ボット脅威インテリジェンス機能は、ダイヤラー、オンプレミスのデータセンター、および悪意のあるスキャナーによって使用される疑わしいIPアドレスに関する情報を提供します。 この機能は、悪意のあるクローラーのIPアドレスライブラリも維持します。 ボット脅威インテリジェンスルールを設定して、悪意のあるクローラーがドメイン名または特定のディレクトリのすべてのページにアクセスしないようにすることができます。
前提条件
WAFインスタンスが購入され、Bot Manager機能が有効になっています。 詳細については、「Purchase a WAF instance」をご参照ください。
WebサイトがWAFに追加されます。 詳細については、「チュートリアル」をご参照ください。
背景情報
ボット脅威インテリジェンスルールは、Alibaba Cloudクローラーライブラリに記録されているクローラーからのリクエストをブロックできます。 Alibaba Cloudクローラーライブラリは、Alibaba Cloud脅威インテリジェンスとAlibaba Cloudを流れるネットワークトラフィックの分析に基づいてリアルタイムで更新されます。 悪意のあるクローラーのIPアドレスを効果的に検出し、悪意のあるリクエストが送信されるソースの特性を提供できます。 Alibaba Cloudクローラーライブラリは、700種類を超える悪意のあるクローラーの特性を提供します。
Alibaba Cloudクローラーライブラリは、パブリッククラウドとオンプレミスデータセンターをカバーしています。
ボットの脅威インテリジェンスルールを設定するときは、脅威インテリジェンスライブラリの種類に基づいてアクションを指定できます。 たとえば、ブロック、JavaScript検証、CAPTCHA検証などのアクションを指定できます。 ボット脅威インテリジェンスルールを設定して、重要なエンドポイントを特定の脅威から保護することもできます。 これにより、サービスへの悪影響を最小限に抑えることができます。
手順
にログインします。WAFコンソール.
上部のナビゲーションバーで、リソースグループとWAFインスタンスが属するリージョンを選択します。 リージョンは、中国本土または中国本土以外です。
左側のナビゲーションウィンドウで、 を選択します。
[Webサイトの保護] ページの上部で、保護ルールを設定するドメイン名を選択します。
[ボット管理] タブをクリックし、[ボット脅威インテリジェンス] セクションを見つけます。 次に、[ステータス] をオンにし、[設定] をクリックします。
説明ボット脅威インテリジェンス機能を有効にすると、Webサイト向けのすべてのリクエストが機能によってチェックされます。 必要な条件に一致するリクエストが機能のチェックをバイパスするように、ボット管理許可リストを設定できます。 詳細については、「ボット管理のホワイトリストの設定」をご参照ください。
[Bot Threat Intelligence] ルールリストで、使用する脅威インテリジェンスライブラリを見つけ、[Status] 列のスイッチをオンにします。
次の表に、WAFがサポートするボット脅威インテリジェンスライブラリを示します。
インテリジェンスライブラリ
説明
悪意のあるスキャナー指紋ブラックリスト
このライブラリには、トラフィック分析に基づく数万台のスキャナの特性が含まれています。
悪意のあるスキャナーIPブラックリスト
このライブラリには、Alibaba Cloudで検出されたスキャン攻撃の送信元IPアドレスに基づいて動的に更新される悪意のあるIPアドレスが含まれています。
Credential Stuffing IPブラックリスト
このライブラリには、Alibaba Cloudで検出された資格情報スタッフィングとブルートフォース攻撃のソースIPアドレスに基づいて更新される数十万の悪意のあるIPアドレスが含まれています。
偽のクローラーブラックリスト
このライブラリは、BaiduSpiderなどの許可された検索エンジンのUser-Agentを使用して許可されたプログラムを偽装するクローラーを識別します。
重要このライブラリを有効にする前に、クローラー許可リストが設定されていることを確認してください。 そうでなければ、偽陽性が起こり得る。 詳細については、「許可されたクローラー機能の設定」をご参照ください。
悪意のあるクローラーブラックリスト
このライブラリには、Alibaba Cloudで検出されたクローラーのソースIPアドレスに基づいて動的に更新される数百万の悪意のあるIPアドレスが含まれています。 このライブラリは、3つの重症度レベル: 低、中、および高に分類される。 重大度が高いほど、ライブラリ内のIPアドレスが多くなり、偽陽性率が高くなります。
説明重大度の高いライブラリに対して、CAPTCHAやJavaScript検証などの2要素認証を設定することを推奨します。
2要素認証を実装できないシナリオでは、重要度の低いライブラリに基づいて脅威インテリジェンスルールを構成することをお勧めします。
IDC IPリスト
これらのライブラリには、Alibaba Cloud、Tencent Cloud、Meituan Open Services、21VianetなどのパブリッククラウドとオンプレミスデータセンターのIPアドレスが含まれています。 攻撃者は通常、パブリッククラウドまたはオンプレミスのデータセンターのCIDRブロックを使用してクローラーをデプロイしたり、Webサイトにアクセスするためのプロキシとして使用します。 通常のユーザーがこの方法でWebサイトにアクセスすることはめったにありません。
オプション:カスタム脅威インテリジェンスルールを設定します。
変更するルールを見つけて、[操作] 列の [編集] をクリックします。
[インテリジェンスの編集] ダイアログボックスで、次のパラメーターを設定します。
パラメーター
説明
保護されたパス
保護するURL (/abc、/login/abc、またはすべてのディレクトリを示すスラッシュ (/) など) 。 また、[マッチング] の値を選択する必要があります。 設定可能な値は以下のとおりです。
正確な一致: 宛先URLは、保護されたURLと完全に一致する必要があります。
プレフィックス一致: 宛先URLのプレフィックスは保護されたURLと一致します。
正規表現一致: 宛先URLは、保護されたURLの指定された正規表現と一致します。
[保護URLの追加] をクリックすると、さらにURLを追加できます。 最大10個のURLを追加できます。
アクション
ルールの一致条件が満たされた後に実行するアクション。 設定可能な値は以下のとおりです。
Monitor: 宛先ディレクトリへのリクエストを許可し、リクエストをログに記録します。
Block: 宛先ディレクトリへのリクエストをブロックします。
JavaScript検証: クライアントがJavaScript検証を実行する必要があります。 リクエストは、クライアントが検証に合格した後にのみ宛先ディレクトリに転送されます。
Captcha: クライアントがスライダーCAPTCHA検証を実行する必要があります。 リクエストは、クライアントが検証に合格した後にのみ宛先ディレクトリに転送されます。
説明スライダーCAPTCHAは同期リクエストのみをサポートします。 Ajaxリクエストなどの非同期リクエストを確認するには、Alibaba Cloudセキュリティチームにお問い合わせください。 Ifことができないかどうかを判断保護されたURLサポートスライダーCAPTCHA推奨あなた作成IPアドレスまたはURLベースのカスタム保護政策 (ACL) を実行する。 詳細については、「カスタム保護ポリシーの設定」をご参照ください。
厳密なキャプチャ: クライアントが厳密なスライダーCaptcha検証を実行する必要があります。 要求は、クライアントが検証に合格した後にのみ宛先ディレクトリに転送されます。 厳密なスライダーCAPTCHA検証には、訪問者のIDを検証するためのより厳しい基準があります。
[OK] をクリックします。