Runtime Application Protection

• Latest Dynatrace
• How-to guide

Что вы найдёте на этой странице

• Изучите возможности Runtime Application Protection
• Как RAP обнаруживает и анализирует атаки
• Ознакомьтесь с предварительными требованиями
• Проверьте поддерживаемые технологии
• Как включить и настроить RAP
• Что делать с RAP дальше
• Узнайте о лицензировании RAP

Dynatrace Runtime Application Protection использует анализ на уровне кода и анализ транзакций для автоматического обнаружения и блокировки попыток эксплуатации ваших приложений в режиме реального времени.

Возможности

• Обнаружение атак SQL-инъекций, JNDI-инъекций, инъекций команд и SSRF
• Видимость на уровне кода, обеспечиваемая OneAgent
• Минимальное влияние на производительность, готовое к использованию в продуктивных средах
• Настраиваемая автоматическая блокировка обнаруженных атак
• Защита веб-приложений и API
• Высокая точность оповещений с богатым контекстом для оптимизации работы вашей команды

Как это работает

Runtime Application Protection (RAP) использует инструментирование среды выполнения для обнаружения и, при необходимости, блокировки попыток эксплуатации. Когда ваше приложение получает веб-запрос, Dynatrace OneAgent отслеживает пользовательский ввод и анализирует его взаимодействие с критическими путями кода, такими как SQL-запросы, команды ОС или JNDI-запросы. Если поведение соответствует известному шаблону атаки, Dynatrace сообщает об этом как о результате обнаружения безопасности. Если блокировка атак включена, OneAgent генерирует исключение для остановки вредоносного запроса до его выполнения. RAP является легковесным и безопасным для использования в продуктивных средах.

Предварительные требования

Перед началом работы убедитесь, что ваша среда соответствует необходимым требованиям:

• Вы используете поддерживаемую версию Dynatrace. Ознакомьтесь с заметками о выпуске для актуальных поддерживаемых версий.
• Для правильной работы Runtime Application Protection убедитесь, что глубокий мониторинг включён в Settings > Process and contextualize > Process groups > Process group monitoring.

Для технологий .NET, Go и Python, для которых автоматический глубокий мониторинг отключён, необходимо вручную включить глубокий мониторинг на каждом хосте. Подробнее см. Глубокий мониторинг процессов.

Поддерживаемые технологии

Dynatrace обнаруживает атаки SQL-инъекций, JNDI-инъекций, инъекций команд и SSRF в следующих технологиях.

Технология	Минимальная версия OneAgent	SQL-инъекция	Инъекция команд	JNDI-инъекция	SSRF
Java 8 или выше1	1.241
.NET2'3	1.289
Go3	1.311

1

Поддерживается только на системах Windows x86 и Linux x86.

2

Поддерживаются только .NET Framework 4.5, .NET Core 3.0 или выше и 64-битные процессы.

3

Для технологий .NET и Go, для которых автоматический глубокий мониторинг отключён, необходимо вручную включить глубокий мониторинг на каждом хосте. Подробнее см. Глубокий мониторинг процессов.

Начало работы

Чтобы настроить Runtime Application Protection, следуйте приведённым ниже инструкциям.

Для использования функций предварительного просмотра, пожалуйста, свяжитесь с экспертом по продуктам Dynatrace через чат, чтобы активировать Runtime Application Protection перед продолжением.

Включение Runtime Application Protection

Чтобы включить Runtime Application Protection глобально в вашей среде

1. Перейдите в Settings > Analyze and alert > Application security > Application protection (New).
2. Включите Runtime Application Protection.
3. Нажмите Enable.
4. Перезапустите ваши процессы.

Определение глобального управления атаками

Чтобы определить глобальное управление атаками для всех групп процессов

1. Перейдите в Settings > Analyze and alert > Application security > Application protection (New) > Monitoring rules > Default rules.

2. Отредактируйте управление атаками для каждой технологии:

3. Off; incoming attacks NOT detected or blocked. -- Мониторинг отключён; атаки по выбранной технологии не регистрируются.

4. Monitor; incoming attacks detected only. -- Мониторинг включён; атаки по выбранной технологии не блокируются.
5. Block; incoming attacks detected and blocked. -- Мониторинг включён; атаки по выбранной технологии блокируются во время выполнения.

Если вы определите пользовательские правила мониторинга на основе определённых групп процессов или типов уязвимостей, пользовательские правила переопределяют глобальное управление атаками для выбранной технологии, и Runtime Application Protection продолжает мониторинг атак на основе ваших правил.

1. Нажмите Save.
2. Перезапустите ваши процессы.

Включение мониторинга OneAgent

1. Перейдите в Settings и выберите Collect and capture > General monitoring settings > OneAgent features.
2. Отфильтруйте по code-level attack evaluation и включите функцию для технологий, которые вы хотите мониторить.
3. Нажмите Save changes.
4. Перезапустите ваши процессы.

OneAgent версии 1.309. Для обнаружения атак SSRF необходимо также включить оценку атак SSRF. Инструкции приведены ниже.

1. Перейдите в Settings и выберите Collect and capture > General monitoring settings > OneAgent features.
2. Найдите и включите Java SSRF code-level vulnerability and attack evaluation.
3. Нажмите Save changes.
4. Перезапустите ваши процессы.

Дальнейшие действия

После настройки Runtime Application Protection вы можете

• Оценивать, сортировать и исследовать результаты с помощью Threats & Exploits.
• Настроить правила мониторинга Runtime Application Protection.

Потребление

Потребление Runtime Application Protection зависит от вашей модели лицензирования Dynatrace:

• Dynatrace Platform Subscription (DPS), модели лицензирования для всех возможностей Dynatrace."): измеряется в ГиБ-часах. Подробнее см. Расчёт потребления Runtime Application Protection (RAP) (DPS) DPS.").
• Классическое лицензирование Dynatrace: измеряется в единицах Application Security (ASU). Подробнее см. Мониторинг Application Security (ASU).

Связанные темы

• Часто задаваемые вопросы по Application Security