すべてのプロダクト
Search
ドキュメントセンター

Web Application Firewall:APIセキュリティアラートをプッシュするためのベストプラクティス

最終更新日:Nov 21, 2024

ほとんどの場合、CloudMonitorは、Web Application Firewall (WAF) のAPIセキュリティモジュールによって検出されるリスクの高いイベントのアラートをプッシュするために使用されます。 これにより、リスクにタイムリーに対応できます。 ただし、APIセキュリティによって検出されるイベントは、低リスク、中リスク、高リスクのイベントに分類されます。 CloudMonitorのみを使用する場合、APIセキュリティによって検出されたすべてのレベルの攻撃イベントに対してアラートをプッシュすることはできません。 すべてのレベルの攻撃イベントについてアラートをプッシュする場合は、Alibaba Cloud Simple Log ServiceとCloudMonitorを併用できます。 このトピックでは、Simple Log Serviceでアラートを設定する方法について説明します。

ソリューションの概要

APIセキュリティモジュールでログサブスクリプション設定を構成すると、ログ配信が有効になります。 すべてのAPIセキュリティイベントはすぐに記録および保存されます。 詳細については、8をご参照ください。 サブスクリプションの設定を記録します。 Simple Log Serviceでサポートされているクエリおよび分析構文と、APIセキュリティアラートに含まれるログデータを使用して、アラートルールを作成できます。 次の方法を使用してアラートをプッシュできます。

方法1: Simple Log Serviceのアラートおよび通知機能を使用して、APIセキュリティイベントのアラートをプッシュします。

方法2: Simple Log Serviceのアラート機能とCloudMonitorの通知機能を使用して、APIセキュリティイベントのアラートをプッシュします。

前提条件

  • Simple Log Serviceが有効化されています。

  • CloudMonitorが有効化されています。 CloudMonitorを使用してアラートをプッシュする場合は、この前提条件が満たされていることを確認してください。

  • Logstoreが作成されます。 APIセキュリティログはLogstoreに配信されます。 詳細は、「Logstore」をご参照ください。

    説明

    ログを配信するLogstoreを選択すると、Simple Log Serviceによって自動的に作成されるlogstore、またはwaf-logstore、wafng-logstore、およびwafnew-Logstoreという名前のlogstoreを選択することはできません。

手順1: ログ配信の有効化とインデックスの作成

APIセキュリティによって検出された攻撃イベントを、指定したLogstoreに配信します。 その後、Simple Log Serviceを使用して、さまざまなレベルの攻撃イベントのアラートを設定できます。

  1. WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスのリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択できます。

  2. 左側のナビゲーションウィンドウで、保護設定 > APIセキュリティを選択します。

  3. [APIセキュリティ] ページで、[ポリシー設定] タブをクリックし、[ログサブスクリプション設定] タブをクリックします。

  4. [Attack EventInformation] セクションの [設定] をクリックします。

  5. [サブスクリプション情報の設定] ダイアログボックスで、ログが配信されるLogstoreのリージョン、Logstoreが属するプロジェクト、およびLogstoreを選択します。 image

  6. [Attack EventInformation] セクションのステータスがオンになっていることを確認します。

  7. Logstoreのインデックスを作成します。 この方法では、Simple Log Serviceでアラートを設定するときに、[クエリ統計] パラメーターのクエリステートメントでevent_levelフィールドを指定できます。 フィールドは、攻撃イベントのレベルを示す。 詳細については、「インデックスの作成」をご参照ください。

重要
  • Simple Log Serviceコンソールで作成したプロジェクト、Logstore、およびインデックスに追加料金が発生します。 料金はSimple Log Serviceの請求書に含まれています。 Simple Log Serviceの課金項目と料金の詳細については、「Simple Log Serviceの課金の概要」をご参照ください。

  • プロジェクトとLogstoreを作成した後、ログサブスクリプションタスクが無効になっていても課金されます。 したがって、Logstoreが不要になったことを確認した場合は、できるだけ早い機会にLogstoreを削除してください。 詳細については、「」をご参照ください。プロジェクトとLogstoreを作成するだけでも課金されるのはなぜですか?

