Web Application Firewall (WAF) では、基本保護ルール、IPアドレスブラックリスト、カスタムルールモジュールなど、すべての保護モジュールの保護の詳細を含むセキュリティレポートが提供されます。 セキュリティレポートに基づいて、ビジネスのセキュリティを分析できます。
前提条件
Webサービスは、保護されたオブジェクトとしてWAF 3.0に追加されます。 詳細については、「保護オブジェクトと保護オブジェクトグループの設定」をご参照ください。
保護ルールは、保護オブジェクトに対して設定されます。
デフォルトでは、基本保護ルールモジュールが有効になっています。 モジュールの保護ルールを設定する必要はありません。 他の保護モジュールを有効にするには、モジュールの保護ルールを設定する必要があります。 詳細については、「保護設定の概要」をご参照ください。
セキュリティレポートの表示
WAFコンソールにログインすると、WAFインスタンスがデプロイされているリージョンに基づくインターフェイスが表示されます。 WAFインスタンスが中国本土にデプロイされている場合、中国 (杭州) リージョンのインターフェイスに誘導されます。 WAFインスタンスが中国本土の外部にデプロイされている場合は、シンガポールリージョンのインターフェイスに誘導されます。
[セキュリティレポート] ページで、WAFに追加されたリソースの保護データとログを表示できます。
WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスのリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択できます。
左側のナビゲーションウィンドウで、を選択します。
セキュリティレポートページで、レポートタイプ、保護対象オブジェクト、およびセキュリティレポートデータを照会する時間範囲を指定します。
次のセクションでは、クエリ設定について説明します。
保護されたオブジェクト: デフォルトでは、[すべて] が選択され、WAFのすべての保護されたオブジェクトのセキュリティレポートデータが照会されます。 特定の保護対象オブジェクトのセキュリティレポートデータを照会することもできます。
時間範囲: デフォルトでは、[今日] が選択され、当日のセキュリティレポートデータが照会されます。 有効な値: 過去15分、過去30分、過去1時間、過去24時間、昨日、今日、7日、または30日。
テンプレート名: ボット管理テンプレートを指定して、テンプレートの保護の詳細を表示できます。
基本的な保護ルールモジュール
[基本保護ルール] タブで、基本保護ルールモジュールの保護の詳細を表示できます。 デフォルトでは、基本保護ルールモジュールが有効になっています。 [セキュリティレポート] ページで、基本保護ルールモジュールのセキュリティレポートを表示できます。 基本保護ルールモジュールのデフォルト設定を変更する方法の詳細については、「基本保護ルールとルールグループ」をご参照ください。
セクション | 説明 | サポートされる操作 |
攻撃タイプの分布 | 攻撃の分布を円グラフで表示します。 | なし |
トップ5攻撃者IPアドレス | 攻撃の上位5つの送信元IPアドレスと、そのIPアドレスが配置されているリージョンを表示します。 IPアドレスは、攻撃回数の多い順にリストされている。 | なし |
トップ5攻撃者エリア | 攻撃の数が最も多い上位5つの領域を表示します。 エリアは、攻撃の数が多い順にリストされている。 | なし |
保護の詳細 | 基本的な保護ルールに一致する攻撃に関する情報をリストに表示します。 リストには次の情報が含まれています。
|
|
IPアドレスブラックリスト、カスタムルール、スキャン保護、HTTPフラッド保護、リージョンブラックリストモジュール
[セキュリティレポート] ページで、[IPアドレスブラックリスト] 、[カスタムルール] 、[スキャン保護] 、[HTTPフラッド保護] 、または [リージョンブラックリスト] タブで保護の詳細を表示できます。
セクション | 説明 | サポートされる操作 |
保護の概要 | 特定の時間範囲内の保護対象オブジェクトの [合計QPS] 、[アラート] 、および [ブロックされたリクエスト] の傾向を折れ線グラフに表示します。 Total QPSは、保護されたオブジェクトによって受信された要求の総数を示します。 アラートは、モニターモードで保護ルールに一致するリクエストの数を示します。 ブロックされたリクエストは、保護ルールによってブロックされたリクエストの数を示します。 | 特定の時点のデータを表示するには、折れ線グラフのポイントの上にポインターを移動します。 |
トップ10ルール | 特定の時間範囲で最も頻繁に一致する上位10個の保護ルールに関する情報を表示します。 情報には、ルール名 /ID、保護オブジェクト、およびヒットが含まれます。 ルールは、一致数の降順にリストされます。 | [ルール名 /ID] 列のアイコンをクリックして、保護ルールの名前またはIDをコピーします。 |
保護の詳細 | 特定の時間範囲内の保護モジュールの保護統計を表示します。
| [トップ10保護オブジェクト] または [トップ10 IPアドレス] タブをクリックしてデータを表示します。 |
[上位10ルール] および [保護の詳細] には、モニターモードの保護ルールと一致する保護の詳細は記録されません。
ボット管理モジュール
[セキュリティレポート] ページの [ボット管理] タブで、ボット管理モジュールの保護の詳細を表示できます。
セクション | 説明 | サポートされる操作 |
保護の概要 | ボット管理モジュールの保護の詳細を特定の時間範囲で折れ線グラフに表示します。 保護の詳細には、リクエストに対して実行されるアクションと、一致するルールが含まれます。 |
|
一致したルール | ボット管理モジュールに設定された保護ルールのID、保護ルールが追加された保護テンプレート、およびMonitorモードの保護ルールが一致した回数が表示されます。 | なし |
上位20のIPアドレス | 攻撃の上位20個の送信元IPアドレスと、そのIPアドレスから開始された攻撃の数を表示します。 攻撃には、ブロックされた攻撃、JavaScript検証が実行された攻撃、JavaScript検証に合格した攻撃、スライダーCAPTCHA検証が実行された攻撃、スライダーCAPTCHA検証に合格した攻撃が含まれます。 | なし |
攻撃の詳細 | 特定の時間範囲でボット管理モジュールに設定された保護ルールに一致するIPアドレスに関する情報を表示します。 この情報には、攻撃者IPアドレス、攻撃者IPアドレスが配置されているエリア、攻撃URL、一致したテンプレートの詳細、およびリクエスト数が含まれます。 一致したテンプレートの詳細には、テンプレート名、ルールID、ルール名、およびルールで指定されているアクションが含まれます。 | 攻撃者のIPアドレスリストで攻撃の詳細を表示するIPアドレスを見つけ、[操作] 列の [ホワイトリストに追加] または [ブラックリストに追加] をクリックします。 AutoTemplateという名前のテンプレートが作成され、そのテンプレートのホワイトリストルールまたはIPアドレスブラックリストルールが作成されます。 詳細については、「特定のリクエストを許可するためのホワイトリストルールの設定」および「特定のリクエストをブロックするためのIPアドレスブラックリストルールの設定」をご参照ください。 |
データ漏洩防止モジュール
[セキュリティレポート] ページの [データ漏洩防止] タブで、データ漏洩防止モジュールの保護の詳細を表示できます。
特定の時間範囲内の保護対象オブジェクトのデータ漏洩防止モジュールに設定された保護ルールの一致詳細を表示できます。 詳細には、攻撃者IPアドレス、エリア、攻撃時間、攻撃タイプ、攻撃URL、要求方法、要求パラメータ、およびアクションが含まれます。
攻撃者IPアドレスの保護の詳細を表示する場合は、攻撃者IPアドレスリストでIPアドレスを見つけ、[操作] 列の [詳細の表示] をクリックします。 [攻撃の詳細] パネルでは、保護の詳細を表示できます。