Устранение неполадок безопасности приложений

Материал из Документация Ключ-АСТРОМ

Application Security записывает в следующие существующие файлы логов Ключ-АСТРОМ:

  • Лог модуля кода Java ЕдиныйАгент
  • Лог сервера кластера Ключ-АСТРОМ и лог отладки

Ниже показано, как можно устранить потенциальные проблемы, связанные с безопасностью приложений.

Страница обзора безопасности недоступна

Если на странице обзора безопасности приложений отображается Включить сторонний анализ уязвимостей и анализ уязвимостей на уровне кода с помощью параметра «Настроить» , функция «Безопасность приложений» активирована, но не включена как для обнаружения сторонних уязвимостей, так и для обнаружения уязвимостей на уровне кода.

Уязвимости не отображаются

Ниже приведены возможные причины, по которым уязвимости не отображаются:

Безопасность приложений не активирована

Если на странице «Сторонние уязвимости» отображается «Аналитика уязвимостей во время выполнения» с разделами «О программе» , «Галерея », «Случаи использования » и «Поддерживаемые дистрибутивы» , функция «Безопасность приложений» не активирована.

Аналитика уязвимостей во время выполнения не включена

  • Если на странице Сторонние уязвимости отображается Включить стороннюю аналитику уязвимостей с параметром Настройка , функция Application Security активирована, но обнаружение сторонних уязвимостей не включено.
  • Если на странице Уязвимости на уровне кода отображается Включить аналитику уязвимостей на уровне кода с параметром Настройка , функция Application Security активирована, но обнаружение уязвимостей на уровне кода не включено.

Страница атак недоступна

Если на странице «Атаки» отображается «Включить защиту приложений во время выполнения с параметром «Настроить », функция «Безопасность приложений» активирована, но защита приложений во время выполнения не включена. Инструкции см. в разделе Начало работы с защитой приложений во время выполнения .

О программных компонентах не сообщается

Если ни о каких компонентах программного обеспечения не сообщается, уязвимости не отображаются на странице Сторонние уязвимости . Убедитесь, что необходимые функции ЕдиногоАгента подтверждены.

Чтобы подтвердить функции ЕдиногоАгента

  1. В меню Ключ-АСТРОМ перейдите в «Настройки» .
  2. В настройках выберите функции ЕдиногоАгента , а затем отфильтруйте отчеты по программным компонентам .
  3. Включите любую отключенную функцию в списке. Примечание. Для версий ЕдиногоАгента, предшествующих версии для конкретной технологии , помимо включения отключенных функций, вам также необходимо включить Активировать эту функцию также в ЕдиныхАгентах, выполнив только минимальную версию согласия в разделе «Подробности » каждой функции.
  4. Выберите Сохранить изменения .

Автоматическое внедрение ЕдиногоАгента в режиме мониторинга инфраструктуры отключено.

ЕдиныйАгент в режиме мониторинга инфраструктуры автоматически внедряет данные в процессы, чтобы иметь возможность отслеживать резервные службы, написанные на Java, и метрики времени выполнения для поддерживаемых языков. Если автоматическое инжектирование отключена для отдельных хостов, соответствующие уязвимости не могут быть оценены.

Чтобы включить автоматическое инжектирование в режиме мониторинга инфраструктуры, вам необходимо включить метрики времени выполнения.

Monitoring stopped ошибка

Ниже приведены возможные причины, по которым радар состояния мониторинга показывает, что мониторинг остановлен. Пожалуйста, проверьте настройки на любой из страниц ниже.

