Bedrohungsaktivitätsüberwachung
Sie können Bedrohungsaktivitäten im Trace-Explorer überwachen.
Application Performance Monitoring (APM) überwacht Aktivitäten, die von Bedrohungen ausgeführt werden und die durch die Integration mit dem Oracle Threat Intelligence-Service identifiziert werden. Sie bietet Einblick in Bedrohungen mit der IP-Adresse aus den Traces und Spans, die basierend auf den Informationen von Threat Intelligence, einem Service von Oracle Cloud Infrastructure (OCI), erfasst werden. APM ist in Threat Intelligence integriert, um Bedrohungsinformationen automatisch zu erhalten, wenn der mit dem Span verknüpfte IP-Adresswert als Bedrohungsindikator identifiziert wurde. Threat Intelligence aggregiert Threat Intelligence-Daten aus vielen verschiedenen Quellen und bietet Anleitungen zur Erkennung und Prävention von Bedrohungen. Weitere Informationen finden Sie unter Threat Intelligence.
ClientIpThreatConfidence:Allgemeines Vertrauen der Bedrohung(en) durch einen Bedrohungsindikator (IP-Adresse).ClientIpThreatType:Bedrohungstyp. Eine vollständige Liste finden Sie unter Bedrohungsindikator-Datenbankbedrohungstypen aus Bedrohungsintelligenz.
Wenn die IP-Adresse nicht als potenzielle Bedrohung identifiziert wird, sind die oben genannten Span-Attribute nicht vorhanden.
Bedrohungsaktivitäten anzeigen und untersuchen
Im Dashboard "Bedrohungsaktivitätsüberwachung" können Sie Bedrohungsaktivitäten und deren Auswirkungen auf die Anwendung anzeigen. Mit Trace Explorer können Sie Spans untersuchen, um potenzielle Bedrohungen zu erkennen.
Führen Sie die folgende Abfrage im Trace Explorer aus, um auf potenzielle Bedrohungen zu prüfen:
SHOW (SPANS)
count(*) as Count,
ClientIpThreatType, ClientIpThreatConfidence
WHERE (ClientIpThreatConfidence is not omitted)
GROUP BY ClientIpThreatType, ClientIpThreatConfidence ClientIpThreatType und ClientIpThreatConfidence.
Weitere Abfragebeispiele:
-
Die folgende Abfrage zeigt potenzielle Bedrohungen und ihren maximalen Bedrohungsscore mit der Geomap-Ansicht:
SHOW (TRACES) geoCountryCode, count(*) as "Traces", sum(ErrorCount) as "Errors", sum(PageViews) as "Page Views", sum(ConnectTime) as "Total connect time", max(ClientIpThreatConfidence) as “Threat Confidence” WHERE ClientIpThreatType is not omitted and geoCountryCode is not omitted GROUP BY geoCountryCode -
Die folgende Abfrage zeigt verdächtige IP-Adressen, ihren geografischen Standort (Stadt und Land), Bedrohungstyp und Bedrohungssicherheit:
SHOW TRACES case when ClientIpThreatType is omitted then ‘No Threat IP’ else ClientIp end as “IP Address”, ClientIpThreatType as “Threat Type”, percent_of_items() as “% of activity”, count(*) as Count, max(GeoCountry) as Country, max(GeoCity) as City, max(ClientIpThreatConfidence) as “Threat Confidence” GROUP BY case when ClientIpThreatType is omitted then ‘No Threat IP’ else ClientIp end, ClientIpThreatType ORDER BY percent_of_items() desc timeseries for count(*)
Spans-Details prüfen
Span-Details zeigen alle Attribute eines einzelnen Span an. Bei potenziellen Bedrohungen prüfen Sie den Wert der folgenden Attribute: ClientIpThreatType und ClientIpThreatConfidence.
Beide Attribute werden in Spans aufgefüllt, in denen die ClientIp als Bedrohung identifiziert wurde.
Span-Details listen den Bedrohungstyp mit der höchsten Punktzahl auf. Eine vollständige Liste aller verschiedenen Bedrohungstypen und Scores für diese bestimmte IP-Adresse finden Sie unter Logs unter Span-Details.
Weitere Informationen zu dem Indikator für erkannte Bedrohungen (verdächtige IP-Adresse), potenziellen Auswirkungen und Empfehlungen finden Sie im Threat Intelligence-Service.