このトピックでは、CloudMonitor コンソールで Web Application Firewall (WAF) のイベントモニタリングルールを設定する方法について説明します。 WAF の保護ドメインのイベントをモニタリングし、アラートを送信するように設定することができます。 これにより、早急なワークロードの回復に役立ちます。 CloudMonitor は、アクセス制御、HTTP フラッド攻撃保護、Web 攻撃保護、アンチスキャンによる WAF イベントを検出できます。

このタスクについて

CloudMonitor は、インターネットアプリケーションと Alibaba Cloud リソースのモニタリングサービスです。 イベントモニタリングをサポートし、クラウドサービスで発生するシステムイベントをクエリして分析できます。 イベントモニタリングを使用すると、クラウドサービスの使用状況を簡単に追跡できます。

WAF の保護ドメインで検出されたイベント (アクセス制御、HTTP フラッド攻撃、Web 攻撃、アンチスキャン) をクエリし、イベントのアラートルールを追加できます。 また、メッセージの送信やコールバックの設定など、重大イベントのアラートの通知方法を設定することもできます。 サポートされるメッセージは、SMS メッセージ、メール、DingTalk メッセージです。 イベントモニタリング機能を使用すると、自動化された運用管理システムを構築し、速やかにイベントを検出して対処できます。 詳細については、「イベントモニタリングの概要」をご参照ください。

CloudMonitor は、次の WAF イベントモニタリングをサポートしています。

表 1. WAF イベント
イベント 説明 カテゴリ ステータス値 イベントレベル
waf_event_aclattack アクセス制御イベント acl start/end CRITICAL
waf_event_ccattack HTTP フラッド攻撃イベント cc start/end CRITICAL
waf_event_webattack Web 攻撃イベント web start/end CRITICAL
waf_event_webscan アンチスキャンイベント webscan start/end CRITICAL

手順

  1. CloudMonitor コンソールにログインします。
  2. オプション: アラート受信者を追加します。 すでに受信者を指定している場合は、この手順をスキップできます。
    1. 左側のナビゲーションウィンドウで、[アラーム] > [アラーム送信先] をクリックします。
    2. [アラーム送信先] タブで、右上隅にある [送信先を作成] をクリックします。受信者を追加します。
    3. 表示された [アラーム送信先の設定] ダイアログボックスで、必要な送信先情報を入力します。 [電話] または [メール] を確認したら、[保存] をクリックします 。送信先情報を指定する
      アラート受信者が保存されます。
  3. オプション: アラート送信先グループを作成します。 アラート送信先グループを既に作成している場合は、この手順をスキップできます。
    アラート通知の受信者は送信先グループである必要があります。 送信先グループに 1 人以上の受信者を追加できます。
    1. 左側のナビゲーションウィンドウで、[アラーム] > [アラーム送信先] をクリックします。
    2. [アラーム送信先グループ] タブで、右上隅にある [送信先グループを作成] をクリックします。送信先グループの作成
    3. 表示されるた[送信先グループを作成] ダイアログボックスで、[グループ名] フィールドに、グループ名を入力します。 左側の [既存の送信先] から受信者を選択し、右側の [選択済みの送信先] リストに追加します。 [OK] をクリックします。送信先情報を指定する
      送信先グループが作成されます。
  4. WAF イベントのアラートルールを作成します。
    1. 左側のナビゲーションウィンドウで、[イベントモニタリング] をクリックします。
    2. アラームルールタブで、[システムイベント] を選択し、[イベントアラートの作成] をクリックします。イベントアラームルールの作成
    3. [イベントアラートの作成/変更] ペインでアラートルールを設定し、[OK] をクリックします。 以下にパラメーターを示します。
      項目 設定項目 説明
      基本情報 アラートルール名 アラートルール名を入力します。
      イベントアラート イベントタイプ [システムイベント] を選択します。
      プロダクトタイプ [WAF] を選択します。
      イベントタイプ [WAF 攻撃イベント] を選択します。
      イベントレベル イベントのレベルを選択します。 設定可能な値は、CRITICALWARNINFO です。 複数のレベルを選択できますが、[CRITICAL] を選択する必要があります。
      イベント名 CloudMonitor から通知されるイベントのタイプを選択します。 設定可能な値は次のとおりです。
      • waf_event_aclattack
      • waf_event_ccattack
      • waf_event_webattack
      • waf_event_webscan

      複数のイベントタイプを選択できます。 イベントレベルは CRITICAL でなければなりません。

      リソース [全リソース] を選択します。
      アラートタイプ アラート通知 [アラート通知] を選択し、[通知先グループ][通知方法] を設定します。
      • 送信先グループ:既存の送信先グループを選択します。
      • 通知方法:[Warning (メッセージ + メール ID + DingTalk ロボット)] または [Info (メール ID + DingTalk ロボット)] を選択します。

      [追加] をクリックして、送信先グループや通知方法を追加できます。

      MNS キュー このオプションは必須ではありません。
      Function Compute このオプションは必須ではありません。
      URL コールバック このオプションは必須ではありません。
      Log Service このオプションは必須ではありません。
      イベントモニタリングアラートルール
      WAF イベントのアラートルールの作成を完了しました。 WAF に追加されたドメイン名でイベントが発生すると、アラートルールに指定された送信先グループはアラートを受信します。
  5. オプション: イベントをクエリします。 CloudMonitor コンソールで、最近の WAF イベントをクエリすることもできます。
    1. [イベントモニタリング] ページの [イベントのクエリ] タブをクリックします。
    2. [システムイベント][WAF] を選択し、イベントタイプと期間を指定してイベントをクエリします。イベントのモニタリング
    3. [操作] 列の [詳細表示] をクリックして、イベントの詳細を表示することもできます。