Monitoring stopped в обзоре безопасности

  • Безопасность приложений не активирована.
    • Чтобы активировать Application Security, см. раздел Начало работы с Application Security .
  • Сторонняя аналитика уязвимостей и аналитика уязвимостей на уровне кода отключены. Ваша среда контролируется, когда хотя бы одна из этих функций включена.
    • Чтобы включить стороннюю аналитику уязвимостей, см. раздел Включение сторонней аналитики уязвимостей .
    • Чтобы включить аналитику уязвимостей на уровне кода, см. раздел Включение аналитики уязвимостей на уровне кода .
  • Поддерживаемые технологии для сторонней аналитики уязвимостей не включены, глобальное управление обнаружением уязвимостей на уровне кода Java для аналитики уязвимостей на уровне кода отключено, а настраиваемые правила мониторинга уязвимостей на уровне кода отсутствуют. Ваша среда отслеживается, когда выполняется хотя бы одно из этих требований.
    • Чтобы включить технологии для сторонней аналитики уязвимостей, см. раздел Контроль по технологиям .
    • Чтобы включить глобальное управление обнаружением уязвимостей на уровне кода Java , см. Настройка мониторинга .
    • Сведения о настройке настраиваемых правил мониторинга уязвимостей на уровне кода см. в разделе Правила мониторинга — аналитика уязвимостей на уровне кода .

Monitoring stopped о сторонних уязвимостях

  • Безопасность приложений не активирована.
    • Чтобы активировать Application Security, см. раздел Начало работы с Application Security .
  • Сторонняя аналитика уязвимостей отключена.
    • Чтобы включить стороннюю аналитику уязвимостей, см. раздел Включение сторонней аналитики уязвимостей .
  • Поддерживаемые технологии для сторонней аналитики уязвимостей не включены.
    • Чтобы включить технологии для сторонней аналитики уязвимостей, см. раздел Контроль по технологиям .

Monitoring stopped об уязвимостях на уровне кода

  • Безопасность приложений не активирована.
    • Чтобы активировать Application Security, см. раздел Начало работы с Application Security .
  • Аналитика уязвимостей на уровне кода отключена.
    • Чтобы включить аналитику уязвимостей на уровне кода, см. раздел Включение аналитики уязвимостей на уровне кода .
  • Глобальный контроль обнаружения уязвимостей на уровне кода Java для анализа уязвимостей на уровне кода отключен, а настраиваемые правила мониторинга для уязвимостей на уровне кода отсутствуют. Ваша среда отслеживается, когда выполняется хотя бы одно из этих требований.
    • Чтобы включить глобальное управление обнаружением уязвимостей на уровне кода Java , см. Настройка мониторинга .
    • Сведения о настройке настраиваемых правил мониторинга уязвимостей на уровне кода см. в разделе Правила мониторинга — аналитика уязвимостей на уровне кода .

Не все объекты отображаются

Проверьте фильтр зон управления и выбор таймфрейма.

Импорт фида не работает

Когда импорт фида не работает:

  • Если веб-канал уязвимостей не был импортирован, Runtime Vulnerability Analytics не сможет обнаружить какие-либо сторонние уязвимости.
  • Если веб-канал уязвимостей был импортирован, но в настоящее время не работает, Runtime Vulnerability Analytics продолжает обнаруживать уязвимости из импортированного веб-канала уязвимостей, но не может обнаруживать уязвимости, добавленные в более новых версиях веб-канала.

Чтобы устранить эту проблему, проверьте правила брандмауэра. Эту проблему можно диагностировать с помощью метрик JMX и устранить, обеспечив серверному процессу доступ к конечной точке контроля миссии.

Ложноположительные результаты

Уязвимость может быть определена неправильно. Возможные причины ложных срабатываний включают в себя:

  • Информация, извлеченная из программного компонента, неверна, и была определена неправильная библиотека (например, из-за неправильной информации в файле pom.xml).
  • Идентифицированная версия библиотеки имеет строку версии (или общеизвестный идентификатор), которая была неправильно проанализирована или сравнена. Если вы видите какие-либо ложноположительные результаты, отправьте запрос в службу поддержки, чтобы помочь нам улучшить мониторинг безопасности приложений.

Ложноотрицательные (отсутствующие) результаты

Уязвимости могут отсутствовать, если, например, библиотеки не поставляются с pom.xmlфайлом.

У процесса Java возникли проблемы

Если кажется, что на процесс приложения Java влияет безопасность приложений, отправьте запрос в службу поддержки.

