Webアプリケーションファイアウォール (WAF) でサポートされているメトリクスと、CloudMonitorコンソールでWAFによって検出されたセキュリティイベントのアラート通知ルールを設定できます。 このトピックでは、CloudMonitorを使用してWAFのモニタリングとアラートを設定する方法について説明します。
前提条件
Webサービスは、アクセス管理 ページでWAFに追加されます。 詳細については、「Webサイト設定の概要」をご参照ください。
アラーム送信先とアラーム送信先グループの作成
CloudMonitorコンソールにログインします。
左側のナビゲーションウィンドウで、を選択します。
アラート連絡先を作成します。
アラート連絡先タブでアラート連絡先の作成をクリックします。
[アラート送信先の設定] パネルで、
アラート連絡先の名前、メールアドレス、およびwebhook URLを入力します。 他のパラメーターのデフォルト値を保持します。
説明アラート通知の言語パラメーターがデフォルト値の自動に設定されていることを確認します。 これは、Alibaba Cloudアカウントの作成に使用する言語に基づいて、CloudMonitorがアラート通知の言語を自動的に選択することを示しています。
パラメーター値を確認し、[OK] をクリックします。
アラート連絡先グループを作成します。
アラート連絡先グループタブでアラート連絡先グループの作成をクリックします。
[アラート連絡先グループの作成] パネルで、作成するアラート連絡先グループの名前を指定し、グループに追加するアラート連絡先を選択します。 次に、[確認] をクリックします。
アラート送信先グループに複数のアラート送信先を追加します。
アラート連絡先タブで、アラート連絡先グループに追加するアラート連絡先を選択し、連絡先グループに追加をクリックします。
連絡先グループに追加ダイアログボックスで、アラート連絡先を追加するアラート連絡先グループを選択し、OKをクリックします。
アラート連絡先を作成し、アラート連絡先グループを作成し、アラート連絡先グループにアラート連絡先を追加すると、アラート連絡先はアラート通知を受信できます。 アラート連絡先は、アラート通知をチェックし、できるだけ早い機会にアラートを処理する必要があります。
WAFセキュリティイベントのモニタリングとアラートの設定
CloudMonitorコンソールにログインします。
左側のナビゲーションウィンドウで、を選択します。
[イベントモニタリング] タブで、右上隅の [古いイベントアラームルール] をクリックします。 次に、[アラートルールの作成] をクリックします。 表示されるダイアログボックスで、[レガシーシステムイベントのアラートルールは引き続き作成されます] を選択します。
イベントトリガーアラートルールの作成 /変更パネル、パラメータを設定し、OKをクリックします。 下表に、各パラメーターを説明します。
パラメーター
説明
アラートルール名
アラートルールの名前です。
製品タイプ
アラートルールを作成するAlibaba Cloudサービス。 [WAF] を選択します。
イベントタイプ
アラートルールを適用するセキュリティイベントのタイプ。 有効な値: Attack、Exceed、Event。
イベントレベル
アラートルールを適用するセキュリティイベントの重大度。 WAF 3.0によって検出されるすべてのセキュリティイベントの重大度はCRITICALです。
イベント名
アラートルールを適用するセキュリティイベントの名前。
説明[イベント名] ドロップダウンリストで、名前にv3が含まれるセキュリティイベントはWAF 3.0によって検出され、その他のセキュリティイベントはWAF 2.0によって検出されます。 WAF 2.0で検出できるセキュリティイベントの詳細については、「検出できるセキュリティイベント」をご参照ください。
キーワードフィルタリング
アラートルールで使用されるキーワード。 有効な値:
キーワードが含まれています: セキュリティイベントのコンテンツに指定されたキーワードが含まれている場合、CloudMonitorはアラート通知を送信します。
キーワードが含まれていません: セキュリティイベントのコンテンツに指定されたキーワードが含まれていない場合、CloudMonitorはアラート通知を送信します。
SQLFilter
フィルタリングに使用するSQL文。
リソース範囲
