IAST configuration

Vous pouvez configurer votre IAST pour gérer la planification des analyses. Ces configurations vous permettent d'exclure certaines API, paramètres et catégories de vulnérabilités de l'analyse IAST . Vous pouvez également retarder les analyses IAST ou les programmer à des heures spécifiques de la journée.

Planification des analyses IAST

Vous pouvez démarrer et arrêter vos analyses IAST planifiées à l'aide de 2 variables. Ces variables vous permettent de définir des heures spécifiques pour l'analyse IAST ou d'ajouter un délai à l'heure de début de l'analyse IAST à partir de l'application.

Configurez vos analyses IAST planifiées

Ouvrez le fichier de configuration newrelic.yml pour définir les paramètres scan_schedule .

security:
  scan_schedule:
    delay: 0                     # In minutes, default is 0 min
    duration: 0                  # In minutes, default is forever
    schedule: ""                 # Cron Expression to define start time
    always_sample_traces: false  # regardless of scan schedule

Le champ schedule spécifie une expression cron qui définit quand l'analyse IAST doit être exécutée. Par défaut, schedule est désactivé. L' expression cron se compose de six champs séparés par des espaces :

seconde: Spécifie la seconde de l'heure (0-59)
minute: Spécifie la minute de l'heure (0-59)
heure: Spécifie l'heure du jour (0-23)
jour: Spécifie le jour du mois (1-31)
mois: Le mois de l'année (1-12 ou JAN-DEC)
day_of_week: Spécifie le jour de la semaine (1-7 ou SUN-SAT), où 1 = dimanche
Important
Que se passe-t-il si duration n'est pas spécifié ? L’omission du paramètre de durée implique que l’analyse IAST ne doit jamais s’arrêter. Dans ce scénario, la planification spécifiée est traitée comme une heure de début plutôt que comme une opération récurrente. L'analyse se poursuivra indéfiniment sans interruption ni fin. Par exemple, schedule: "0 0 0 * * ?" planifierait l’exécution de l’analyse IAST à minuit tous les jours.

always-sample-traces permet à IAST de collecter activement des données de trace en arrière-plan, et l'agent de sécurité utilisera ces données collectées pour effectuer une analyse IAST à l'heure programmée. Toutefois, pour les applications avec gestion de session, il est recommandé de laisser la valeur par défaut de l'indicateur always_sample_traces définie sur false . Cela garantit que l’échantillonnage et l’analyse IAST sont limités à une fenêtre spécifiée. Les séances ont généralement une durée de vie courte, se terminant souvent en 30 minutes. Dans ce scénario, l'échantillonnage de la trace avant la fenêtre ne fournira pas d'informations précieuses et détaillées et peut entraîner des vulnérabilités manquées. Par défaut, la valeur de always_sample_traces est fausse.

Exemples

Pour planifier IAST pour démarrer 30 minutes après le démarrage de l'application et s'exécuter pendant 300 minutes, vous devez définir le délai sur 30 et la durée sur 300.

security:
  scan_schedule:
    delay: 30         # In minutes, default is 0 min
    duration: 300     # In minutes, default is forever

Pour planifier l’exécution d’IAST à une heure précise, définissez la planification sur une expression cron qui représente l’heure souhaitée. Par exemple, pour planifier l'exécution de l'IAST tous les jours à minuit, vous devez définir la planification sur "0 0 0 * * ?".

security:
  scan_schedule:
    schedule: "0 0 0 * * ?"     # By default, schedule is inactive

Important

Si le délai et le calendrier sont tous deux spécifiés, le délai a la priorité. Cela signifie que l'IAST démarrera après le délai spécifié, quel que soit le calendrier.

Si vous souhaitez que IAST échantillonne toujours la trace, vous devez définir always_sample_traces sur true. Par défaut, cette valeur est définie sur false, ce qui signifie que IAST échantillonne uniquement les traces dans la fenêtre d'analyse active.

security:
  scan_schedule:
    delay: 30                   # In minutes, default is 0 min
    always_sample_traces: true  # regardless of scan schedule

Exclure de l'analyse IAST

Le paramètre d'exclusion de l'analyse IAST vous permet d'exclure des API, des catégories de vulnérabilités et des paramètres spécifiques de l'analyse IAST . Cela est utile dans les situations où certains composants de l'application sont connus pour être sécurisés, ou lorsque l'analyse IAST de certaines API pourrait entraîner un dysfonctionnement de l'application, comme une limitation de connexion.

