すべてのプロダクト
Search
ドキュメントセンター

Web Application Firewall:セキュリティレポート

最終更新日:Nov 21, 2024

Web Application Firewall (WAF) では、基本保護ルール、IPアドレスブラックリスト、カスタムルールモジュールなど、すべての保護モジュールの保護の詳細を含むセキュリティレポートが提供されます。 セキュリティレポートに基づいて、ビジネスのセキュリティを分析できます。

前提条件

  • Webサービスは、保護されたオブジェクトとしてWAF 3.0に追加されます。 詳細については、「保護オブジェクトと保護オブジェクトグループの設定」をご参照ください。

  • 保護ルールは、保護オブジェクトに対して設定されます。

    デフォルトでは、基本保護ルールモジュールが有効になっています。 モジュールの保護ルールを設定する必要はありません。 他の保護モジュールを有効にするには、モジュールの保護ルールを設定する必要があります。 詳細については、「保護設定の概要」をご参照ください。

セキュリティレポートの表示

WAFコンソールにログインすると、WAFインスタンスがデプロイされているリージョンに基づくインターフェイスが表示されます。 WAFインスタンスが中国本土にデプロイされている場合、中国 (杭州) リージョンのインターフェイスに誘導されます。 WAFインスタンスが中国本土の外部にデプロイされている場合は、シンガポールリージョンのインターフェイスに誘導されます。

[セキュリティレポート] ページで、WAFに追加されたリソースの保護データとログを表示できます。

  1. WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスのリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択できます。

  2. 左側のナビゲーションウィンドウで、検出と応答 > セキュリティレポートを選択します。

  3. セキュリティレポートページで、レポートタイプ、保護対象オブジェクト、およびセキュリティレポートデータを照会する時間範囲を指定します。

    次のセクションでは、クエリ設定について説明します。

    • 保護されたオブジェクト: デフォルトでは、[すべて] が選択され、WAFのすべての保護されたオブジェクトのセキュリティレポートデータが照会されます。 特定の保護対象オブジェクトのセキュリティレポートデータを照会することもできます。

    • 時間範囲: デフォルトでは、[今日] が選択され、当日のセキュリティレポートデータが照会されます。 有効な値: 過去15分、過去30分、過去1時間、過去24時間昨日今日7日、または30日

    • テンプレート名: ボット管理テンプレートを指定して、テンプレートの保護の詳細を表示できます。

基本的な保護ルールモジュール

[基本保護ルール] タブで、基本保護ルールモジュールの保護の詳細を表示できます。 デフォルトでは、基本保護ルールモジュールが有効になっています。 [セキュリティレポート] ページで、基本保護ルールモジュールのセキュリティレポートを表示できます。 基本保護ルールモジュールのデフォルト設定を変更する方法の詳細については、「基本保護ルールとルールグループ」をご参照ください。

セクション

説明

サポートされる操作

攻撃タイプの分布

攻撃の分布を円グラフで表示します。

なし

トップ5攻撃者IPアドレス

攻撃の上位5つの送信元IPアドレスと、そのIPアドレスが配置されているリージョンを表示します。 IPアドレスは、攻撃回数の多い順にリストされている。

なし

トップ5攻撃者エリア

攻撃の数が最も多い上位5つの領域を表示します。 エリアは、攻撃の数が多い順にリストされている。

なし

保護の詳細

基本的な保護ルールに一致する攻撃に関する情報をリストに表示します。

リストには次の情報が含まれています。

  • 攻撃者IPアドレス: 攻撃の送信元IPアドレス。

  • エリア: 攻撃者のIPアドレスが配置されているエリア。

  • 攻撃時間: 攻撃の開始時間。

  • 攻撃タイプ: SQLインジェクションやコード実行など、攻撃のタイプ。

  • 攻撃URL: 攻撃のURL。

  • リクエストメソッド: 攻撃を開始するために使用されるメソッド。

  • リクエストパラメーター: 攻撃のリクエストパラメーター。

  • アクション: WAFが攻撃に対して実行したアクション。 有効な値: ブロックおよびモニター。 ブロックアクションは攻撃をブロックします。 Monitorアクションはリクエストを記録しますが、攻撃をブロックしません。

  • ルールID: 攻撃と一致する基本的な保護ルールのID。

  • 攻撃イベントのフィルターFilter attack events

    次のフィールドを使用して、攻撃イベントをフィルタリングできます。 攻撃イベントリストの上のフィールドを指定できます。

    • 保護タイプ: 基本保護ルールセマンティックベースの保護がサポートされています。

    • 攻撃タイプ: デフォルトでは、[すべて] が選択されています。 その他の有効な値: SQLインジェクションXSS攻撃コード実行ローカルファイルの包含リモートファイルの包含webshellカスタムルールその他

    • 攻撃者IPアドレス: デフォルトでは、このフィールドは指定されていません。

    • ルールID: デフォルトでは、このフィールドは指定されていません。

    • ルールアクション: デフォルトでは、[すべて] が選択されています。 その他の有効な値: BlockおよびMonitor

  • 攻撃の詳細を表示

    攻撃の詳細を表示するには、攻撃リストで攻撃を見つけ、[操作] 列の [詳細の表示] をクリックします。 [攻撃の詳細] パネルでは、[ルール名][ルールの説明][元のリクエストヘッダー][トレースID] など、攻撃と保護ルールに関する情報を取得できます。

