すべてのプロダクト
Search
ドキュメントセンター

Web Application Firewall:重要イベントの保護

最終更新日:Jul 01, 2024

メジャーイベント保護機能は、特定の時間範囲のメジャーイベントをカスタムで正確に保護します。 このトピックでは、主要なイベント保護機能を有効にして使用する方法について説明します。

課金の概要

重要

製品やサービスの価格は変わる場合があります。 最終的な金額については、Alibaba Cloudの請求書を参照してください。

項目

説明

課金方法

メジャーイベント保護機能を使用するには、その機能を購入する必要があります。 料金は、機能の有効期間によって異なります。 有効期間は 30 日以上である必要があります。

有効期間

メジャーイベント保護機能は、購入後すぐに有効になります。 サブスクリプション期間パラメーターには、主要なイベント保護機能の有効期間を指定します。

有効期間が終了すると、主要なイベント保護機能はサービスの保護を停止します。

更新ポリシー

メジャーイベント保護機能は自動更新をサポートしていません。 メジャーイベント保護機能を引き続き使用する場合は、有効期間が終了した後に機能を再度有効にします。

返金ポリシー

メジャーイベント保護機能を有効にすると、有効期間中に機能を無効にしたり、払い戻しを申請したりすることはできません。 ビジネス要件に基づいて機能を有効にすることを推奨します。

前提条件

  • Web Application Firewall (WAF) 3.0インスタンスが購入されました。 詳細については、「サブスクリプションWAF 3.0インスタンスの購入」および「従量課金WAF 3.0インスタンスの購入」をご参照ください。

    主要なイベント保護機能を有効にするために実行できる操作は、WAFインスタンスのエディションによって異なります。

    エディション

    メジャーイベント保護がデフォルトで有効になっているかどうか

    説明

    サブスクリプションUltimate Edition

    デフォルトでは、メジャーイベント保護機能が有効になっています。

    サブスクリプションPro Edition、サブスクリプションEnterprise Edition、およびPay-as-you-go Edition

    いいえ。 WAFインスタンスのエディションを一時的にアップグレードすることで、メジャーイベント保護機能を有効にできます。

    サブスクリプションBasic Edition

    いいえ。 メジャーイベント保護機能を有効にすることはできません。

  • Webサービスは、CNAMEレコードモードまたはクラウドネイティブモードでWAFに追加されます。 webサービスがクラウドネイティブモードでWAFに追加されている場合、webサービスはレイヤー4 Classic Load Balancer (CLB) 、レイヤー7 CLB、またはElastic Compute Service (ECS) インスタンスにデプロイする必要があります。 詳細については、「Webサイト設定の概要」をご参照ください。

    説明

    クラウドネイティブモードでWAFに追加される次のリソース (Application Load Balancer (ALB) インスタンス、Microservices Engine (MSE) インスタンス、またはFunction Computeでwebアプリケーションにバインドされたカスタムドメイン名) では、この機能を有効にすることはできません。

メジャーイベント保護機能の有効化

  1. WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスがデプロイされているリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択します。

  2. 左側のナビゲーションウィンドウで、保護設定 > シナリオベースの保護 > 再保護シナリオの保護 を選択します。

  3. [主要イベントの保護の有効化] をクリックします。 表示されるページで、メジャーイベント保護機能を有効にし、[サブスクリプション期間] パラメーターを設定します。

  4. 読んで利用規約を選択し、[今すぐ購入] をクリックして支払いを完了します。

    メジャーイベント保護機能を有効にすると、[メジャーイベントの保護] ページの [メジャーイベントの保護計画] セクションで、メジャーイベントの保護ルールの数、脅威インテリジェンスルールの数、ブラックリストのIPアドレスの数、およびIPアドレスの総数を表示できます。

主要なイベント保護ルールテンプレートの作成

メジャーイベント保護機能を使用する前に、メジャーイベント保護ルールテンプレートを作成する必要があります。 最大20の主要なイベント保護ルールテンプレートを作成できます。

  1. WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスがデプロイされているリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択します。

  2. 左側のナビゲーションウィンドウで、保護設定 > シナリオベースの保護 > 再保護シナリオの保護 を選択します。

  3. 保護テンプレートタブで、テンプレートの作成をクリックします。

  4. [メジャーイベントの保護テンプレートの作成] パネルで、パラメーターを設定します。 下表にパラメーターを示します。

    1. 基本情報を設定し、次へ.

