IAST セッションの開始

アプリケーション・サーバーに IAST エージェントを配置し、スキャンを構成します。

始める前に

1 つの IAST 監視セッションに複数のサーバーを使用する場合は、1 つのサーバーから別のサーバーにエージェントをコピーするか、別個のエージェントをダウンロードすることができます。両方の方法がサポートされます。
サポート: 参照 IAST に対するシステム要件
注: 理論的に IAST 監視セッションはインストールの完了直後に「開始」されますが、アプリケーション・サーバーにエージェントが配置されるまで問題は検出されません。

手順

  1. スキャン用のアプリケーションを作成します (まだ作成していない場合)。
  2. 「アプリケーション」ビューで「スキャンの作成」をクリックしてウィザードを開き、「インタラクティブ (IAST)」を選択します。
  3. [エージェントのダウンロード] をクリックして、[.NET][Java][PHP]、または[Node.js] を選択し、該当するエージェント・ファイルを自分のコンピューターに保存します。
    ダウンロードするファイルの作成処理に少し時間がかかる可能性がありますが、作成後は自動的にダウンロードが開始されます。
    注: ダウンロードしたエージェントには、同じセッションに対して複数のサーバーで有効なキーが含まれるので、エージェントを複数のサーバーにコピーできます。同じセッション用に別のエージェントをダウンロードすると、新しいエージェントに新しいキーが追加されますが、新しいキーと古いキーの両方ともそのセッションに対して有効になります。
  4. アプリケーション・サーバーに IAST エージェントを配置します
    IAST エージェントがサーバーへのトラフィックのモニターを開始します。「アプリケーション」タブの「スキャン・エントリー」で監視が確実に開始されていることを確認できます。システム・テストまたは DAST スキャンを実行すると、問題が特定され、スキャン・エントリーに追加されます。
    重要: IAST エージェントは、アプリケーションへのトラフィックをモニターすることによって問題を検出します。それ自体は要求を生成しません。IAST エージェントがインストールされると、通常は、機能テスト、QA、および DAST スキャン中に問題が検出されます。
    注: IAST スキャンは自動的に停止しません。トラフィックを常に監視します。監視を無効にするには、ASoC ユーザー・インターフェースで IAST セッションを停止します。ただし、これによりほとんどの IAST エージェントのアクティビティーが無効化されますが、エージェントは、セッションが再開されると検出できるように ASoC との通信を継続します。

アクション

スキャンが作成されると、「アクション」ドロップダウンに以下の項目が適宜表示されます。
  • 新しいキーの生成: ダウンロードしたキーを失った場合。
    注: 新しいキーを生成すると、前のキーは無効になります。
  • 停止: 実行中のスキャンを、削除することなく停止します。後で再び開始できます。現在のスキャン結果に関するレポートが必要な場合は、「すべての問題」タブに移動します。
  • 始め: 停止されたスキャンを開始します (ライセンスにより許可される場合)。スキャンの問題カウンターはゼロから始まります。
  • キャンセル: スキャンを削除します。