REST API を使用した IAST
REST API により、エージェントの配置など、IAST スキャンを構成および開始します。
始める前に
Swagger で次のリソースも参照してください:
手順
- API キーを取得します。
-
以下のいずれかの操作を行い、スキャンを実行したいアプリケーションの ID を取得します:
- ユーザー・インターフェースで特定のアプリケーションのタブを開き、URL を確認します。「scans」の前の最後のセクションが ID です。この例の場合は:
アプリケーション IDはcloud.appscan.com/AsoCUI/serviceui/main/myapps/app01/123456a-78b-90c-123ab4c/scans123456a-78b-90c-123ab4cです。 - また、REST API GetApps エンドポイントからユーザー (API キー) のすべてのアプリケーション ID のリストを取得できます。
request URL: GET https://cloud.appscan.com/api/v4/Apps headers: "Authorization=Bearer <api key>" Parameters: “$select=Id"
- ユーザー・インターフェースで特定のアプリケーションのタブを開き、URL を確認します。「scans」の前の最後のセクションが ID です。この例の場合は:
-
CreateIastAnalyzerScan エンドポイントを使用して、IAST スキャンを作成します :
request URL: POST https://cloud.appscan.com/api/v4/Scans/IASTAnalyzer headers: " Authorization=Bearer <token>, Accept: application/json, Content-Type: application/json" Json: { "ConnLostStopTimer": true, "ScanName": <scanName>, "EnableMailNotification": true, "Locale": "en-US", "AppId": <appId>, "Personal": false }本文には、入力パラメーター scanModel が入ります (以下のフィールドがある JSON 構造です):ScanNameはスキャンに付ける名前です。AppId(前のステップを参照)ConnLostStopTimerは、エージェントの接続が失われた場合にスキャンを停止するためのオプションのタイムアウト (分) です。空白のままにすると、エージェントの接続が失われてもスキャンが継続され、何もレポートされません。例えば、エージェントが切断している間に、ライセンスが他のユーザーに取得されるのを防ぐ場合などに使用できます。- 個人スキャンとしてスキャンを実行する場合を除き、
Personalはfalseに設定する必要があります。
ScanIdが含まれます。これを保存して次のステップで使用します。 -
前のステップで作成したスキャンに問題をレポートするように事前構成されたエージェントをダウンロードします。 Tools/DownloadWithKey エンドポイントを使用して、これを実行します。
request URL: GET https://cloud.appscan.com/api/v4/Tools/IastAgentWithKey?scanId==<scan_id> headers: "Authorization=Bearer <api key>, Accept: application/zip"scan_idは、前のステップの最後で保存した ID です。 -
アプリケーション・サーバーに IAST エージェントを配置します。
エージェントはアプリケーションに送信されるトラフィックの監視を開始し、検出した脆弱性を ASoC にレポートします。
-
IAST のアプリケーションにトラフィックを送信し、モニターします。これを、定期的なシステム・テストまたは DAST スキャンとすることができます。
検出された問題は今後、IAST スキャンに記録されるようになります。