Web Application Firewall:セキュリティレポートの表示

[Webセキュリティ] タブには、[Web侵入防止] 、[データ漏洩防止] 、[アカウントセキュリティ] 、および [ポジティブセキュリティモデル] の機能の保護の詳細が表示されます。 フィーチャのタブをクリックすると、フィーチャの保護の詳細が表示されます。

• Web侵入防御: WAFによってブロックされたすべてのwebアプリケーション攻撃を表示します。 このタブは、攻撃チャートと攻撃イベントの2つのセクションで構成されます。 次の図では、セクション1は攻撃チャートを示し、セクション2は攻撃イベントを示します。

  • 攻撃チャートセクションには、[攻撃タイプの分布] 、[上位5つの攻撃IPアドレス] 、および [上位5つの攻撃リージョン] が表示されます。

    攻撃チャートセクションの上部で、保護の詳細を検索するためのドメイン名と時間範囲を指定できます。

  • 攻撃イベントセクションには、攻撃IP、リージョン、攻撃時間、攻撃タイプ、攻撃URL、メソッド、パラメータ、ルールアクション、ルールID、攻撃確率の情報が表示されます。

    攻撃イベントセクションの上部では、保護モジュール、攻撃タイプ、攻撃IPアドレス、ルールID、および保護アクションの詳細を検索するためのフィールドを設定できます。

    攻撃イベントに対して次の操作を実行できます。

    • 攻撃の詳細を表示する: 詳細を表示する攻撃イベントを見つけて、[操作] 列の [詳細の表示] をクリックします。

    • 誤検知を無視する: 攻撃イベントが通常のリクエストであることを確認した場合は、攻撃イベントの [操作] 列で [誤検知を無視] をクリックします。

      [偽陽性を無視] をクリックすると、WAFは攻撃イベントの特性に基づいてweb侵入防止のためのホワイトリストルールを生成します。 その場合、web侵入防止は同じ特性を持つ要求を検出しません。 [ルールの作成] ダイアログボックスで、ホワイトリストルールの [ルール名] パラメーターを設定し、[保存] をクリックします。

      説明

      まれに、複数の保護ルールが同時にトリガーされるため、リクエストがブロックされます。 ただし、[偽陽性を無視] をクリックした後に生成されるホワイトリストルールでは、同じ特性を持つリクエストで特定の保護ルールのみをスキップできます。 この場合、ホワイトリストルールの [Specific Rules] パラメーターのIDを手動で再設定し、スキップする他の保護ルールのIDを追加できます。

      ホワイトリストルールが作成されると、ホワイトリストルールは自動的に有効になります。 [Web Intrusion Prevention - Whitelisting] ページで、既存のルールを照会、変更、削除できます。 詳細については、「web侵入防止のためのホワイトリストの設定」をご参照ください。

  web侵入防止を設定する方法の詳細については、「保護ルールエンジン機能の設定」をご参照ください。

• データ漏洩防止: データ漏洩防止のルールをトリガーするwebリクエストを表示します。 次の情報が表示されます: 攻撃IP、リージョン、攻撃された時間、攻撃されたURL、メソッド、パラメーター、ルールアクション、ルールID、および攻撃確率。 ドメイン名と時間範囲に基づいて保護の詳細を検索できます。

  webリクエストを見つけて、[操作] 列の [詳細の表示] をクリックして、[攻撃の詳細] パネルに移動します。

  データ漏洩防止の設定方法の詳細については、「データ漏洩防止の設定」をご参照ください。

• アカウントセキュリティ: 特定のエンドポイントで発生するリスクイベントを表示します。 エンドポイントはアカウントセキュリティで設定されます。 次の情報が表示されます: ドメイン、エンドポイント、悪意のある要求が発生中、ブロックされた要求 /要求の合計、およびアラートトリガー元。 ドメイン名、エンドポイント、および時間範囲に基づいて保護の詳細を検索できます。

  アカウントセキュリティの設定方法の詳細については、「アカウントセキュリティの設定」をご参照ください。

• ポジティブセキュリティモデル: 保護ルールをトリガーするwebアプリケーション攻撃を表示します。 保護ルールは、ポジティブセキュリティモデルによって自動的に生成されます。 次の情報が表示されます: 攻撃IP、リージョン、攻撃された時間、攻撃されたURL、メソッド、ルールアクション、ルールID、攻撃確率。 ドメイン名と時間範囲に基づいて保護の詳細を検索できます。

  webリクエストを見つけて、[操作] 列の [詳細の表示] をクリックして、[攻撃の詳細] パネルに移動します。

  ポジティブなセキュリティモデルを設定する方法の詳細については、「ポジティブなセキュリティモデルの設定」をご参照ください。

[ボット管理] タブには、Webサイトへのクローラーリクエストのモニタリングデータが表示されます。 このタブには、アンチクローラールールの保護の詳細も表示されます。 タブの左上隅で、ドメイン名を選択し、保護の詳細を検索する時間範囲を指定できます。 WAFは、シナリオ固有の構成機能を使用して構成するシナリオごとに、独立したセキュリティレポートを提供します。

