプトで、php -i | findstr "extension_dir" を実行できます。
2. ダウンロードした hcl_agen.dll を、手順 a で位置を確認した PHP 拡張ディレクトリーにコピーします。
3. php.ini ファイルを見つけます。php.ini ファイルの位置は、コマンド・プロンプトで php --ini | findstr "Loaded Configuration File" を実行することで確認できます。
4. 手順 c で見つけた php.ini ファイルの末尾に新しい行 extention=hcl_agent.dll を追加します。
5. php.ini ファイルを保存します。
6. 環境変数を追加します。IAST_ACCESS_TOKEN = [key]。コマンド・プロンプトで、setx IAST_ACCESS_TOKEN [key] を実行することで追加できます。
7. エージェントを使用可能にするには、Web サーバー (Apache や Nginx など) を再起動する必要があります。

Linux (Ubuntu) での PHP エージェントの配置

このタスクについて

Ubuntu エージェントは deb パッケージとしてインストールされます。

手順

ここで説明されているように AppScan 360° PHP Ubuntu エージェントをダウンロードします。
ZIP ファイルの内容を解凍します。
解凍した ZIP ファイルで、hcl_agent.deb を見つけます。
AppScan 360° ユーザー・インターフェースを通じて、PHP エージェントのキーを生成します。
Web サーバー上で、以下の操作を行います。
1. Linux システムでターミナル・ウィンドウを開きます。
2. apt-get update && apt-get install dpkg または apk update && apk add dpkg を実行して、dpkg パッケージをインストールします。
3. cd コマンドを使用して、.deb ファイルがあるディレクトリーに移動します。
4. dpkg -i hcl_agent.deb コマンドを実行します。PHP がこのパスに含まれていることを確認してください。
5. 環境変数を追加します。export IAST_ACCESS_TOKEN=[key] を実行します
6. エージェントを使用可能にするには、Web サーバー (Apache や Nginx など) を再起動する必要があります

Linux (RedHat) での PHP エージェントの配置

このタスクについて

RedHat エージェントは、rpm パッケージとしてインストールされます。

手順

ここで説明されているように、AppScan 360° PHP RedHat エージェントをダウンロードします。
ZIP ファイルの内容を解凍します。
解凍した ZIP ファイルで、hcl_agent.rpm を見つけます。
AppScan 360° ユーザー・インターフェースを通じて、PHP エージェントのキーを生成します。
Web サーバー上で、以下の操作を行います。
1. Linux システムでターミナル・ウィンドウを開きます。
2. 'yum install rpm' を実行して、rpm パッケージをインストールします。
3. cd コマンドを使用して、.rpm ファイルがあるディレクトリーに移動します。
4. 'rpm -i hcl_agent.rpm' コマンドを実行します。
5. 環境変数を追加します。'export IAST_ACCESS_TOKEN=[key]' を実行します
6. エージェントを使用可能にするには、Web サーバー (Apache や Nginx など) を再起動する必要があります

次のタスク

これでエージェントがインストールされました。アプリケーションを使用したりテストしたり (機能テストの実行、動的スキャン、またはアプリケーションの手動探査) すると、IAST エージェントによって要求が監視され、検出されたセキュリティー問題がレポートされます。