Pour configurer l’exclusion d’analyse IAST, ouvrez le fichier de configuration newrelic.yml pour définir le paramètre exclude_from_iast_scan .

security:
  exclude_from_iast_scan:
    api: []
    http_request_parameters:
      header: []
      query: []
      body: []
    iast_detection_category:
      insecure_settings: false
      invalid_file_access: false
      sql_injection: false
      nosql_injection: false
      ldap_injection: false
      javascript_injection: false
      command_injection: false
      xpath_injection: false
      ssrf: false
      rxss: false

Exclure l'API

Vous pouvez ignorer des API spécifiques de l'analyse IAST en les ajoutant à la section API du fichier de configuration newrelic.yml . Vous pouvez spécifier des API à l'aide de modèles d'expressions régulières (regex) qui suivent la syntaxe de Perl 5. Le modèle regex doit fournir une correspondance complète pour l'URL sans le point de terminaison.

Voici le format de spécification des API :

exclude_from_iast_scan:
  api:
    - .*account.* 
    - .*/\api\/v1\/.*?\/login

Par exemple:

.*account.* fait correspondre les API avec des URL comme http://localhost:80/api/v1/account/login
.*/\api\/v1\/.*?\/login fait correspondre les API avec des URL comme http://localhost:80/api/v1/{'{account_id}'}/login

Exclure `http_request_parameters`

Vous pouvez ignorer des paramètres de requête HTTP spécifiques de l'analyse IAST en les ajoutant à la section http_request_parameters du fichier de configuration newrelic.yml .

Il s'agit d'une liste de clés d'en-tête HTTP. Si une demande inclut des en-têtes avec ces clés, l'analyse IAST correspondante sera ignorée. Par exemple, si vous avez une requête curl avec des en-têtes et que vous souhaitez ignorer l'analyse IAST sur l'en-tête X-Forwarded-For, vous pouvez transmettre cette configuration :

bash

$curl -X POST -H "X-Forwarded-For: 123.456.789.012" \
>     -H "Content-Type: application/x-www-form-urlencoded" \
>     -d "param1=value1&param2=value2" http://example.com

Vous pouvez utiliser cette configuration :

exclude_from_iast_scan:
  http_request_parameters:
    header: 
      - X-Forwarded-For

Il s'agit d'une liste de clés de paramètres de requête. La présence de ces paramètres dans la chaîne de requête de la requête entraînera l'omission de l'analyse IAST. Par exemple, si vous avez une requête curl avec des paramètres de requête et que vous souhaitez ignorer l'analyse IAST sur les paramètres de requête customerID et username, vous pouvez transmettre cette configuration :

bash

$curl --location --request GET 'localhost:8080/sql/save?firstName=test&lastName=user&customerID=testuser&username=test123'

Vous pouvez utiliser cette configuration :

exclude_from_iast_scan:
  http_request_parameters:
    query: 
      - username
      - customerID

Il s'agit d'une liste de clés dans le corps de la requête. Si ces clés sont trouvées dans le contenu du corps, l'analyse IAST est ignorée. Voici les types de contenu pris en charge pour le corps de la demande : données JSON, XML et Form-URL-Encoded.

Exemple de type de contenu JSON

Il s'agit d'un exemple curl pour le type de contenu JSON lorsque vous avez une requête curl avec un corps JSON et que vous souhaitez ignorer l'analyse IAST sur customerID et firstName.

bash

$curl --location --request POST 'localhost:8080/application/json/post' \
>  --header 'Content-Type: application/json' \
>  --data '{
$    "path": "sample.txt",
$    "script":"testscript",
$    "customerID":"GREAL",
$    "name": {
$      "firstName": "john",
$      "lastName": "wick"
$    },
$    "url":"http://example.com",
$    "cmd":"ls"
$  }'

Vous pouvez utiliser cette configuration :

exclude_from_iast_scan:
  http_request_parameters:
    body: 
      - customerID
      - name.firstName

Exemple de type de contenu XML

Il s'agit d'une requête curl avec un corps XML et vous souhaitez ignorer l'analyse IAST sur customerID et username.

bash

$curl --location 'localhost:8080/application/xml/post' \
>  --header 'Content-Type: application/xml' \
>  --data '<?xml version="1.0" encoding="UTF-8" ?>
$  <AppData>
$    <path>sample.txt</path>
$    <script>K2</script>
$    <customerID>GREAL</customerID>
$    <username>bob</username>
$    <url>http://example.com</url>
$    <cmd>ls</cmd>
$    <name>keshav</name>
$    <firstName>Aliko</firstName>
$  </AppData>'

Vous pouvez utiliser cette configuration :

exclude_from_iast_scan:
  http_request_parameters:
    body: 
      - AppData.customerID
      - AppData.username