Увеличение охвата хоста

  • Для увеличения охвата хоста сторонними уязвимостями
    1. Глобально включить стороннюю аналитику уязвимостей .
    2. Включите все технологии , которые вы хотите охватить Ключ-АСТРОМ. Обратите внимание, что могут быть собраны только хосты, на которых запущены технологии, перечисленные в списке и включенные.
    3. В правилах мониторинга найдите хосты, которые исключены из мониторинга, и адаптируйте эти правила, если хотите, чтобы соответствующие хосты собирались.
  • Чтобы увеличить покрытие хоста для уязвимостей на уровне кода
    1. Включите глобальную аналитику уязвимостей на уровне кода .
    2. Включите мониторинг ЕдинымАгентом .
    3. Установите для глобального элемента управления обнаружением уязвимостей на уровне кода значениеMonitor .
    4. В ваших правилах мониторинга найдите группы процессов, которые исключены из мониторинга, и адаптируйте эти правила. Обратите внимание, что хост контролируется, когда все его процессы контролируются с помощью Application Security.

Обратите внимание, что может пройти до 10 минут, прежде чем отобразятся какие-либо изменения.

Чтобы узнать, как рассчитывается покрытие хоста, см. Обзор Application Security: покрытие хоста .

FAQ: Почему не увеличивается охват хоста?

Если вы выполнили шаги, описанные выше , чтобы увеличить покрытие хостов Application Security, но количество обслуживаемых хостов осталось прежним, следуйте приведенным ниже инструкциям.

  • Для обнаружения сторонних уязвимостей убедитесь, что
    1. Ваша версия ЕдиногоАгента совместима с поддерживаемыми технологиями .
    2. (…) отчеты о программных компонентах. Функции ЕдиногоАгента включены для всех технологий (в Ключ-АСТРОМ выберите «Настройки » > «Настройки» > «Функции ЕдиногоАгента» и найдите (…) отчеты о программных компонентах ).
    3. Нет функций ЕдиногоАгента, настроенных на уровне группы процессов, переопределяющих глобальную конфигурацию ЕдиногоАгента.
  • Для обнаружения уязвимостей на уровне кода убедитесь, что
    1. Ваша версия ЕдиногоАгента совместима с поддерживаемыми технологиями .
    2. Нет функций ЕдиногоАгента, настроенных на уровне группы процессов, переопределяющих глобальную конфигурацию ЕдиногоАгента.

FAQ: Почему количество охваченных хостов не совпадает?

Если вы определяете теги для хостов, на которые распространяется Application Security, и замечаете, что количество хостов на странице Hosts , отфильтрованных с помощью ваших тегов Application Security, отличается от количества хостов, отображаемых на странице обзора Application Security в разделе Host Coverage , следуйте приведенным ниже инструкциям. .

  • Для обнаружения сторонних уязвимостей
    1. Убедитесь, что ваша версия ЕдиногоАгента совместима с поддерживаемыми технологиями .
    2. Включите (…) программный компонент, сообщающий о функциях ЕдиногоАгента для всех технологий (в Ключ-АСТРОМ выберите «Настройки » > «Предпочтения» > «Особенности ЕдиногоАгента » и найдите (…) отчеты о программных компонентах ).
    3. Убедитесь, что на уровне группы процессов не настроены функции ЕдиногоАгента, переопределяющие глобальную конфигурацию ЕдиногоАгента.
    4. Включите все поддерживаемые технологии (в Ключ-АСТРОМ выберите «Настройки » > «Безопасность приложений » > «Аналитика уязвимостей » > «Общие настройки» и выберите «Сторонняя аналитика уязвимостей» ).
  • Для обнаружения уязвимостей на уровне кода
    1. Убедитесь, что ваша версия ЕдиногоАгента совместима с поддерживаемыми технологиями .
    2. Убедитесь, что на уровне группы процессов не настроены функции ЕдиногоАгента, переопределяющие глобальную конфигурацию ЕдиногоАгента.

Все уязвимости закрыты (установлено на Resolved)

Все уязвимости на странице «Уязвимости» отображаются как закрытые, если нет сообщений о программных компонентах. Убедитесь, что необходимые функции ЕдиногоАгента подтверждены.

