認証エンドポイント (登録、ログイン、SMS認証など) は、認証情報攻撃 の頻繁な標的となります。WAF の アカウントセキュリティ機能 は、これらの エンドポイント を監視し、辞書攻撃、ブルートフォース攻撃、スパム登録、弱いパスワードの検出、SMSフラッド攻撃 を検出します。このトピックでは、監視対象エンドポイント を追加し、アカウントセキュリティレポート を表示する方法について説明します。
前提条件
開始する前に、以下を確認してください。
Pro 以上 の WAFインスタンス を購入済みであること。
プロ版 以上 の WAFインスタンス。
ご利用のウェブサイト が WAF に追加されていること (「チュートリアル」をご参照ください)。
アカウントセキュリティの仕組み
アカウントセキュリティ では、ユーザー認証情報 が送信される エンドポイント を特定する必要があります。これは ログインページ 自体ではなく、ユーザー名 と パスワード を受け取る URI です。WAF はこれらの エンドポイント への トラフィック を監視し、疑わしいパターン を検出すると セキュリティイベント をレポートします。
各 WAFインスタンス は、最大 3 つの 監視対象エンドポイント をサポートします。エンドポイント を追加すると、WAF は自動的に 検出タスク をディスパッチし、トラフィック が アカウントセキュリティルール を満たした場合、数時間以内に イベント をレポートします。
エンドポイントの追加
WAFコンソール にログインします。
上部の ナビゲーションバー で、ご利用の WAFインスタンス がデプロイされている リソースグループ と リージョン を選択します。有効な リージョン は、中国本土 と 中国本土以外 です。
左側のナビゲーションウィンドウで、[シナリオ固有の保護] > [アカウントセキュリティ] を選択します。
[アカウントセキュリティ] ページで、[エンドポイントの追加] をクリックします。
初めて[アカウントセキュリティ]ページを開く場合は、このステップはスキップしてください。エンドポイントフォームが自動的に開きます。各 WAF インスタンスは、最大 3 つのエンドポイントをサポートします。制限に達すると、[エンドポイントの追加]は選択不可になります。
以下のパラメーターを設定し、[保存] をクリックします。[設定例]
POST ログイン — URI:
/login.do、リクエストボディ:username=Jammy&pwd=123456。[アカウントパラメーター名] をusernameに、[パスワードパラメーター名] をpwdに設定します。GET ログイン — URI:
/login.do?username=Jammy&pwd=123456。[要求メソッド] を GET に設定します。その他のパラメーターは、POST ログインの例と同じにしてください。登録(パスワードなし) — [アカウント パラメーター名] のみを設定してください。パスワード パラメーター名 は空欄のままにしてください。
SMS認証 — URI: `/sendsms.do?mobile=1381111**`。[検出対象エンドポイント] を `/sendsms.do` に、[アカウントパラメーター名] を `mobile` に設定します。[パスワードパラメーター名]** は空白のままにします。
パラメーター 説明 [検出対象エンドポイント] ドメイン名を選択し、ユーザーの認証情報が送信される URI を入力します。ログインページの URI ではなく、ユーザー名とパスワードを受信する URI を入力します。たとえば、 /login.htmlではなく/login.doを使用します。アセット検出機能を有効にし、ドメインを WAF に追加した場合、そのドメインのすべての URI がドロップダウンリストに表示されます。詳細については、「アセット検出」をご参照ください。リクエストメソッド エンドポイント の HTTPメソッド を選択します: POST、GET、PUT、または DELETE。 [アカウントパラメーター名] ユーザー名 パラメーター の名前を入力します。 パスワードパラメーター名 パスワード パラメーター の名前を入力します。エンドポイント が パスワード を必要としない場合 (たとえば、登録 または SMS認証 エンドポイント)、空白のままにします。 保護措置 WAF が アカウントセキュリティイベント を検出したときに実行する 操作 を選択します: [レポート] (ログのみ) または [ブロック] (リクエストを拒否)。
保存後、WAF は自動的に エンドポイント の モニタリング を開始します。トラフィック が アカウントセキュリティルール に一致した場合、数時間以内に セキュリティイベント がレポートされます。
ご利用のウェブサイト へのすべての リクエスト は、アカウントセキュリティチェック を通過します。このチェックから特定の リクエスト を除外するには、ホワイトリスト を設定します。「データセキュリティ の ホワイトリスト の設定」をご参照ください。
アカウントセキュリティレポートの表示
アカウントセキュリティレポート にアクセスする方法は 2 つあります。
[アカウントのセキュリティ] ページで、エンドポイントを見つけ、[操作列] の [レポートの表示] をクリックします。
左側のナビゲーションウィンドウで、セキュリティ操作 > セキュリティレポート を選択します。
次の手順では、[Security Report] ページからレポートを表示する方法について説明します。
WAFコンソール にログインします。
上部の ナビゲーションバー で、ご利用の WAFインスタンス がデプロイされている リソースグループ と リージョン を選択します。
左側のナビゲーションウィンドウで、[セキュリティ運用] > [セキュリティレポート] を選択します。
[Web セキュリティ] タブで、[アカウント セキュリティ] をクリックし、ドメイン名、URI、および期間を選択します。利用可能な期間は、[昨日]、[今日]、[7 日間]、および[30 日間] です。
レポート には次の フィールド が含まれます。
| フィールド | 説明 |
|---|---|
| エンドポイント | アカウントセキュリティイベント が検出される URI。 |
| ドメイン | URI が属する ドメイン名。 |
| [悪意のあるリクエスト発生期間] | アカウントセキュリティイベント が検出された 時間範囲。 |
| [ブロックされたリクエスト] | レポート期間中に WAF保護ルール によって ブロックされたリクエスト の数。ルール には、保護ルールエンジン、カスタム保護ポリシー (ACL)、HTTP フラッド攻撃対策、および リージョンブラックリスト が含まれます。ブロックされたリクエスト の割合は、エンドポイント の アカウントセキュリティ 状態を示します。 |
| 合計リクエスト数 | レポート期間中に エンドポイント に送信された リクエスト の合計数。 |
| アラートのトリガー元 | アラート がトリガーされた理由。考えられる理由: リクエスト が 辞書攻撃 または ブルートフォース攻撃 の 動作モデル に一致する。エンドポイント の トラフィックベースライン が 異常 である。多数の リクエスト が 脅威インテリジェンスライブラリ の ルール に一致する。多数の リクエスト で 弱いパスワード が検出され、潜在的な 辞書攻撃 または ブルートフォース攻撃 を示している。 |
次のステップ
アカウントセキュリティ機能 は 認証情報リスク を検出しますが、自動的に修復することはありません。検出された 脅威 への対応と、認証エンドポイント の強化に関するガイダンスについては、「アカウントセキュリティのベストプラクティス」をご参照ください。