手順2: Simple Log Serviceでのアラートルールの作成

さまざまなレベルのAPIセキュリティイベントを監視および処理するアラートルールを作成します。

アラートルールの作成

  1. Simple Log Serviceコンソールの左側のナビゲーションウィンドウで、アイコンをクリックしimageます。 [アラートセンター] ページで、[アラートの作成] をクリックします。 [アラートの作成] パネルが表示されます。

  2. [クエリ統計] の横にある [作成] をクリックします。 [クエリ統計] ダイアログボックスが表示されます。 image

  3. [クエリ統計] ダイアログボックスの [詳細設定] タブで、使用するLogstoreを選択します。 image

  4. クエリステートメントを入力し、ビジネス要件に基づいてクエリ時間範囲を指定します。

    image

    リスクレベルによるデータのフィルタリング

    次のクエリステートメントを使用して、ログをフィルタリングし、リスクレベルが高、中、または低のログを取得できます。

    /*Filter for high-risk data*/
    select event_level,COUNT(*) AS CNT WHERE event_level='high'
    
    /*Filter for medium-risk data*/
    select event_level,COUNT(*) AS CNT WHERE event_level='medium'
    
    /*Filter for low-risk data*/
    select event_level,COUNT(*) AS CNT WHERE event_level='low'
    クエリステートメントを指定して、リスクレベルでログをフィルタリングできます。
  5. [確認] をクリックします。 [アラートの作成] パネルが表示されます。 クエリ統計パラメーターの横に、指定したクエリ文を表示できます。

  6. Trigger Conditionパラメーターとアラートの重大度を設定します。

    CloudMonitorで通知設定を設定するには、[トリガー条件] パラメーターの重大度設定が必要です。 event_levelフィールドを使用して、クエリ文でイベントレベルを指定することを推奨します。 たとえば、event_levelフィールドにhighを指定できます。 image

    上記の設定は、この例の要件を満たすことができます。 さらに、ビジネス要件に基づいて、[頻度の確認][トリガー条件][グループ評価][回復通知][タグの追加] 、および [注釈の追加] パラメーターを設定できます。 詳細については、「アラートルールの作成」をご参照ください。 CloudMonitorを使用してアラートをプッシュする場合、[トリガー条件] パラメーターで指定された重大度は、作成したサブスクリプションポリシーのイベントレベルに対応します。
  7. アラートの送信先を指定します。

    Enableをオンにしないでください。 詳細については、「手順 3」をご参照ください。

    image

  8. [OK]をクリックします。 作成したアラートルールは、[アラートセンター] ページの [アラートルール] タブで表示できます。 アラートルールの設定は、Simple Log Serviceで完了しています。

手順3: アラートプッシュの設定

方法1: Simple Log Serviceを使用してアラートをプッシュする

この方法を選択した場合、Simple Log Serviceのアラートおよび通知機能は、APIセキュリティイベントのアラートをプッシュするために使用されます。

通知オブジェクトの設定

アラートを送信するオブジェクトを作成します。

  1. [アラートセンター] ページで、[通知オブジェクト] タブをクリックします。

  2. [ユーザー管理] タブで、[作成] をクリックします。 [ユーザーの作成] ダイアログボックスが表示されます。

    image

  3. [ユーザーの作成] ダイアログボックスに、作成するユーザーに関する情報を入力し、[有効] 、[テキストメッセージの受信] 、[電話の受信] をオンにします。

  4. [OK]をクリックします。 次に、現在のページを更新し、ユーザーが作成されたことを確認します。

アラートテンプレートの設定

アラートテンプレートを作成するときに、Contentパラメーターにカスタム値を指定できます。 たとえば、プッシュされたアラートにインスタンスID、アラートルール名、およびアラートの重大度が含まれるように指定できます。

  1. [アラートセンター] ページで、[通知管理] > [アラートテンプレート] を選択します。 On theアラートテンプレートタブをクリックします。作成.