アラートルールを適用するリソースの範囲。 有効な値: [すべてのリソース] および [アプリケーショングループ] 。
通知方法
アラート連絡先グループ: アラート通知を送信するアラート連絡先グループ。 詳細については、「アラート送信先およびアラート送信先グループの作成」をご参照ください。
通知方法: トリガーできるアラートの重大度レベルと通知方法。 有効な値:
重要 (テキストメッセージ + メール + Webhook)
警告 (テキストメッセージ + メール + Webhook)
情報 (メール + Webhook)
SMQ
アラートが配信されるシンプルメッセージキュー (以前はMNS、SMQとも呼ばれます) キュー。
Function Compute
アラートが配信されるFunction Compute関数。
URLコールバック
アラート通知の送信先のコールバックURL。 インターネット経由でURLにアクセスできることを確認してください。 CloudMonitorは、アラート通知をプッシュするPOSTリクエストを送信します。 HTTPのみがサポートされています。 アラートコールバックを設定する方法の詳細については、「システムイベントトリガーアラートのコールバックの設定 (old) 」をご参照ください。
シンプルなLog Service
アラートが配信されるSimple Log Service Logstore。
ミュート用
既存のアラートがクリアされるまでにCloudMonitorがアラート通知を再送信する間隔。 有効な値: 5分、15分、30分、60分、3時間、6時間、12時間、24時間。
アラートルールを設定した後、保護されたオブジェクトでWAFによってセキュリティイベントが検出されると、アラートルールで指定した連絡先はアラート通知を受信できます。
[イベントモニタリング] タブで、[クラウドサービス] ドロップダウンリストから [WAF] を選択し、[SelectEvent name] ドロップダウンリストからv3を含むセキュリティイベントを選択し、[検索] をクリックしてWAF 3.0によって検出されたセキュリティイベントを照会します。
WAFメトリックのモニタリングとアラートの設定
CloudMonitorコンソールにログインします。
左側のナビゲーションウィンドウで、を選択します。
アラートルールページでアラートルールの作成をクリックします。
[アラートルールの作成] パネルでパラメーターを設定し、[確認] をクリックします。 下表にパラメーターを示します。
パラメーター
説明
プロダクト
アラートルールを作成するAlibaba Cloudサービス。 ドロップダウンリストからWAF3.0を選択します。
リソース範囲
アラートルールを適用するリソースの範囲。 有効な値:
すべてのリソース: アラートルールは、WAF 3.0のすべてのリソースに適用されます。
アプリケーショングループ: アラートルールは、WAF 3.0の指定されたアプリケーショングループ内のすべてのリソースに適用されます。
インスタンス: アラートルールは、WAF 3.0の指定されたリソースに適用されます。
ルールの説明
アラートルールの条件。 メトリックが指定された条件を満たす場合、アラートがトリガーされます。 条件を指定するには、次の手順を実行します。
[ルールの追加] をクリックします。
では、ルールの説明の設定パネルで、アラートルール、メトリックタイプ、メトリック、しきい値とアラートレベルのパラメーターを設定します。 そして、[OK] をクリックします。
説明モニタリング可能なWAF 3.0メトリックの詳細については、「モニタリング可能なメトリック」をご参照ください。
ミュート用
既存のアラートがクリアされるまでにCloudMonitorがアラート通知を再送信する間隔。 有効な値: 1分、5分、15分、30分、60分、3時間、6時間、12時間、24時間。
アラートルールの条件が満たされると、アラートがトリガーされます。 ミュート期間内にアラートが再トリガーされた場合、CloudMonitorはアラート通知を再送信しません。 ミュート期間が終了してもアラートがクリアされない場合、CloudMonitorはアラート通知を再送信します。
有効期間
アラートルールが有効になる期間。 CloudMonitorは指定されたリソースをモニタリングし、有効期間中のみアラートを生成します。
アラート連絡先グループ
