スキャンのスケジュールを処理するように IAST を構成できます。 これらの設定を使用すると、特定のAPI 、脆弱性、脆弱性のカテゴリをIAST分析から除外できます。 IAST スキャンを遅らせたり、特定の時間にスケジュールしたりすることもできます。
2 つの変数を使用して、スケジュールされた IAST スキャンを開始および停止できます。 これらの変数を使用すると、IAST スキャンの特定の時間を設定したり、アプリケーションからの IAST スキャン開始時間に遅延を追加したりできます。
newrelic.yml設定ファイルを開いて、 scan_scheduleを設定します。
security: scan_schedule: delay: 0 # In minutes, default is 0 min duration: 0 # In minutes, default is forever schedule: "" # Cron Expression to define start time always_sample_traces: false # regardless of scan scheduleIASTスキャンから除外設定を使用すると、特定のAPI 、脆弱性カテゴリ、および問題をIAST分析から除外できます。 これは、アプリケーションの特定のコンポーネントが安全であることがわかっている場合や、特定の API の IAST スキャンによってログイン スロットリングなどのアプリケーションの誤動作が発生する可能性がある場合に役立ちます。
IASTスキャンの除外を構成するには、newrelic.yml 設定ファイルを開いて、exclude_from_iast_scan の除外を設定します。
security: exclude_from_iast_scan: api: [] http_request_parameters: header: [] query: [] body: [] iast_detection_category: insecure_settings: false invalid_file_access: false sql_injection: false nosql_injection: false ldap_injection: false javascript_injection: false command_injection: false xpath_injection: false ssrf: false rxss: falsenewrelic.yml 設定ファイルのAPIセクションに特定の API を追加することで、 IAST分析からそれらのAPI無視できます。 Perl 5 の構文に従う正規表現 (regex) パターンを使用して API を指定できます。 正規表現パターンは、エンドポイントのない URL に完全一致するはずです。
API を指定するための形式は次のとおりです。
exclude_from_iast_scan: api: - .*account.* - .*/\api\/v1\/.*?\/login例えば:
.*account.*次のようなURLを持つAPIに一致しますhttp://localhost:80/api/v1/account/login.*/\api\/v1\/.*?\/login次のようなURLを持つAPIに一致しますhttp://localhost:80/api/v1/{'{account_id}'}/login
http_request_parameters newrelic.yml 設定ファイルの http_request_parameters セクションに追加することで、 IAST分析からの特定の HTTP リクエストを無視できます。
iast_detection_category iast_detection_category 設定により、ユーザーはIAST分析を適用するか無視する脆弱性のカテゴリを指定できます。 これらのカテゴリのいずれかがtrueに設定されている場合、IAST セキュリティ エージェントはそのカテゴリのイベントを生成せず、脆弱性にフラグを立てません。
SQL インジェクションと SSRF のスキャンをスキップするには、この例を参照してください。 sql_injectionとssrf問題はtrueに設定されます。
exclude_from_iast_scan: iast_detection_category: insecure_settings: false invalid_file_access: false sql_injection: true nosql_injection: false ldap_injection: false javascript_injection: false command_injection: false xpath_injection: false ssrf: true rxss: falseヒント
iast_detection_categoryは、セキュリティ セクションにある検出構成よりも優先されます。
以下の組み合わせ設定を使用できます:
security: enabled: true scan_schedule: delay: 0 # In minutes, default is 0 min duration: 0 # In minutes, default will be forever #schedule: "" # Cron Expression to define start time always_sample_traces: false # continuously collect samples exclude_from_iast_scan: api: [] http_request_parameters: header: [] query: [] body: [] iast_detection_category: insecure_settings: false invalid_file_access: false sql_injection: false nosql_injection: false ldap_injection: false javascript_injection: false command_injection: false xpath_injection: false ssrf: false rxss: false agent: enabled: trueIAST スキャン レート制限設定は、1 分間にアプリケーションに送信できる分析プローブまたは要求の最大数を制限します。 デフォルトの IAST スキャン レート制限は、1 分あたり最小 12 回の再生要求、1 分あたり最大 3,600 回の再生要求に設定されています。