Web Application Firewall (WAF) は、アカウントセキュリティ機能をサポートしています。 この機能を使用すると、登録やログインに使用されるエンドポイントなど、ユーザー認証関連のエンドポイントを監視できます。 この機能により、ユーザーの資格情報を脅かす可能性のあるアカウントのセキュリティイベントを検出することもできます。 イベントには、辞書攻撃、ブルートフォース攻撃、スパムユーザー登録、弱いパスワード探知、SMSフラッド攻撃が含まれます。 このトピックでは、アカウントセキュリティルールを設定し、アカウントセキュリティレポートを表示する方法について説明します。
前提条件
Proエディション以上のWAFインスタンスが購入されました。
WebサイトがWAFに追加されます。 詳細については、「チュートリアル」をご参照ください。
背景情報
アカウントセキュリティ機能を有効にする前に、設定に必要なエンドポイント情報を取得する必要があります。 情報には、ドメイン名、ユーザー資格情報が送信されるURI、ユーザー名とパスワードを指定するパラメーターが含まれます。 各WAFインスタンスでは、最大3つのエンドポイントに対してアカウントセキュリティ機能を有効にできます。
エンドポイントを追加する
WAFコンソールにログインします。
上部のナビゲーションバーで、リソースグループとWAFインスタンスがデプロイされているリージョンを選択します。 [中国本土] または [中国本土以外] を選択できます。
左側のナビゲーションウィンドウで、.
[アカウントセキュリティ] ページで、 [エンドポイントの追加] をクリックします。
アカウントセキュリティページに移動するのが初めての場合は、この手順をスキップしてください。
説明各WAFインスタンスでは、最大3つのエンドポイントに対してアカウントセキュリティ機能を有効にできます。 3つのエンドポイントが追加された場合、エンドポイントの追加は暗くなります。
パラメーターを設定し、[保存] をクリックします。
パラメーター
説明
検出されるエンドポイント
アカウントセキュリティ機能を有効にするドメイン名を選択します。 次に、ユーザー資格情報が送信されるURIを入力します。
ログインページのURIを入力しないでください。 たとえば、
/login.htmlと入力しないでください。 代わりに、ユーザー名とパスワードが送信されるURIを入力します。説明WAFのアセット検出機能を有効にし、選択したドメイン名をWAFに追加した場合、ドメイン名に属するすべてのURIが自動的に一覧表示されます。 ドロップダウンリストからURIを選択します。 詳細については、「アセットの検出」をご参照ください。
リクエスト方法
エンドポイントのリクエスト方法を選択します。 有効な値: POST、GET、PUT、DELETE。
アカウントパラメーター名
ユーザー名を入力します。
パスワードパラメーター名
パスワードを入力します。 エンドポイントへのアクセスにパスワードが必要ない場合は、このパラメーターを設定する必要はありません。
保護アクション
アカウントのセキュリティを侵害するリクエストを管理するアクションを選択します。 有効な値:
レポート
ブロック
設定例:
例1: ログオンページのURIが
/login.doで、POSTリクエストの本文がusername=Jammy&pwd=123456の場合、アカウントパラメーター名パラメーターをusernameに設定し、パスワードパラメーター名パラメーターをpwdに設定します。例2:
/login.do?username=Jammy&pwd=123456など、ユーザーの資格情報を指定するパラメーターがGETリクエストのURIに含まれている場合、request MethodパラメーターをGETに設定します。 その他の設定は実施例1と同じである。例3: 登録エンドポイントなど、エンドポイントへのアクセスにパスワードが必要ない場合は、[アカウントパラメーター名] パラメーターを設定します。 パスワードパラメーター名パラメーターを設定する必要はありません。
例4: エンドポイントにアクセスするために携帯電話番号が必要な場合は、アカウントパラメータに携帯電話番号を入力します。 たとえば、URIは
/sendsms.do?mobile=1381111 ****です。 この例では、[検出するエンドポイント] パラメーターを/sendsms.doに設定し、[アカウントパラメーター名] パラメーターを[モバイル]に設定します。 パスワードパラメーター名パラメーターを設定する必要はありません。
エンドポイントを追加すると、WAFは自動的に検出タスクをディスパッチします。 エンドポイントのネットワークトラフィックがアカウントセキュリティルールを満たしている場合、アカウントセキュリティイベントは数時間以内に報告されます。
説明アカウントセキュリティ機能を有効にすると、アカウントセキュリティルールを使用して、Webサイト宛てのすべてのリクエストがチェックされます。 ホワイトリストを設定して、アカウントセキュリティルールを満たすリクエストがチェックをバイパスできるようにすることができます。 詳細については、「データセキュリティのホワイトリストの設定」をご参照ください。
アカウントセキュリティレポートを表示する
アカウントのセキュリティレポートを表示する場合は、[アカウントのセキュリティ] ページでエンドポイントを見つけ、[操作] 列の [レポートの表示] をクリックします。 [セキュリティレポート] ページでアカウントのセキュリティレポートを表示することもできます。
次の手順では、[セキュリティレポート] ページでアカウントのセキュリティレポートを表示する方法について説明します。
WAFコンソールにログインします。
上部のナビゲーションバーで、リソースグループとWAFインスタンスがデプロイされているリージョンを選択します。 [中国本土] または [中国本土以外] を選択できます。
左側のナビゲーションウィンドウで、.
[Webセキュリティ] タブで、[アカウントセキュリティ] をクリックし、アカウントセキュリティイベントをチェックするドメイン名、URI、および時間範囲を選択します。 昨日、今日、7日間、または30日間を選択できます。
次の表に、アカウントセキュリティレポートのフィールドを示します。
フィールド
説明
Endpoint
アカウントのセキュリティイベントが検出されるURI。
ドメイン
URIが属するドメイン名。
中に発生した悪意のあるリクエスト
アカウントのセキュリティイベントが検出される時間範囲。
ブロックされたリクエスト
[Malicious requests Occurred during] フィールドに表示される期間中にWAF保護ルールに基づいてブロックされたリクエストの数。
WAF保護ルールは、保護ルールエンジン、カスタム保護ポリシー (ACL) 、HTTPフラッド保護、リージョンブラックリストなど、さまざまな保護モジュールの有効なルールを指します。 ブロックされたリクエストの割合は、エンドポイントのアカウントのセキュリティステータスを示します。
合計リクエスト数
[Malicious requests Occurred during] フィールドに表示された時間範囲内にエンドポイントに送信されたリクエストの総数。
アラートトリガー
アラートが発生した理由。 考えられる理由を次のリストに示します。
リクエストは、ディクショナリ攻撃またはブルートフォース攻撃の動作モデルに適合します。
エンドポイントのトラフィックベースラインが指定された時間範囲で異常です。
エンドポイントに送信される多数のリクエストは、指定された時間範囲内に脅威インテリジェンスライブラリに記述されているルールと一致します。
指定された時間範囲内にエンドポイントに送信された多数のリクエストで、弱いパスワードが検出されます。 この場合、辞書攻撃やブルートフォース攻撃が発生する可能性があります。
関連ドキュメント
アカウントセキュリティ機能は、アカウントリスクのみを検出します。 ビジネスを保護するために、ビジネス要件に基づいて適切なソリューションを選択することを推奨します。 詳細については、「アカウントセキュリティのベストプラクティス」をご参照ください。