アラート通知を送信するアラート連絡先グループ。 詳細については、「アラート送信先およびアラート送信先グループの作成」をご参照ください。
アラートコールバック
アラート通知の送信先のコールバックURL。 インターネット経由でURLにアクセスできることを確認してください。 CloudMonitorは、アラート通知をプッシュするPOSTリクエストを送信します。 HTTPのみがサポートされています。 アラートコールバックを設定する方法の詳細については、「アラートコールバック機能を使用してしきい値トリガーアラートに関する通知を送信する」をご参照ください。
説明[詳細設定] をクリックすると、このパラメーターを設定できます。
Auto Scaling
[Auto Scaling] をオンにすると、アラートがトリガーされたときに指定されたスケーリングルールが有効になります。 リージョン、ESSグループ、およびESSルールパラメーターを設定する必要があります。
スケーリンググループの作成方法の詳細については、「スケーリンググループの管理」をご参照ください。
スケーリングルールの作成方法の詳細については、「スケーリングルールの管理」をご参照ください。
説明[詳細設定] をクリックすると、このパラメーターを設定できます。
Log Service
Log Serviceをオンにすると、アラートがトリガーされると、アラート情報がSimple Log Serviceの指定されたLogstoreに書き込まれます。 Region、ProjectName、およびLogstoreパラメーターを設定する必要があります。 プロジェクトとLogstoreの作成方法の詳細については、「はじめに」をご参照ください。
説明[詳細設定] をクリックすると、このパラメーターを設定できます。
Simple Message Queue (formerly MNS) -トピック
[Simple Message Queue (以前のMNS) - Topic] をオンにすると、アラートがトリガーされると、アラート情報が [Simple Message Queue (以前のMNS)] の指定されたトピックに書き込まれます。 Simple Message Queue (旧MNS) トピックのRegionおよびtopicNameパラメーターを設定する必要があります。 トピックの作成方法の詳細については、「トピックの作成」をご参照ください。
説明[詳細設定] をクリックすると、このパラメーターを設定できます。
モニタリングデータが見つからない場合にアラートを処理する方法
モニタリングデータが存在しない場合にアラートを処理するために使用されるメソッド。 有効な値:
何もしない (デフォルト値)
アラート通知の送信
通常通り
説明[詳細設定] をクリックすると、このパラメーターを設定できます。
タグ
アラートルールのタグ。 タグは、タグ名とタグ値で構成されます。
アラートルールを作成したら、[アラートルール] ページでルールを表示できます。 次の操作を実行して、特定のメトリック用に作成されたアラートルールを検索することもできます。[製品] ドロップダウンリストからWAF3.0を選択し、[メトリック名] ドロップダウンリストからリソースを選択します。 次に、右側に表示されているメトリックからメトリックを選択します。
説明次のリストでは、CloudMonitorによってモニタリングできるWAFメトリクスについて説明します。
[メトリック名] ドロップダウンリストから [ドメイン] を選択した場合、右側に表示されるメトリックは、監視可能なWAF 2.0メトリックです。
[メトリック名] ドロップダウンリストから [リソース] を選択した場合、右側に表示されるメトリックは、監視可能なWAF 3.0メトリックです。 モニタリング可能なWAF 3.0メトリックの詳細については、「モニタリング可能なメトリック」をご参照ください。
[メトリック名] ドロップダウンリストから [インスタンス] を選択した場合、右側に表示されるメトリックは、モニタリング可能なHybrid Cloud WAFメトリックです。 名前にv3が含まれるメトリックはWAF 3.0メトリックで、その他のメトリックはWAF 2.0メトリックです。
検出できるセキュリティイベント
CloudMonitorを使用して、保護されたオブジェクトで発生するセキュリティイベントのモニタリングとアラートを設定できます。 詳細については、「WAFセキュリティイベントのモニタリングとアラートの設定」をご参照ください。
