インタラクティブ監視 (IAST) について
ASoC は、通常のアプリケーション・ランタイム動作を監視し、脆弱性を検出できます。
AppScan on Cloud インタラクティブ監視テクノロジー (IAST) は、テスト対象のアプリケーションの Web サーバーにデプロイされたエージェントを使用して、ランタイム中に送信されるトラフィックを監視し、検出された脆弱性をレポートします。動的および静的 ASoC スキャンとは異なり、IAST 監視セッション自体はトラフィックを生成しませんが、システム・テスト、マニュアル探査、または DAST スキャン中に送信されるトラフィックを監視します。専用のテスト要求を送信することなく、ランタイムの問題を継続的に確認できます。
DAST スキャンはアプリケーションを「ブラック・ボックス」として見るのに対し、IAST エージェントはボックスの「中」を確認することで、脆弱性に関して、より詳細を提供できます。IAST エージェントは、コード、URL、特定の脆弱性エンティティー (パラメーター、ヘッダー、Cookie など) における脆弱性の場所 (SAST スキャンは場所のみ、DAST スキャンは URL とエンティティーのみ) を提示します。
Web サーバーに IAST エージェントをインストールし、IAST 監視セッションを開始すると、エージェントはアプリケーションに送信されるトラフィック (要求、コール・スタック、変数など) を監視し、検出された脆弱性について ASoC にレポートします。ASoC スキャンとは異なり、IAST セッションは無限に実行できます。エージェントが切断されたときに停止するよう設定されている場合にのみ IAST スキャンは自動で停止し、エージェントが切断されます。
ユーザー・インターフェースまたは REST API のいずれかにより ASoC と通信している IAST エージェントをセットアップできます。
通常ワークフロー
| ステップ | 詳細 |
|---|---|
| IAST スキャンを設定して開始する | IAST エージェントがマシンにダウンロードされます。 |
| アプリケーション・サーバーに IAST エージェントをデプロイする | 理論上は、このステップの前にセッションが開始されていますが、エージェントをデプロイした場合にのみ問題を検出できます。 |
| アプリケーションでシステム・テスト、マニュアル探査、DAST スキャンを実行します。 | エージェントが、検出された問題の ASoC へのレポートを開始し、そうした問題が IAST スキャン・エントリーに表示されます。 |
| 定期的に検出された問題を確認します。 | 「すべての問題」タブで「詳細」リンクをクリックし、IAST 問題の URL とコール・トレースを確認します。 |
次の開発ステージで次を行います:
|
セッションを再び開始し、「問題」カウンターがリセットされると、「新規」の問題のみが表示され、開発の進行状況を追跡できます。 |
IAST に対するシステム要件
- 「CPU」: 推奨 4、最小 2
- RAM: 8GB 以上
- アプリケーションがデプロイされているサーバーにファイアウォールがある場合は、ASoC ドメイン (cloud.appscan.com) に対する例外があることを確認してください。
| Java |
|
| .NET |
|
| Node.js |
|
| PHP |
Windows:
Linux (Ubuntu):
Linux (RedHat):
注: 他の PHP リリースまたはプラットフォームでの IAST サポートについては、AppScan サポート・チームにお問い合わせください。
|