Web Application Firewall：Apa yang harus dilakukan jika kapasitas log WAF telah mencapai batas atas

Informasi latar belakang

Log WAF mencatat semua permintaan akses ke aplikasi web dan respons dari firewall. Log ini berisi informasi rinci tentang pendeteksian serangan, penyaringan, dan pemblokiran. Kapasitas penyimpanan log yang cukup memastikan bahwa semua peristiwa keamanan sepenuhnya tercatat, membantu administrator melakukan analisis dan audit mendetail. Jika penggunaan penyimpanan log mencapai batas atas, dampak berikut mungkin terjadi:

• Kehilangan Log

  Ketika penggunaan log mencapai batas atas, log baru tidak dapat direkam, sehingga menyebabkan hilangnya informasi penting tentang peristiwa keamanan.

• Ketidakmampuan Mendeteksi Ancaman Keamanan Secara Tepat Waktu

  Jika Anda memiliki layanan analisis keamanan lain yang bergantung pada log WAF dan log baru tidak dapat direkam, ancaman keamanan potensial mungkin tidak terdeteksi dan ditanggapi secara tepat waktu, meningkatkan risiko keamanan.

• Masalah Kepatuhan

  Beberapa industri dan regulasi mengharuskan perusahaan untuk menyimpan log guna audit. Ketika penggunaan log mencapai batas atas, log baru tidak dapat direkam, yang dapat menyebabkan masalah kepatuhan.

Metode

Ketika penggunaan log WAF mencapai batas atas, empat metode berikut biasanya digunakan:

• Tingkatkan Kapasitas Penyimpanan Log

  Menambah kapasitas penyimpanan log adalah solusi paling langsung. Dengan mengonfigurasi ruang penyimpanan yang lebih besar, Anda dapat memastikan bahwa WAF memiliki kapasitas yang cukup untuk mencatat semua peristiwa keamanan dan lalu lintas jaringan. Untuk informasi lebih lanjut, lihat Tingkatkan Ruang Penyimpanan Log.

• Konfigurasi Halus untuk Mengurangi Penggunaan Ruang Penyimpanan

  Dengan mengonfigurasi kebijakan pencatatan log berdasarkan tingkat kepentingan bisnis yang berbeda, Anda dapat mengurangi penggunaan ruang penyimpanan. Misalnya, untuk bisnis non-kritis, hanya log serangan dan bidang yang diperlukan atau sejumlah kecil bidang opsional yang dicatat. Untuk informasi lebih lanjut, lihat Konfigurasi Halus untuk Mengurangi Penggunaan Ruang Penyimpanan.

• Kurangi Durasi Penyimpanan Log

  Mengoptimalkan durasi penyimpanan log juga merupakan metode yang efektif. Berdasarkan kebutuhan bisnis, mempersingkat periode retensi log dapat mengurangi penggunaan ruang penyimpanan. Misalnya, mengurangi periode retensi log dari 30 hari menjadi 7 hari dapat menghemat sejumlah besar ruang penyimpanan tanpa kehilangan data kritis. Untuk informasi lebih lanjut, lihat Kurangi Durasi Penyimpanan Log.

• Kurangi Bidang Indeks Log

  Menonaktifkan fitur "Pembaruan Otomatis Indeks" dan menghapus indeks bidang yang tidak diperlukan dapat secara signifikan mengurangi penggunaan ruang indeks. Meskipun indeks membantu dengan kueri cepat dan analisis log, mereka juga mengonsumsi banyak ruang penyimpanan. Dengan mengoptimalkan konfigurasi indeks, Anda dapat mengurangi penggunaan ruang penyimpanan sambil memastikan efisiensi kueri. Untuk informasi lebih lanjut, lihat Kurangi Bidang Indeks Log.

Tingkatkan ruang penyimpanan log

1. Masuk ke Konsol Web Application Firewall 3.0, Di bilah navigasi kiri, pilih Detection and Response > Log Service, dan klik Upgrade Storage di pojok kanan atas.

2. Pilih spesifikasi Log Storage Capacity yang lebih besar dan selesaikan pembelian.

Konfigurasi halus untuk mengurangi penggunaan ruang penyimpanan

Pengaturan LogShipper mendukung konfigurasi bidang halus dan pengaturan kelas penyimpanan log untuk objek yang dilindungi individu. Jika bidang tertentu dan kelas penyimpanan log dikonfigurasi untuk objek yang dilindungi, prioritas bidang yang dikonfigurasi lebih tinggi daripada pengaturan bidang default.

1. Masuk ke Konsol Web Application Firewall 3.0, Di bilah navigasi kiri, pilih Detection and Response > Log Service, dan klik Log Configuration > Delivery Settings di pojok kanan atas.