  • 攻撃の管理

    攻撃リストで管理する攻撃を見つけ、[操作] 列の [偽陽性を無視] をクリックします。 [ルールの作成] ダイアログボックスで、ルール名を指定し、[OK] をクリックします。

    AutoTemplateという名前のテンプレートが作成され、そのテンプレートのホワイトリストルールが作成されます。 ホワイトリストルールのオリジンは [カスタム] です。 詳細については、「特定のリクエストを許可するホワイトリストルールの設定」をご参照ください。

IPアドレスブラックリスト、カスタムルール、スキャン保護、HTTPフラッド保護、リージョンブラックリストモジュール

[セキュリティレポート] ページで、[IPアドレスブラックリスト][カスタムルール][スキャン保護][HTTPフラッド保護] 、または [リージョンブラックリスト] タブで保護の詳細を表示できます。

セクション

説明

サポートされる操作

保護の概要

特定の時間範囲内の保護対象オブジェクトの [合計QPS][アラート] 、および [ブロックされたリクエスト] の傾向を折れ線グラフに表示します。 Total QPSは、保護されたオブジェクトによって受信された要求の総数を示します。 アラートは、モニターモードで保護ルールに一致するリクエストの数を示します。 ブロックされたリクエストは、保護ルールによってブロックされたリクエストの数を示します。

特定の時点のデータを表示するには、折れ線グラフのポイントの上にポインターを移動します。

トップ10ルール

特定の時間範囲で最も頻繁に一致する上位10個の保護ルールに関する情報を表示します。 情報には、ルール名 /ID保護オブジェクト、およびヒットが含まれます。 ルールは、一致数の降順にリストされます。

[ルール名 /ID] 列の复制图标アイコンをクリックして、保護ルールの名前またはIDをコピーします。

保護の詳細

特定の時間範囲内の保護モジュールの保護統計を表示します。

  • 上位10個の保護オブジェクト: 保護ルールに一致する上位10個の保護オブジェクトを表示します。 IPアドレスは、一致する数の降順にリストされる。

  • 上位10個のIPアドレス: 保護ルールに一致する上位10個のソースIPアドレスを表示します。 IPアドレスは、一致する数の降順にリストされる。

[トップ10保護オブジェクト] または [トップ10 IPアドレス] タブをクリックしてデータを表示します。

説明

[上位10ルール] および [保護の詳細] には、モニターモードの保護ルールと一致する保護の詳細は記録されません。

ボット管理モジュール

[セキュリティレポート] ページの [ボット管理] タブで、ボット管理モジュールの保護の詳細を表示できます。

セクション

説明

サポートされる操作

保護の概要

ボット管理モジュールの保護の詳細を特定の時間範囲で折れ線グラフに表示します。 保護の詳細には、リクエストに対して実行されるアクションと、一致するルールが含まれます。

  • 特定のアクションまたはルールをクリックして、折れ線グラフを表示または非表示にします。

  • 特定の時点のデータを表示するには、折れ線グラフのポイントにポインターを移動します。

一致したルール

ボット管理モジュールに設定された保護ルールのID、保護ルールが追加された保護テンプレート、およびMonitorモードの保護ルールが一致した回数が表示されます。

なし

上位20のIPアドレス

攻撃の上位20個の送信元IPアドレスと、そのIPアドレスから開始された攻撃の数を表示します。 攻撃には、ブロックされた攻撃、JavaScript検証が実行された攻撃、JavaScript検証に合格した攻撃、スライダーCAPTCHA検証が実行された攻撃、スライダーCAPTCHA検証に合格した攻撃が含まれます。

なし

攻撃の詳細

特定の時間範囲でボット管理モジュールに設定された保護ルールに一致するIPアドレスに関する情報を表示します。 この情報には、攻撃者IPアドレス、攻撃者IPアドレスが配置されているエリア、攻撃URL、一致したテンプレートの詳細、およびリクエスト数が含まれます。 一致したテンプレートの詳細には、テンプレート名、ルールID、ルール名、およびルールで指定されているアクションが含まれます。

攻撃者のIPアドレスリストで攻撃の詳細を表示するIPアドレスを見つけ、[操作] 列の [ホワイトリストに追加] または [ブラックリストに追加] をクリックします。

AutoTemplateという名前のテンプレートが作成され、そのテンプレートのホワイトリストルールまたはIPアドレスブラックリストルールが作成されます。 詳細については、「特定のリクエストを許可するためのホワイトリストルールの設定」および「特定のリクエストをブロックするためのIPアドレスブラックリストルールの設定」をご参照ください。

データ漏洩防止モジュール

[セキュリティレポート] ページの [データ漏洩防止] タブで、データ漏洩防止モジュールの保護の詳細を表示できます。

  • 特定の時間範囲内の保護対象オブジェクトのデータ漏洩防止モジュールに設定された保護ルールの一致詳細を表示できます。 詳細には、攻撃者IPアドレスエリア攻撃時間攻撃タイプ攻撃URL要求方法要求パラメータ、およびアクションが含まれます。

  • 攻撃者IPアドレスの保護の詳細を表示する場合は、攻撃者IPアドレスリストでIPアドレスを見つけ、[操作] 列の [詳細の表示] をクリックします。 [攻撃の詳細] パネルでは、保護の詳細を表示できます。