Monitoraggio delle attività di minaccia
È possibile monitorare le attività di minaccia in Trace Explorer.
Application Performance Monitoring (APM) monitora le attività eseguite dalle minacce identificate tramite l'integrazione con il servizio Oracle Threat Intelligence. Fornisce visibilità alle minacce utilizzando l'indirizzo IP dai trace e dagli intervalli raccolti in base alle informazioni di Threat Intelligence, un servizio di Oracle Cloud Infrastructure (OCI). APM è integrato con Threat Intelligence per ricevere automaticamente informazioni sulle minacce se il valore dell'indirizzo IP associato all'intervallo è stato identificato come indicatore di minaccia. Threat Intelligence aggrega i dati di intelligence sulle minacce in molte fonti diverse e fornisce indicazioni per il rilevamento e la prevenzione delle minacce. Per informazioni, vedere Threat Intelligence.
ClientIpThreatConfidence:Fiducia complessiva delle minacce provenienti da un unico indicatore di minaccia (indirizzo IP).ClientIpThreatType:Tipo di minaccia. Per un elenco completo, vedere Tipi di minacce al database con indicatore di minaccia da Threat Intelligence.
Se l'indirizzo IP non è identificato come una potenziale minaccia, gli attributi di intervallo di cui sopra non sono presenti.
Visualizza ed esplora le attività relative alle minacce
Utilizzare il dashboard Monitoraggio attività minacce per visualizzare le attività di minaccia e il relativo impatto sull'applicazione. Trace Explorer consente di esplorare gli intervalli per il rilevamento di potenziali minacce.
Eseguire la query seguente in Trace Explorer per verificare la presenza di potenziali minacce:
SHOW (SPANS)
count(*) as Count,
ClientIpThreatType, ClientIpThreatConfidence
WHERE (ClientIpThreatConfidence is not omitted)
GROUP BY ClientIpThreatType, ClientIpThreatConfidence ClientIpThreatType e ClientIpThreatConfidence.
Esempi di query aggiuntive:
-
La query riportata di seguito mostra le potenziali minacce e il relativo punteggio massimo utilizzando la vista mappa geografica.
SHOW (TRACES) geoCountryCode, count(*) as "Traces", sum(ErrorCount) as "Errors", sum(PageViews) as "Page Views", sum(ConnectTime) as "Total connect time", max(ClientIpThreatConfidence) as “Threat Confidence” WHERE ClientIpThreatType is not omitted and geoCountryCode is not omitted GROUP BY geoCountryCode -
La seguente query mostra gli indirizzi IP sospetti, la loro posizione geografica (città e paese), il tipo di minaccia e la fiducia nelle minacce:
SHOW TRACES case when ClientIpThreatType is omitted then ‘No Threat IP’ else ClientIp end as “IP Address”, ClientIpThreatType as “Threat Type”, percent_of_items() as “% of activity”, count(*) as Count, max(GeoCountry) as Country, max(GeoCity) as City, max(ClientIpThreatConfidence) as “Threat Confidence” GROUP BY case when ClientIpThreatType is omitted then ‘No Threat IP’ else ClientIp end, ClientIpThreatType ORDER BY percent_of_items() desc timeseries for count(*)
Dettagli intervalli di controllo
I dettagli dell'intervallo mostrano tutti gli attributi di un singolo intervallo. Per potenziali minacce, esaminare il valore dei seguenti attributi: ClientIpThreatType e ClientIpThreatConfidence.
Entrambi gli attributi vengono popolati in intervalli in cui ClientIp è stato identificato come una minaccia.
I dettagli dell'intervallo elencano il tipo di minaccia con il punteggio più alto. Per una lista completa di tutti i diversi tipi di minacce e punteggi per l'indirizzo IP specifico, consulta Log da Dettagli intervallo.
Per ulteriori informazioni sull'indicatore di minaccia rilevato (indirizzo IP sospetto), sulle potenziali implicazioni e sui suggerimenti, vedere il servizio Threat Intelligence.