Log Service for WAF は、Web Application Firewall (WAF) と Alibaba Cloud Log Service を統合し、WAF によって保護されているすべてのドメイン名のアクセスログおよび保護ログを収集・保存・分析します。この機能を使用してトラフィックパターンをクエリおよび可視化したり、リアルタイムアラートを設定したり、コンプライアンスや下流処理のためにログを外部システムに転送したりできます。
対象ユーザー
Log Service for WAF は以下のユーザー向けに設計されています。
コンプライアンス要件のある大企業 — 規制当局の要件に基づき、クラウド資産全体のホストログ、ネットワークログ、セキュリティログを保持する必要がある金融機関、公共サービス機関、その他の組織。
セキュリティオペレーションセンター (SOC) チーム — 不動産、EC、金融、公共サービスなどの分野で、セキュリティログおよびアラートログの管理を一元化している組織。
高度なログ分析を必要とするチーム — IT、ゲーム、金融業界などで、詳細な分析および自動アラート処理を必要とする企業。
セキュリティイベントを追跡または保護基準を満たす必要があるすべてのユーザー — 週次、月次、年次のレポートを作成するチーム、または Multi-Level Protection Scheme (MLPS) レベル 3 以上の等級保護要件に準拠する必要があるチーム。
ユースケース
| 目的 | Log Service for WAF の活用方法 |
|---|---|
| セキュリティインシデントの調査 | Web 攻撃ログをトレースし、セキュリティ脅威のソースを特定します。 |
| トラフィックの健全性の監視 | リクエストボリュームをクエリし、ステータスおよび傾向の変化を時間軸で追跡します。 |
| セキュリティ効果の評価 | 保護ルールのパフォーマンスを測定し、異常が発生した際に迅速に対応します。 |
| ログ管理の一元化 | セキュリティネットワークログを自社のデータおよびコンピューティングセンターに転送し、さらなる処理または長期保存を行います。 |
メリット
コンプライアンス監査への対応 ウェブサイトのアクセスログを 6 か月以上保存し、等級保護要件を満たします。
柔軟な構成 特定のドメイン名に対して数ステップでログ収集を有効化できます。保持期間とストレージ容量をカスタマイズでき、Full Logs と Block Logs のいずれかのストレージタイプを選択可能です。ビジネス要件またはセキュリティ要件に合わせてレポートテンプレートを修正または作成できます。
リアルタイムログ分析 インタラクティブなデータマイニング機能を備えたすぐに使える (OOTB) レポートセンターを使用して、ログ到着時に即座にクエリおよび分析が可能です。攻撃やアクセスパターンを遅延なく特定できます。
リアルタイムアラート機能 特定のメトリックに基づいてアラートルールを作成できます。Log Service はスケジュールに従ってクエリ結果を評価し、トリガー条件が満たされるとアラート通知を送信するため、重大なサービス課題に対して即座に対応できます。
連携機能 ログデータをリアルタイムコンピューティング、クラウドストレージ、可視化ソリューションと連携させ、さらなる分析および自動化を推進します。
機能概要
| 機能 | 説明 |
|---|---|
| ログ収集 | ドメイン名ごとにログ収集を有効化し、アクセスログおよび保護ログの収集・保存を開始します。Full Logs および Block Logs の 2 種類のストレージタイプをサポートしています。「ログ設定」ページで保持期間、ログフィールド、ストレージタイプを調整できます。利用可能なログフィールドの詳細については、「WAF がサポートするログフィールド」をご参照ください。有効化後の設定変更方法については、「ログ設定の変更」をご参照ください。 |
| ログのクエリと分析 | 標準 SQL-92 構文の検索文と分析文を縦棒 (|) で区切って組み合わせたクエリ文を使用し、収集されたログに対してクエリを実行します。結果はテーブル、折れ線グラフ、縦棒グラフ、円グラフで表示できます。条件が満たされた際に通知をトリガーするよう、クエリ結果に対してアラートルールを作成することも可能です。検索構文の詳細については、「検索構文」をご参照ください。分析文のリファレンスについては、「ログ分析の概要」をご参照ください。 |
| ダッシュボード | クエリを記述せずにすぐに使えるダッシュボードを表示できます。時間範囲を設定するだけで利用可能です。利用可能なダッシュボードは、オペレーションセンター、アクセスセンター、セキュリティセンター の 3 種類です。ダッシュボードをサブスクライブすると、スケジュールに従って電子メールでデータスナップショットを受け取れます。 |
| ログストレージ領域の管理 | WAF コンソールからログストレージの使用量を監視します。必要に応じてストレージ容量を増加させたり、保存済みのログを削除したりして、領域を管理できます。 |
| WAF ログの Syslog サーバーへの統合 | Python プログラムを使用して WAF ログを Syslog サーバーに転送し、セキュリティオペレーションセンター (SOC) 内で関連するすべてのログを一元化し、規制および監査要件を満たします。 |