Exemple de formulaire - Type de contenu codé par URL

Il s'agit d'une requête curl avec un corps codé par URL de formulaire et vous souhaitez ignorer l'analyse IAST sur customerID et username.

bash

$curl --location 'localhost:8080/application/urlencode/post' \
>  --header 'Content-Type: application/x-www-form-urlencoded' \
>  -d 'name=madhav&path=sample.txt&customerID=GREAL&script=K2&url=http://example.com&username=bob&firstName=Aliko&cmd=ls'

Vous pouvez utiliser cette configuration :

http_request_parameters:
  body: 
    - customerID
    - username

Conseil

Pour les paramètres de corps imbriqués, spécifiez une valeur de paramètre séparée par un point (.).

Exclure `iast_detection_category`

Le paramètre iast_detection_category permet à l'utilisateur de spécifier des catégories de vulnérabilités pour lesquelles l'analyse IAST sera appliquée ou ignorée. Si l’une de ces catégories est définie sur true, l’agent de sécurité IAST ne générera pas d’événements ni d’indicateurs de vulnérabilité pour cette catégorie.

Consultez cet exemple pour ignorer l’analyse des injections SQL et SSRF. Les paramètres sql_injection et ssrf sont définis sur true:

exclude_from_iast_scan:
  iast_detection_category:
    insecure_settings: false
    invalid_file_access: false
    sql_injection: true
    nosql_injection: false
    ldap_injection: false
    javascript_injection: false
    command_injection: false
    xpath_injection: false
    ssrf: true
    rxss: false

Conseil

Le iast_detection_category sera prioritaire sur la configuration de détection présente dans la section sécurité.

Vous pouvez utiliser cette configuration combinée :

security:
  enabled: true
  scan_schedule:
    delay: 0                     # In minutes, default is 0 min
    duration: 0                  # In minutes, default will be forever
    #schedule: ""                # Cron Expression to define start time
    always_sample_traces: false  # continuously collect samples
  exclude_from_iast_scan:
    api: []
    http_request_parameters:
      header: []
      query: []
      body: []
    iast_detection_category:
      insecure_settings: false
      invalid_file_access: false
      sql_injection: false
      nosql_injection: false
      ldap_injection: false
      javascript_injection: false
      command_injection: false
      xpath_injection: false
      ssrf: false
      rxss: false
  agent:
    enabled: true

Contrôleurs de numérisation IAST

Limite de taux d'analyse IAST

Les paramètres de limite de taux d'analyse IAST limitent le nombre maximal de sondes ou requests d'analyse pouvant être envoyées à l'application en une minute. La limite de taux d'analyse IAST par défaut est définie sur un minimum de 12 requests de relecture par minute et un maximum de 3 600 requests relecture par minute.

Cette traduction automatique est fournie pour votre commodité.

Planification des analyses IAST

Configurez vos analyses IAST planifiées

`delay` (en minutes)

`duration` (en minutes)

`schedule` (Expression Cron)

Important

`always_sample_traces` (booléen)

Exemples

Planifiez l'IAST pour qu'il démarre 30 minutes après le démarrage de l'application et qu'il s'exécute pendant 300 minutes

Planifier l'exécution de l'IAST à une heure précise

Important

Configurer IAST pour toujours échantillonner la trace

Exclure de l'analyse IAST

Exclure l'API

Exclure `http_request_parameters`

En-tête

Qequête

Corps

Exemple de type de contenu JSON

Exemple de type de contenu XML

Exemple de formulaire - Type de contenu codé par URL

Conseil

Exclure `iast_detection_category`

Conseil

Contrôleurs de numérisation IAST

Limite de taux d'analyse IAST

Cette traduction automatique est fournie pour votre commodité.

IAST configuration

Planification des analyses IAST .css-21sua1{background:none;border:none;width:0;padding:0;}

Configurez vos analyses IAST planifiées

duration (en minutes)

schedule (Expression Cron)

always_sample_traces (booléen)

Exemples

Planifiez l'IAST pour qu'il démarre 30 minutes après le démarrage de l'application et qu'il s'exécute pendant 300 minutes

Planifier l'exécution de l'IAST à une heure précise

Configurer IAST pour toujours échantillonner la trace

Exclure de l'analyse IAST

Exclure l'API

Exclure http_request_parameters

En-tête

Qequête

Corps

Exclure iast_detection_category

Conseil

Contrôleurs de numérisation IAST

Limite de taux d'analyse IAST

Planification des analyses IAST

`duration` (en minutes)

`schedule` (Expression Cron)

`always_sample_traces` (booléen)

Exclure `http_request_parameters`

Exclure `iast_detection_category`