  2. 表示されるダイアログボックスで、Contentパラメーターのカスタム値を指定します。 このパラメーターは、プッシュされたアラートの内容を指定します。

    image

    説明

    この図は、参照専用のいくつかのテンプレート変数を示しています。 [アラートテンプレート変数] をクリックすると、サポートされているすべてのテンプレート変数を表示できます。

  3. [確認]をクリックします。 次に、現在のページを更新し、アラートテンプレートが作成されていることを確認します。

アラート送信先の設定
  1. 作成したアラートルールを見つけ、[操作] 列の [編集] をクリックします。

  2. [Destination] パラメーターを [Simple Log Service Notification] に設定し、[Enable] をオンにします。

  3. アラートポリシーパラメーターを設定します。

    ほとんどの場合、シンプルモードを選択できます。 次に、使用する通知方法を指定し、[受信者の種類] パラメーターに [静的受信者] を選択し、アラートの送信先の受信者を指定して、使用するアラートテンプレートを選択します。 次の図は、サンプル構成を示しています。

    image

    説明

    シンプルモード: 通知方法、受信者、アラートテンプレート、および期間のパラメーターを設定します。

    標準モード: システム定義のアクションポリシーを選択するか、カスタムアクションポリシーを作成します。

    詳細モード: アクションポリシーアラートポリシーを選択します。

    Simple Log Serviceでサポートされている通知方法の詳細については、「通知方法」をご参照ください。 通知方法パラメータにSMSメッセージまたはボイスコールを選択した場合、追加料金が発生します。 詳細については、「課金機能の課金項目」をご参照ください。

  4. [OK]をクリックします。 設定が保存されます。

説明

より複雑な設定要件がある場合は、「宛先-簡易ログサービス通知」をご参照ください。

簡易ログサービス通知の有効化

  1. にログインします。Simple Log Serviceコンソール.

  2. [プロジェクト] セクションで、管理するプロジェクトをクリックします。

  3. 左側のナビゲーションウィンドウで、アイコンをクリックしimageます。 [アラートセンター] ページの [アラートルール] タブが表示されます。

  4. アラートルールが有効で、実行中の状態であることを確認します。

    image

方法2: CloudMonitorを使用してアラートをプッシュする

この方法を選択した場合、Simple Log Serviceのアラート機能とCloudMonitorの通知機能を使用して、APIセキュリティイベントのアラートをプッシュします。

Simple Log Serviceでアラート送信先を設定する

  1. 作成したアラートルールを見つけ、[操作] 列の [編集] をクリックします。

  2. [Destination] パラメーターを [CloudMonitor Event Center] に設定し、有効にします。 [OK]をクリックします。 設定が保存されます。

image

アラート連絡先とアラート連絡先グループの作成

CloudMonitorは、連絡先グループにのみ通知を送信できます。 したがって、連絡先を連絡先グループに追加する必要があります。

アラート連絡先の作成
  1. にログインします。CloudMonitorコンソール.

  2. 左側のナビゲーションウィンドウで、アラート > アラート連絡先.

  3. On theアラート連絡先タブをクリックします。アラート連絡先の作成.

  4. [アラート連絡先の設定] パネルで、作成する連絡先の名前、携帯電話番号、メールアドレス、およびwebhook URLを入力します

    . 他のパラメーターのデフォルト値を保持します。

  5. [OK]をクリックします。 [アラート連絡先] ページが表示されます。 連絡先が作成されたことを確認します。

アラート連絡先グループの作成
  1. をクリックし、アラート連絡先グループタブをクリックします。

  2. On theアラート連絡先グループタブをクリックします。アラート連絡先グループの作成.

  3. では、アラート連絡先グループの作成パネルで、アラート連絡先グループの名前を入力し、アラート連絡先グループにアラート連絡先を追加します。

  4. クリック確認.

通知ポリシーの作成

前提条件: アラート連絡先とアラート連絡先グループが作成されます。

  1. CloudMonitorコンソールに戻ります。

  2. 左側のナビゲーションウィンドウで、イベントセンター > 通知の設定.

  3. [通知設定] ページで、[ポリシーの作成] をクリックします。 [ポリシーの作成] パネルで、[名前] および [連絡先グループ] パラメーターを設定します。

    image

  4. [OK] をクリックします。

サブスクリプションポリシーの作成

  1. CloudMonitorコンソールに戻ります。

  2. 左側のナビゲーションウィンドウで、イベントセンター > イベントサブスクリプション.