Чтобы подтвердить функции ЕдиногоАгента

  1. В меню Ключ-АСТРОМ перейдите в «Настройки» .
  2. В настройках выберите функции ЕдиногоАгента , а затем отфильтруйте отчеты по программным компонентам .
  3. Включите любую отключенную функцию в списке. Примечание. Для версий ЕдиногоАгента, предшествующих версии для конкретной технологии , помимо включения отключенных функций, вам также необходимо включить Активировать эту функцию также в ЕдиныхАгентах, выполнив только минимальную версию согласия в разделе «Подробности » каждой функции.
  4. Выберите Сохранить изменения .

Открытость для общественности в Интернете и доступные активы данныхNot available

Если на странице сведений о сторонней уязвимости данные об общедоступном доступе в Интернете и доступные активы данных недоступны, это происходит потому, что один или несколько связанных хостов работают в режиме мониторинга инфраструктуры. Полная оценка может быть выполнена только тогда, когда все связанные хосты работают в режиме мониторинга полного стека.

Различные значения на страницах Сторонние уязвимости и сведения об уязвимостях

Различное количество затронутых объектов

Количество затронутых объектов (групп процессов или хостов) на странице Сторонние уязвимости (в столбце Затронутые объекты для конкретной уязвимости) может отличаться от количества затронутых объектов на странице сведений об уязвимости по следующим причинам:

  • На странице Сторонние уязвимости :
    • Затронутые объекты не фильтруются по зоне управления.
    • Расчеты происходят каждые 15 минут.
  • На странице сведений об уязвимости:
    • Затронутые объекты фильтруются по зоне управления.
    • Учитываются текущие данные.

Различные факторы риска

Оценка факторов риска ( Public exploit, Public internet exposure, Reachable data assets, Vulnerable functions in use) в инфографике на странице сведений об уязвимостях и в столбце Оценка безопасности по ИИ на странице Сторонние уязвимости может отличаться от оценки факторов риска на странице сведений об уязвимостях (на странице сведений об уязвимостях раздел) по следующей причине:

  • Для инфографики на странице сведений об уязвимости и столбца Оценка безопасности по системе ИИ на странице Сторонние уязвимости расчеты выполняются каждые 15 минут.
  • В разделе сведений об уязвимостях на странице сведений об уязвимостях учитываются текущие данные.

Информация о затронутой базе данных недоступна

Если на странице сведений об атаке с использованием эксплойта типа SQL-инъекция отсутствует информация о затронутой базе данных, функция Java JDBC ЕдиныйАгент отключена.

Примечание. Перед включением этой функции в вашей среде обязательно проконсультируйтесь с администратором Ключ-АСТРОМ.

Чтобы включить функцию Java JDBC ЕдиныйАгент

  1. В меню Ключ-АСТРОМ перейдите в «Настройки» .
  2. В настройках выберите функции ЕдиногоАгента, а затем отфильтруйте JDBC .
  3. Включите Java JDBC .
  4. В разделе Детали функции убедитесь, что инструментирование включено .
  5. Выберите Сохранить изменения .

Колебания статуса уязвимости

Если уязвимость продолжает устраняться и повторно открываться, даже если стороннее приложение, содержащее уязвимость, было обновлено, возможно, процесс все еще использует эту уязвимую библиотеку, и этот процесс не работает постоянно. Когда процесс не используется, уязвимость устраняется. Когда он снова запускается, уязвимость снова открывается. На странице сведений об уязвимости проверьте наличие затронутых процессов.

Все уязвимости среды выполнения .NET Framework закрыты.

Из-за повышенного количества ложных срабатываний поддержка уязвимостей среды выполнения .NET Framework была остановлена, а все открытые уязвимости среды выполнения .NET Framework были автоматически закрыты.

Примечание. Уязвимости среды выполнения ядра .NET и уязвимости библиотеки .NET не затрагиваются.

Источник — https://doc.ruscomtech.ru/index.php?title=Устранение_неполадок_безопасности_приложений&oldid=2889