• ボット管理タブは、[保護効果の概要] と [シナリオ固有の保護効果] で構成されています。 [保護効果の概要] には、リクエストの総数、クローラリクエストとして識別されたリクエストの数、および異なる保護ルールをトリガーするクローラリクエストの数の傾向が表示されます。

• ボットリクエスト数は、多次元トラフィック特性に基づいてクローラ要求として識別される要求の数を示します。 これにより、アンチクローラールールの保護パフォーマンスを表示できます。 ブロックされたリクエストの数が、クローラーリクエストとして識別されたリクエストの数よりも大幅に少ない場合は、保護パフォーマンスを向上させるために、アンチクローラールールを変更する必要があります。 ブロックされたリクエストの数が、クローラーリクエストとして識別されたリクエストの数に近い場合、保護パフォーマンスは満たされていると見なされます。

• 監視モードで検出されたリクエスト数は、監視モードでアンチクローラールールに一致するリクエストの数を示します。 保護モードを [ブロック] に設定すると、リクエストがブロックされるか、クライアントがスライダーCAPTCHA検証に合格する必要があります。

• ブロックされたリクエスト数は、ブロックモードでアンチクローラールールに一致するリクエストの数を示します。

ボット管理の設定方法の詳細については、以下のトピックを参照してください。

• Webサイトのアンチクローラールールの設定

• 許可されたクローラー機能の設定

• ボット脅威インテリジェンスルールの設定

• アプリケーション保護の設定

アクセス制御 /スロットリングタブには、設定したHTTPフラッド保護、スキャン保護、およびアクセス制御ルールをトリガーするwebリクエストが表示されます。 ドメイン名と時間範囲に基づいて保護の詳細を検索できます。 数回クリックするだけでログを照会することもできます。

• HTTPフラッド保護: HTTPフラッド保護の傾向を表示します。 次の情報が表示されます: 合計QPS、カスタムHTTPフラッド保護のアラートルール、カスタムHTTPフラッド保護のブロックルール、およびデフォルトHTTPフラッド保護のブロックルール。 このタブには、さまざまなルールタイプの [一致数] も表示されます。 ルールタイプには、カスタムHTTPフラッド保護のアラートルール、カスタムHTTPフラッド保護のブロックルール、およびデフォルトHTTPフラッド保護のブロックルールが含まれます。

  ルールタイプの [一致数] の値をクリックして、[Log Service] ページに移動します。 Log Serviceページで、システムはHTTPフラッド保護に関連するログクエリステートメントを提供します。 これにより、ログクエリが容易になります。 詳細については、「クエリログ」をご参照ください。

  HTTPフラッド保護を設定する方法の詳細については、「HTTPフラッド保護の設定」をご参照ください。

  カスタムHTTPフラッド保護ルールを設定する方法の詳細については、「カスタム保護ポリシーの作成」をご参照ください。

• スキャン保護: スキャン保護の傾向を表示します。 Total QPS、Directory Traversal Protection、Collaborative Protection、High-frequency Web Attack Protection、Scan Tool-based Blockingの情報が表示されます。 このタブには、さまざまなルールタイプの [一致数] も表示されます。 ルールの種類には、[ディレクトリ横断保護] 、[共同保護] 、[高頻度Web攻撃保護] 、および [スキャンツールベースのブロッキング] が含まれます。

  ルールタイプの [一致数] の値をクリックして、[Log Service] ページに移動します。 Log Serviceページで、システムはスキャン保護に関連するログクエリステートメントを提供します。 これにより、ログクエリが容易になります。 詳細については、「クエリログ」をご参照ください。

  スキャン保護の設定方法の詳細については、「スキャン保護の設定」をご参照ください。

• アクセス制御: アクセス制御の傾向を表示します。 [合計QPS] 、[ACLのブロックルール] 、[ACLのアラートルール] 、[ブラックリスト] の情報が表示されます。 このタブには、カスタムルールが一致する回数も表示されます。

  カスタムルールのIDをクリックできます。 [ルールの編集] ダイアログボックスで、このカスタムルールの設定を表示および変更できます。 詳細については、「カスタム保護ポリシーの作成」をご参照ください。

  カスタムルールの [一致数] の値をクリックすると、[Log Service] ページに移動できます。 Log Serviceページで、システムはアクセス制御に関連するログクエリステートメントを提供します。 これにより、ログクエリが容易になります。 詳細については、「クエリログ」をご参照ください。

  アクセス制御ルールの設定方法については、「カスタム保護ポリシーの作成」をご参照ください。

  IPアドレスブラックリストの設定方法については、「ブラックリストの設定」をご参照ください。