      パラメーター

      説明

      テンプレート名

      テンプレートの名前を指定します。

      テンプレートの名前は1 ~ 255文字で、英数字、ピリオド (.) 、アンダースコア (_) 、ハイフン (-) を使用できます。

      保護機能

      保護ルールを設定し、保護アクションを設定します。

      • Threat Intelligence for Protection for Major Events: この機能は、悪意のあるIPアドレスのAlibaba Cloudライブラリに基づいて攻撃者を正確に識別できます。 デフォルトでは、この機能は有効になっており、保護アクションは [モニター] に設定されています。

      • メジャーイベントの保護ルールグループ: この機能は、インテリジェント保護モデルに基づいて、各ユーザーに正確な保護ルールを提供します。 デフォルトでは、この機能は有効になっており、保護アクションは [モニター] に設定されています。

      • IP Address Blacklist for Protection for Major Events: この機能は、ブラックリスト内の50,000のカスタムIPアドレスまたはCIDRブロックをサポートします。

      • Shiro Deserializationの脆弱性の防止: この機能は、cookie暗号化技術を使用してApache Shiro Javaの非シリアル化の脆弱性から防御します。

      申請先

      テンプレートを適用する保護オブジェクトと保護オブジェクトグループを選択します。

    2. 基本情報ステップで主要なイベント保護のためのIPアドレスブラックリスト機能を有効にする場合は、[IPアドレスブラックリストの設定] ステップでパラメーターを設定する必要があります。 次に、[次へ] をクリックします。 下表に、各パラメーターを説明します。

      パラメーター

      操作

      IPアドレスブラックリストの追加

      [IPアドレスブラックリストの追加] をクリックして、IPアドレスをブラックリストに追加します。

      1. [IPアドレスブラックリスト] フィールドに、ブラックリストに追加するIPアドレスを入力し、enterキーを押します。

        説明

        CIDRブロックとIPv6アドレスがサポートされています。 最大500のCIDRブロックまたはIPv6アドレスを指定できます。 複数のCIDRブロックまたはIPv6アドレスは、改行またはコンマ (,) で区切ります。

      2. [End At] パラメーターを設定して、設定を無効にする日時を指定します。 有効な値:

        • 永久に効果的

        • カスタムを使用します。 日付と時刻を指定するには、日付と時刻ピッカーをクリックします。

      3. [備考] フィールドに説明を入力し、[OK] をクリックします。

        ブラックリストにIPアドレスを追加した後、[IPアドレスブラックリストの設定] ステップで追加したIPアドレスを表示できます。

      IPアドレスブラックリストのインポート

      [IPアドレスブラックリストのインポート] をクリックして、複数のIPアドレスを含むブラックリストをインポートします。

      1. [ファイルのアップロード] をクリックし、インポートするIPアドレスブラックリストファイルを選択します。

        重要
        • CSVファイルがサポートされています。

        • IPv4アドレス、IPv6アドレス、およびCIDRブロックがサポートされています。

        • 一度にインポートできるファイルは1つだけです。 各ファイルには、最大2,000個のIPアドレスまたはCIDRブロックを含めることができます。 ファイルのサイズは1 MBを超えることはできません。

        • 多数のIPアドレスを一括でインポートできます。

      2. [End At] パラメーターを設定して、設定を無効にする日時を指定します。 有効な値:

        • 永久に効果的

        • カスタムを使用します。 日付と時刻を指定するには、日付と時刻ピッカーをクリックします。

      3. [備考] フィールドに説明を入力し、[OK] をクリックします。

        ブラックリストにIPアドレスを追加した後、[IPアドレスブラックリストの設定] ステップで追加したIPアドレスを表示できます。

      すべてのIPアドレスの削除

      ブラックリストに追加したIPアドレスをブロックする必要がなくなった場合は、[すべてのIPアドレスを削除] をクリックして、ブラックリストからすべてのIPアドレスを削除します。

      期限切れのIPアドレスの削除

      IPアドレスの有効期間が終了したら、[期限切れのIPアドレスを削除] をクリックして、期限切れのIPアドレスをすべてブラックリストから削除します。

  5. 完了をクリックします。

    デフォルトでは、新しいメジャーイベント保護ルールテンプレートが有効になっています。 主要なイベント保護ルールテンプレートリストでは、次の操作を実行できます。

    • テンプレートに関連付けられている保護ルールの数と保護オブジェクトと保護オブジェクトグループの数を表示します。

    • [ステータス] 列のスイッチをオンまたはオフにして、テンプレートを有効または無効にします。

    • [操作] 列で、[編集][削除] 、または [コピー] をクリックして、テンプレートを変更、削除、またはコピーします。

    • 主要なイベント保護のためのIPアドレスブラックリスト機能を有効にした場合、[IPアドレスブラックリストの編集] をクリックしてIPアドレスブラックリストを変更します。