2. Di tab Delivery Settings, klik Field Settings di kolom Field of Delivery to Simple Log Service untuk objek yang dilindungi, dan lengkapi konfigurasi seperti yang ditunjukkan dalam tabel di bawah ini.

   Parameter	Deskripsi
   Required Fields	Bidang wajib selalu termasuk dalam log WAF. Anda tidak dapat memodifikasi bidang wajib. Untuk informasi lebih lanjut, lihat Bidang wajib.
   Optional Fields	Bidang opsional termasuk dalam log WAF berdasarkan pengaturan Anda. Log WAF mencakup bidang opsional yang Anda aktifkan. Untuk informasi lebih lanjut, lihat Bidang opsional. Catatan Penggunaan penyimpanan log WAF meningkat dengan jumlah bidang opsional yang Anda aktifkan. Jika Anda memiliki kapasitas penyimpanan log yang cukup, kami sarankan Anda mengaktifkan lebih banyak bidang opsional untuk menganalisis log secara lebih komprehensif.
   Log Type	Di bagian Tipe Log, Anda dapat memilih beberapa tipe log dan menentukan rasio sampling untuk setiap tipe. Rasio sampling mengacu pada proporsi log yang dipilih dan dikumpulkan untuk penyimpanan dan analisis dari semua log yang dihasilkan. Setelah Anda memilih tipe log, Anda dapat menentukan rasio sampling untuk tipe tersebut dari 1% hingga 100%. Daftar berikut menjelaskan tipe log yang dapat Anda pilih: Normal Request Logs: Hanya permintaan normal yang dicatat. Detection Logs: Permintaan yang cocok dengan aturan perlindungan dan tindakan Monitor, Validasi JavaScript, Slider CAPTCHA, Verifikasi Slider CAPTCHA Ketat, Tambah Tag, dan Otentikasi Berbasis Token Dinamis dilakukan dicatat. Block Log: Hanya permintaan serangan yang diblokir oleh WAF yang dicatat. Jika Anda prihatin dengan peristiwa keamanan dan ingin mencegah log yang kurang penting mengisi penyimpanan log, kami sarankan Anda memilih nilai ini. Catatan Jika Anda ingin melakukan audit komprehensif dan analisis mendalam, pilih semua tipe log untuk mencatat log lengkap.

   Untuk bisnis non-kritis, Anda hanya perlu mencatat log serangan dan bidang wajib, atau sejumlah kecil bidang opsional, untuk mengurangi penggunaan ruang penyimpanan. Setelah mengonfigurasi bidang LogShipper, klik OK. Ketika Anda melihat pesan The operation is successful, konfigurasi saat ini telah berlaku untuk objek yang dilindungi individu.

Kurangi durasi penyimpanan log

1. Masuk ke Konsol Web Application Firewall 3.0, Di bilah navigasi kiri, pilih Detection and Response > Log Service, dan klik Storage Duration di pojok kanan atas untuk masuk ke konsol Simple Log Service.

2. Di panel Logstore Attributes, klik Modify di pojok kanan atas, kurangi Data Retention Period, dan klik Save.

   Penting

   • Saat menyesuaikan periode retensi log, pastikan itu mematuhi regulasi dan persyaratan kepatuhan terkait untuk menghindari masalah kepatuhan karena retensi data yang tidak memadai.

   • Saat periode retensi log mencapai jumlah hari yang ditetapkan, log yang melebihi periode tersebut akan dihapus secara otomatis.

   

Kurangi bidang indeks log

1. Masuk ke Konsol Simple Log Service, di area daftar Project, klik Project target yang dimulai denganwafng.

2. Di bilah navigasi kiri, klik Log Storage, dan di daftar Logstore, klik Logstore target.

   

3. Di halaman kueri dan analisis Logstore, pilih Index Attributes > Attributes.

4. Di panel Search & Analysis, nonaktifkan saklar Auto-update.

   Saat Logstore saat ini adalah Logstore khusus untuk produk cloud atau Logstore internal, saklar pembaruan otomatis indeks Auto-update diaktifkan secara default. Dalam hal ini, area Field Search dinonaktifkan.

   Peringatan

   Jika Anda telah mengonfigurasi laporan dan peringatan kustom di Simple Log Service, menghapus indeks Logstore eksklusif untuk produk WAF dapat memengaruhi laporan dan peringatan kustom.

   

5. Hapus indeks. Setelah menonaktifkan saklar Auto-update, Anda dapat menghapus indeks bidang yang tidak diperlukan di area Field Search. Setelah menghapus indeks, klik OK.