Surveillance de l'activité de menace
Vous pouvez surveiller les activités liées aux menaces dans l'explorateur de trace.
Application Performance Monitoring (APM) surveille les activités exécutées par les menaces identifiées grâce à l'intégration au service de renseignement sur les menaces d'Oracle. Il fournit une visibilité sur les menaces à l'aide de l'adresse IP à partir des traces et des intervalles collectés en fonction des informations de Threat Intelligence, un service d'Oracle Cloud Infrastructure (OCI). APM est intégré au service de renseignement sur les menaces pour recevoir automatiquement des informations sur les menaces si la valeur d'adresse IP associée à l'intervalle a été identifiée comme indicateur de menace. Le service de renseignement sur les menaces regroupe les données sur les menaces provenant de différentes sources et fournit des conseils pour la détection et la prévention des menaces. Pour plus d'informations, voir Informations sur les menaces.
ClientIpThreatConfidence:Confiance globale à l'égard de la ou des menaces provenant d'un indicateur de menace (adresse IP).ClientIpThreatType:Type de menace. Pour obtenir la liste complète, voir Types de menace de base de données d'indicateurs de menace dans Informations sur les menaces.
Si l'adresse IP n'est pas identifiée comme une menace potentielle, les attributs d'intervalle ci-dessus ne sont pas présents.
Voir et explorer les activités liées aux menaces
Utilisez le tableau de bord de surveillance des activités liées aux menaces pour voir les activités liées aux menaces et leur incidence sur l'application. L'explorateur de trace vous permet d'explorer des intervalles pour détecter les menaces potentielles.
Exécutez l'interrogation suivante dans l'explorateur de trace pour rechercher les menaces potentielles :
SHOW (SPANS)
count(*) as Count,
ClientIpThreatType, ClientIpThreatConfidence
WHERE (ClientIpThreatConfidence is not omitted)
GROUP BY ClientIpThreatType, ClientIpThreatConfidence ClientIpThreatType et ClientIpThreatConfidence.
Exemples d'interrogation supplémentaires :
-
L'interrogation suivante affiche les menaces potentielles et leur note maximale à l'aide de la vue de carte géographique :
SHOW (TRACES) geoCountryCode, count(*) as "Traces", sum(ErrorCount) as "Errors", sum(PageViews) as "Page Views", sum(ConnectTime) as "Total connect time", max(ClientIpThreatConfidence) as “Threat Confidence” WHERE ClientIpThreatType is not omitted and geoCountryCode is not omitted GROUP BY geoCountryCode -
L'interrogation suivante montre les adresses IP suspectes, leur emplacement géographique (ville et pays), le type de menace et la confiance en la menace :
SHOW TRACES case when ClientIpThreatType is omitted then ‘No Threat IP’ else ClientIp end as “IP Address”, ClientIpThreatType as “Threat Type”, percent_of_items() as “% of activity”, count(*) as Count, max(GeoCountry) as Country, max(GeoCity) as City, max(ClientIpThreatConfidence) as “Threat Confidence” GROUP BY case when ClientIpThreatType is omitted then ‘No Threat IP’ else ClientIp end, ClientIpThreatType ORDER BY percent_of_items() desc timeseries for count(*)
Vérifier les détails des intervalles
Les détails de l'intervalle affichent tous les attributs d'un intervalle individuel. Pour les menaces potentielles, vérifiez la valeur des attributs suivants : ClientIpThreatType et ClientIpThreatConfidence.
Les deux attributs sont alimentés dans des intervalles dans lesquels ClientIp a été identifié comme une menace.
Les détails de l'intervalle répertorient le type de menace ayant la note la plus élevée. Pour obtenir la liste complète de tous les différents types de menace et de toutes les notes pour cette adresse IP spécifique, consultez Journaux dans Détails de l'intervalle.
Pour obtenir plus d'informations sur l'indicateur de menace détectée (adresse IP suspecte), les implications potentielles et les recommandations, voir le service Intelligence de menace.