主要なイベント保護に関する統計を表示する

  1. WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスがデプロイされているリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択します。

  2. 左側のナビゲーションウィンドウで、保護設定 > シナリオベースの保護 > 再保護シナリオの保護 を選択します。

  3. [セキュリティレポート] タブでは、次の情報を表示できます。

    重保场景防护

    • [統計] セクションでは、[リクエストの総数][ブロックされたリクエストの数] を表示できます。 特定の時間範囲の保護ルールと関連データを円グラフで表示することもできます。

    • メジャーイベントの保護計画セクションでは、メジャーイベント保護のルール数脅威インテリジェンスルール数ブラックリスト内のIPアドレス数、および特定の時間範囲でブラックリストに追加できるIPアドレスの最大数を表示できます。

    • [セキュリティレポート] タブで、セキュリティレポートデータを照会する保護オブジェクトと時間範囲を指定できます。

      • 保護オブジェクト: デフォルトでは、[すべて] が選択され、WAF内のすべての保護オブジェクトのセキュリティレポートデータが取得されます。 特定の保護対象オブジェクトのセキュリティレポートデータを照会することもできます。

      • 時間範囲: デフォルトでは、[今日] が選択され、当日のセキュリティレポートデータが取得されます。 昨日今日7日間30日間、または過去30日間の時点を選択して、対応する時間範囲のデータを表示できます。

      セキュリティレポートのデータを次の表に示します。

      カテゴリ

      説明

      サポートされる操作

      攻撃統計 (前の図で1とラベル付け)

      保護対象オブジェクトが特定の時間範囲で受信した攻撃の統計分析結果を表示します。

      • 攻撃タイプの分布

        攻撃の内訳を円グラフで表示します。

      • トップ5攻撃

        [attacked Object] タブで最も頻繁に攻撃される保護対象オブジェクトの上位5つと、[Attacker IP Address] タブで最も頻繁に攻撃が開始されるIPアドレスの上位5つを表示します。 保護されたオブジェクトまたはIPアドレスは、攻撃の数に基づいて降順にリストされます。

      なし

      攻撃イベントレコード (前の図のラベル2)

      基本的な保護ルールに一致する攻撃に関する情報をリストに表示します。

      リストには次の情報が含まれています。

      • 攻撃者IPアドレス: 攻撃の送信元IPアドレス。

      • エリア: 攻撃者のIPアドレスが配置されているエリア。

      • 攻撃時間: 攻撃の開始時間。

      • 攻撃タイプ: SQLインジェクションやコード実行など、攻撃のタイプ。

      • ルールタイプ: メジャーイベント保護のルールグループやメジャーイベント保護の脅威インテリジェンスなど、ルールのタイプ。

      • アクション: WAFがリクエストに対して実行するアクション。 アクションは [ブロック] または [モニター] です。 ブロックアクションはリクエストをブロックします。 Monitorアクションはリクエストを記録しますが、リクエストはブロックしません。

      • 攻撃イベントのフィルターFilter attack events

        攻撃イベントリストの上部では、次のフィールドを使用して攻撃イベントをフィルタリングできます。

        • 攻撃タイプ: 有効な値: すべてSQLインジェクションXSS攻撃コード実行ローカルファイルの包含リモートファイルの包含Webshellその他。 デフォルト値は All です。

        • ルールタイプ: 有効な値: すべて主要イベントの保護ルールグループ主要イベントの保護の脅威インテリジェンス主要イベントの保護のIPアドレスブラックリスト、およびShiro Deserialization Vulnerability Prevention。 デフォルト値は All です。

        • ルールアクション: 有効値: AllBlockMonitor。 デフォルト値は All です。

      • 攻撃の詳細を表示

        詳細を表示する攻撃イベントを見つけて、[操作] 列の [詳細の表示] をクリックします。 次に、攻撃イベントの詳細を表示できます。 詳細には、攻撃の種類と、攻撃と一致する保護ルールのID、名前、説明、およびアクションが含まれます。

      リアルタイム脅威インテリジェンス (前の図で3とラベル付け)

      攻撃者のIPアドレスの脅威インテリジェンスに関する次の情報を表示します。

      • 攻撃者のIPアドレスと対応する属性。

      • 攻撃者のIPアドレスが属するエリア。

      • 前の1時間に発生した攻撃の数。

      • 攻撃のタイプ。

      攻撃者のIPアドレスのリアルタイム脅威インテリジェンスを照会します。

      照会するIPアドレスを入力し、imageアイコンをクリックして、IPアドレスのリアルタイム脅威インテリジェンスを照会します。