Web Application Firewall (WAF) セキュリティレポートは、さまざまな WAF モジュールにおける緩和ルールの保護レコードを表示します。これらのレポートを使用して、有効化されたコア Web 保護ルール、IP ブラックリストルール、カスタムルールなどからの保護データを表示し、ビジネスセキュリティ分析に役立てることができます。
前提条件
Web サービスを 保護オブジェクトおよび保護オブジェクトグループ として WAF 3.0 に追加済みであること。
保護オブジェクトの緩和ルールを構成する際、[コア Web 保護ルール] モジュールはデフォルトで有効になっており、手動での構成は不要です。ただし、他の緩和モジュールは、特定のルールを構成した後にのみ有効になります。詳細については、「緩和設定の概要」をご参照ください。
セキュリティレポートの表示
リクエスト量が多い場合、セキュリティレポートは動的サンプリングとデータ復元のメカニズムを使用します。システムは、平均クエリ/秒 (QPS) に基づいてサンプリング比率を自動的に調整し、この比率に基づいて統計結果を復元します。レポートには、攻撃の傾向と分布を正確に反映する 推定完全データ が表示されます。詳細な分析やコンプライアンス監査のために完全な生ログを取得するには、Simple Log Service を有効にできます。
WAF には、中国 (杭州) とシンガポールにコントロールプレーンがあります。中国本土の WAF インスタンスは、中国 (杭州) のコントロールプレーンによって管理されます。中国本土以外の WAF インスタンスは、シンガポールのコントロールプレーンによって管理されます。
Web Application Firewall 3.0 コンソールの[セキュリティレポート] ページには、攻撃トレンドグラフ、攻撃タイプ分布グラフ、ヒット数のトップ 5 統計、ログリストの 4 つのセクションに情報が表示されます。[簡易検索] または [詳細検索] を使用して、フィルター条件を設定し、セキュリティレポートデータを取得できます。
簡易検索 | 高度な検索 |
|
|
時間範囲 (図 ①)。デフォルトでは、[今日] のデータが表示されます。[過去 15 分、過去 30 分、過去 1 時間、過去 24 時間]、[今日]、[昨日]、[過去 7 日間]、または [過去 30 日間] のデータをクエリできます。 | |
カスタム日付範囲 (図 ②)。必要に応じて特定の期間を選択し、セキュリティレポートデータをより正確に表示します。 | |
保護オブジェクト (図 ③)。デフォルトでは、[すべてのオブジェクト] が選択されており、WAF によって保護されているすべてのオブジェクトのデータをクエリします。単一のオブジェクトのデータをクエリすることもできます。 | フィルター条件の設定 (図 ③)。最大 10 個まで複数のフィルター条件を追加できます。 |
ソース IP またはトレース ID を入力します (図 ④)。 | \ |
攻撃トレンドグラフ
攻撃トレンドグラフでは、アラートとブロックされたリクエストのトレンドを表示できます。デフォルトでは、すべての保護オブジェクトのデータが表示されます。グラフは、設定したフィルター条件に基づいて動的に更新されます。トレンドグラフ上の任意の点にマウスを合わせると、その時点でのアラートとブロックされたリクエストの数が表示されます。
ブロック済み: ブロック 操作によってブロックされたリクエスト、または JS チャレンジ、スライダー、厳密なスライダー、動的トークン などのセキュリティチェックに失敗したリクエスト。
アラート: ルールにヒットし、監視 操作をトリガーしたリクエストを記録します。
攻撃タイプ分布グラフ
このグラフは、ルールヒットの総数を示します。単一のリクエストが複数の緩和モジュールまたはルールにヒットする可能性があります。[コア Web 保護ルール]、[IP ブラックリスト]、[カスタムルール]、[スキャン保護]、[HTTP フラッド保護]、[ロケーションブラックリスト]、[ボット保護]、[データ漏洩防止]、[ピークトラフィックスロットリング]、および [AI アプリケーション保護] のヒットを表示できます。
円グラフの [コア Web 保護ルール] セクションをクリックすると、SQL インジェクション、XSS、コード実行などの攻撃タイプの分布を示す別の円グラフが表示されます。
円グラフ内の他の緩和モジュールをクリックすると、ルールヒットの割合を示す円グラフが表示されます。
上位 5 件のヒット統計
[ソース IP]、[保護オブジェクト]、[ルールヒット]、[保護された URL]、[攻撃ソースエリア]、および [攻撃 UA] のヒット統計を表示できます。
データの型 | 説明 | サポートされる操作 |
ソース IP | 最も多くの攻撃リクエストを開始した上位 5 つの IP とそのリージョン。 | ターゲットのデータの型にマウスを合わせ、[フィルター] または [除外] をクリックして、対応するフィルター条件を直接生成します。 |
保護された URL | 最も頻繁にルールにヒットした上位 5 つの URL。 | |
攻撃ソースエリア | 最も多くの攻撃リクエストを開始した上位 5 つのリージョン。 | |
攻撃 UA | 最も多くの攻撃を開始した上位 5 つの User-Agent。 | |
保護オブジェクト | 最も頻繁に緩和ルールをトリガーした上位 5 つの保護オブジェクト。 | ターゲットのデータの型にマウスを合わせ、[フィルター] または [除外] をクリックして、対応するフィルター条件を直接生成します。[緩和ルールの表示] をクリックして、その保護オブジェクトの特定の緩和ルールに移動します。 |
ルールヒット | 最も頻繁にヒットした上位 5 つの緩和ルールの ID。 説明 単一のリクエストが複数のルールにヒットする可能性があります。 |
ログリスト
[攻撃 IP]、[リージョン]、[保護オブジェクト]、[攻撃時間]、[ホスト]、[攻撃 URL]、[プロトコル]、[ポート]、[リクエストメソッド]、[リクエストパラメーター]、[ルールアクション]、[緩和モジュール]、[ルール ID]、および [AI 分析] の詳細を表示できます。右上隅の 
アイコンをクリックして、リストに表示される情報をカスタマイズします。
攻撃イベントの [操作] 列で、[詳細の表示] をクリックして [攻撃の詳細] を表示し、攻撃イベントと緩和ルールの詳細情報を確認できます。
ログエントリが誤検知であることを確認した場合、その攻撃イベントの [操作] 列にある [誤検知の処理] をクリックできます。ホワイトリストルールの条件を確認した後、[OK] をクリックします。
ルールを作成すると、WAF は自動的に [AutoTemplate] という名前のテンプレートを作成し、ホワイトリストルール を追加します。ルールソースは [カスタム] に設定されます。
[AI 分析] 列のアイコンをクリックすると、単一のログエントリに対してセキュリティ AI アシスタント分析を実行できます。この機能は現在、コア Web 保護ルールによって生成されたログのみをサポートしています。他のログタイプやハイブリッドクラウド接続タイプのログ分析はサポートしていません。
単一のリクエストが複数の緩和モジュールまたはルールにヒットする可能性があります。[ルール ID] にマウスを合わせるか、[詳細の表示] をクリックすると、ヒットしたルールの特定の ID を確認できます。