イベントタイプ | イベント名 | 重大度レベル | トリガー条件 |
攻撃 | wafv3_event_aclattack (カスタムルール) | CRITICAL | システムは、スライディングウィンドウを使用してイベントを正確に監視し、イベント統計を収集します。 10分のスライディングウィンドウを使用し、統計値を毎分収集する。 統計値は、1分以内にブロックされた攻撃の数を示します。 イベントは、次の条件が満たされたときにトリガーされます。
現在の1分間にブロックされた攻撃の数が前の11分間の平均数よりも少ない場合、イベントはトリガーされなくなります。 |
攻撃 | wafv3_event_ccattack | ||
攻撃 | wafv3_event_webattack | ||
攻撃 | wafv3_event_webscan | ||
超過 | xray_wafv3_event_qps_exceed | このイベントは、QPS制限を超えたときにトリガーされます。 詳細については、「エディション」をご参照ください。 | |
超過 | xray_wafv3_event_cost_protection | このイベントは、トラフィック課金保護のしきい値を超えたときにトリガーされます。 | |
Event | wafv3_event_apisec | このイベントは、APIセキュリティモジュールによって高リスクまたは高リスクイベントが検出されたときにトリガーされます。 |
モニタリング可能なメトリック
CloudMonitorを使用して、次のメトリクスのモニタリングとアラートを設定できます。 詳細については、「メトリクスのモニタリングとアラートの設定」をご参照ください。
WAFで手動で追加された保護オブジェクトは、4XX_ratio_v3、5XX_ratio_v3、qps_v3、qps_ratio_v3、qps_ratio_down_v3などのトラフィック関連のメトリックをサポートしません。
メトリック | 寸法 | 説明 | 補足 |
4XX_ratio_v3 | 保護されたオブジェクト | 1分あたりに返されるHTTP 4xxステータスコードの割合。 HTTP 405ステータスコードはカウントされません。 | 値は10進数で表示されます。 |
5XX_ratio_v3 | 保護されたオブジェクト | 1分あたりに返されるHTTP 5xxステータスコードの割合。 | 値は10進数で表示されます。 |
acl_blocks_5m_v3 | 保護されたオブジェクト | 過去5分間にアクセス制御ポリシーに基づいてブロックされたリクエストの数。 | なし。 |
acl_rate_5m_v3 | 保護されたオブジェクト | 過去5分間にアクセス制御ポリシーに基づいてブロックされたリクエストの割合。 | 値は10進数で表示されます。 |
cc_blocks_5m_v3 | 保護されたオブジェクト | 過去5分間にHTTPフラッド保護ルールに基づいてブロックされたリクエストの数。 | なし。 |
cc_rate_5m_v3 | 保護されたオブジェクト | 過去5分間にHTTPフラッド保護ルールに基づいてブロックされたリクエストの割合。 | 値は10進数で表示されます。 |
waf_blocks_5m_v3 | 保護されたオブジェクト | 過去5分間にwebアプリケーションの攻撃防止ルールに基づいてブロックされたリクエストの数。 | なし。 |
waf_rate_5m_v3 | 保護されたオブジェクト | 過去5分間にwebアプリケーションの攻撃防止ルールに基づいてブロックされたリクエストの割合。 | 値は10進数で表示されます。 |
QPS_V3 | 保護されたオブジェクト | 1秒あたりのクエリ数 (QPS) 。 | なし。 |
qps_ratio_v3 | 保護されたオブジェクト | QPSの1分あたりの成長率。 | 値はパーセンテージで表示されます。 |
qps_ratio_down_v3 | 保護されたオブジェクト | QPSの1分あたりの減少率。 | 値はパーセンテージで表示されます。 |
関連ドキュメント
APIセキュリティモジュールによって検出された高リスクのアラートをプッシュするために使用できるのは、CloudMonitorのみです。 低リスクおよび中リスクのアラートをプッシュする場合は、「APIセキュリティアラートをプッシュするためのベストプラクティス」に記載されている手順に従ってください。