  3. On theサブスクリプションポリシータブをクリックします。サブスクリプションポリシーの作成.

  4. [サブスクリプションポリシーの作成] ページで、パラメーターを設定します。 下表にパラメーターを示します。

    セクション

    説明

    基本情報

    サブスクリプションポリシーの名前を入力します。

    アラートサブスクリプション

    サブスクリプションタイプ: システムイベントを選択します。

    [製品]: [簡易ログサービス] を選択します。

    イベントタイプ: [起動] および [解決済み] を選択します。

    説明
    • 発火は、イベント名に対応して、アラートがトリガー状態にあることを示します。

      • CRITICALアラートイベント

      • INFOアラートイベント

      • 警告イベント

    • Resolvedは、イベント名: alert recovery eventに対応して、アラートが解決されたことを示します。

    イベント名: AlertEvent:CRITICALAlertEvent:INFOAlertEvent:RESOLVEDAlertEvent:WARNを選択します。

    イベントレベル: [重要] を選択します。

    説明

    ステップ2のトリガー条件はCriticalに設定されているため、イベントレベルはCriticalに設定されます。 [トリガー条件の重大度] が他のレベルに設定されている場合、次のように対応するイベントレベルを選択する必要があります。

    • トリガー条件がCriticalまたはHighに設定されている場合、イベントレベルはCriticalに設定されます。

    • トリガー条件が低または中に設定されている場合、イベントレベルは警告に設定されます。

    • トリガー条件がReportに設定されている場合、イベントレベルはInfoに設定されます。

    イベントの内容: 手順2: Simple Log Serviceでアラートルールを作成するで作成したアラートルールの名前を入力します。

    アプリケーションのグループ化イベントリソース: 2つのパラメーターを無視します。

    複合ノイズリダクション

    デフォルト値を保持します。

    通知

    [通知設定] パラメーターに作成した通知ポリシーを選択し、[カスタム通知方法] パラメーターのデフォルト値を保持します。

    重要

    CloudMonitorは、アラートテキストメッセージの無料クォータを提供します。 詳細については、「無料クォータ」をご参照ください。 通知方法として音声通話を使用する場合は、CloudMonitorコンソールにログインし、[CloudMonitor Basic] セクションの [今すぐ有効化] をクリックして、従量課金方法を有効にします。 詳細については、「CloudMonitor Basicの従量課金」をご参照ください。

    プッシュと統合

    このセクションでは、パラメーターを設定する必要はありません。

    アラートサブスクリプションの設定を図に示します。

    image

    説明

    上記の設定は参照用です。 ビジネス要件に基づいてパラメーターを設定できます。 詳細については、「サブスクリプションポリシーの作成」をご参照ください。

  5. [サブスクリプションポリシーの作成] ページの下部にある [送信] をクリックします。 [イベントサブスクリプション] ページが表示されます。 ポリシーが作成され、有効状態であることを確認します。

検証

アラートプッシュ設定が完了したら、受信者側でプッシュされたアラートの正確性を確認します。

CloudMonitorによってプッシュされたアラートの表示

  1. にログインします。CloudMonitorコンソール.

  2. 左側のナビゲーションウィンドウで、 [イベントセンター] > [イベントサブスクリプション] を選択します。 CloudMonitorコンソールでプッシュされた情報を確認します。

    image

  3. 受信者側でプッシュされた情報を確認します。

    テキストメッセージ

    image

    電子メール

    image

    音声通話

    image

Simple Log Serviceによってプッシュされたアラートの表示

1. [アラートルール] タブで、作成したアラートルールをクリックします。 [アラートの概要] ページが表示されます。 次に、[アラート履歴] セクションにアラートの詳細を表示します。

2. 受信者側で受信した情報とコンソールに表示された情報を比較します。 受信した情報の形式は、作成したアラートテンプレートで指定された形式と一致し、受信した情報の内容は、[アラート履歴] セクションに表示された情報と一致します。

image