ビジネスアプリケーションはそれぞれ異なるリスクプロファイルと誤検知の許容範囲を持っています。アプリケーション保護機能は、2つの保護モード、3つの組み込み検出ルールグループ、およびホワイトリストメカニズムを提供し、各アプリケーショングループのカバー率と抑制を個別に調整できます。
保護モード
アプリケーション保護は、次の2つのモードのいずれかで実行されます。
[モニター]:攻撃動作を検出し、アラートを生成しますが、リクエストをブロックしません。アラートには、アクションとして [モニター] が表示されます。
[ブロック]:攻撃動作を検出し、ブロックし、重要な操作をモニターします。攻撃がブロックされると、アクションが [ブロック] に設定されたアラートが生成されます。
アプリケーショングループを作成すると、保護モードはデフォルトで [モニター] になります。
モニターからブロックへの移行
ブロックを有効にする前に、新しいアプリケーショングループを [モニター] モードで実行します。これにより、正当なビジネスリクエストを中断することなく、トラフィックパターンを観察し、誤検知を解決できます。
チューニングワークフロー:
アプリケーショングループを [モニター] モードでデプロイします。ブロックに切り替える前に、2~5日間実行することを推奨します。
アラートを毎日確認し、誤検知(実際には正当なトラフィックであるリクエストで検出された攻撃)を特定します。
各誤検知について、アラートを抑制するためのホワイトリストルールを追加します。「保護ホワイトリストの構成」をご参照ください。
新しい誤検知が表示されなくなったら、保護モードを [ブロック] に切り替えます。
保護ポリシーグループ
保護ポリシーグループは、アプリケーショングループに適用される攻撃検出ルールのセットです。グループ内のすべてのルールは、同じ検出モードを共有します。
組み込みポリシーグループ
次の3つの組み込みグループが利用可能です。
| ポリシーグループ | 検出モード | 使用条件 |
|---|---|---|
| ビジネス優先 (デフォルト緩い) | 緩い | 偽陽性率が最優先事項である場合。既知の攻撃シグネチャのみを検出する必要があります。 |
| 通常運用 (デフォルト標準) | 標準 | 保護と可用性のバランスが取れた一般的な運用保守シナリオ。 |
| 保護優先 (デフォルトStrict) | Strict | 隠れた攻撃の検出が優先される主要なイベントまたは高リスク期間。 |
検出モード
検出モードは、ルールが攻撃パターンにどの程度積極的に一致するかを制御します。保護機能と偽陽性率の昇順でリストされています。
緩い:既知の攻撃シグネチャのみに一致します。偽陽性率が非常に低いです。
標準 (デフォルト):一般的な攻撃パターンに一致し、一般的な推論を適用します。日常の運用保守に適しています。
Strict:より隠れた攻撃動作を検出します。重要イベントサポートシナリオに適していますが、誤検知のリスクがあります。
保護ポリシーグループの作成
組み込みのポリシーグループがお客様のニーズに合わない場合は、カスタムグループを作成します。既存の構成に基づいて新しいグループを作成するには、そのグループの[アクション]列の[コピー]をクリックします。
セキュリティセンター コンソールにログインします。セキュリティセンター コンソールセキュリティセンター コンソールセキュリティセンター コンソール。セキュリティセンター コンソールにログインします。セキュリティセンター コンソール。
左側のナビゲーションウィンドウで、[保護設定] > [アプリケーション保護] を選択します。 左上隅で、アセットが配置されているリージョンとして、中国本土 または 中国本土以外 を選択します。
[アプリケーション設定] タブの右上隅にある [管理設定] をクリックします。
「[管理設定]」パネルの「[保護ポリシーの管理]」タブで、「[保護ポリシーグループの作成]」をクリックします。
「保護ポリシーグループの作成」パネルで、名前を入力し、アプリケーション言語を選択してから、脅威タイプ の右側にある 選択 をクリックします。
[脅威タイプの選択] パネルで、含める検出タイプを選択し、各タイプの [検出モード] を設定して、[OK] をクリックします。
ヒント: SQL インジェクションなどの特定の攻撃タイプに対するアラートに多くの誤検知が含まれる場合、そのタイプの検出モードを [緩い] に設定し、全体のグループを調整しないでください。
[OK] をクリックします。
保護ホワイトリストの構成
保護ホワイトリストルールは、アプリケーションが正当に生成する特定のトラフィックパターンに対するアラートを抑制します。[モニター] モードで同じ正当なリクエストが繰り返し攻撃としてフラグ付けされる場合に、ホワイトリストを使用します。
注: ホワイトリストルールは、安定した予測可能なトラフィックパターン(たとえば、固定された内部サービス URL や既知のパラメーター値)に最適です。カテゴリ全体の検出強度を低減するなど、より広範なチューニング要件については、代わりにポリシーグループの検出モードを調整してください。
アラートからホワイトリストルールを追加
アラートが誤検知として確認された場合は、直接ホワイトリストに追加します。ルールはアラートの詳細から自動的に作成され、影響を受けるプロセスを含むアプリケーショングループに適用されます。
手順については、「アラートをホワイトリストに追加」をご参照ください。
ホワイトリストルールを手動で作成
手動で作成されたルールを使用すると、単一のルールで複数のアプリケーショングループにわたる複数の検出タイプを抑制できます。
セキュリティセンター コンソールにログインします。セキュリティセンター コンソールセキュリティセンター コンソールセキュリティセンター コンソール。セキュリティセンター コンソールにログインします。セキュリティセンター コンソール。
左側のナビゲーションウィンドウで、[保護設定] > [アプリケーション保護] を選択します。左上隅で、アセットが配置されているリージョンを選択します:中国本土 または 中国本土以外。
[アプリケーション設定] タブで、右上隅の [管理設定] をクリックします。または、[攻撃アラート] タブで、[保護ホワイトリスト] をクリックします。
[管理設定] パネルの [保護ポリシーの管理] タブの [保護ホワイトリスト] タブで、[ホワイトリストの作成] をクリックします。
[ホワイトリストの作成] パネルで、ルールパラメーターを設定し、[OK] をクリックします。
一致方法 オプション:
| 一致方法 | 動作 | 最適な用途 |
|---|---|---|
| 完全一致 | 送信されたコンテンツが一致コンテンツと同一の場合にのみアラートを抑制 | 特定の既知の安全なパラメーター値またはペイロード |
| 部分一致 | 送信されたコンテンツが一致コンテンツを含む場合にのみアラートを抑制 | 誤検知ペイロード内の繰り返し出現する部分文字列 |
| プレフィックス一致 | 送信されたコンテンツが一致コンテンツで始まる場合にのみアラートを抑制 | 複数の正当なエンドポイントで共有される URL パスプレフィックス |
| サフィックス一致 | 送信されたコンテンツが一致コンテンツで終わる場合にのみアラートを抑制 | 正当なリクエストに共通するファイル拡張子または URL サフィックス |
[一致するコンテンツ]:アラート詳細ページから [悪意のある特性]、[指定されたパラメーター]、または [リクエスト URL] の値と一致コンテンツとして使用します。
例:/api/health?token=<value> の内部ヘルスチェックエンドポイントが SQL インジェクションアラートを繰り返しトリガーする場合、[プレフィックス一致] を使用し、/api/health を一致コンテンツとして使用します。これにより、他のルートを公開することなく、そのパスへのすべてのリクエストのアラートが抑制されます。
ホワイトリストルールの表示と管理
セキュリティセンター コンソールにログインします。セキュリティセンター コンソールセキュリティセンター コンソールセキュリティセンター コンソール。セキュリティセンター コンソールにログインします。セキュリティセンター コンソール。
左側のナビゲーションウィンドウで、[保護設定] > [アプリケーション保護] を選択します。左上隅で、資産が配置されているリージョンを選択します:[中国本土] または [中国本土以外]。
[アプリケーション設定] タブで、右上隅にある [管理設定] をクリックします。 または、[攻撃アラート] タブで [保護ホワイトリスト] をクリックします。
「管理設定」パネルの「保護ポリシーの管理」タブの「保護ホワイトリスト」タブで、ホワイトリストルールの一覧を表示できます。
一覧から、次の操作を実行できます。
有効化または無効化: [ルールスイッチ] 列でスイッチを切り替えます。
編集または削除: [編集] または [削除] を [操作] 列でクリックします。
アプリケーショングループの保護ポリシーの変更
[アプリケーション保護] ページの [アプリケーション設定] タブで、アプリケーショングループの [アクション] 列にある [保護ポリシー] をクリックします。
「保護ポリシー」パネルで、[保護ステータス]、[保護モード]、[保護ポリシーグループ]、[検出ポリシー]、または[共通設定]を必要に応じて変更します。
[OK] をクリックします。
バッチ操作
複数のアプリケーショングループに一度に変更を適用するには、[アプリケーション設定] タブで1つ以上のグループを選択し、以下の操作を使用します:
| 操作 | 効果 |
|---|---|
| [すべて保護] | 選択したすべてのグループの保護モードを [ブロック] に変更します。 |
| [すべてモニター] | 選択したすべてのグループに対して、保護モードを [モニター] に変更します。 |
| 保護のキャンセル | 選択したグループのすべての検出とブロックを無効化します。攻撃動作は検出またはブロックされません。 |
| [すべて有効化] | 選択したグループを再度有効化します。 |