Web Application Firewall (WAF) は、コア保護ルール、IP アドレスブラックリスト、カスタムルールモジュールなど、すべての保護モジュールの保護の詳細を含むセキュリティレポートを提供します。 セキュリティレポートに基づいてビジネスのセキュリティを分析できます。
前提条件
Web サービスは、保護対象オブジェクトとして WAF 3.0 に追加されます。 詳細については、「保護対象オブジェクトと保護対象オブジェクトグループを構成する」をご参照ください。
保護ルールは、保護対象オブジェクトに対して構成されます。 デフォルトでは、[コア保護ルール] モジュールが有効になっています。 このモジュールでは保護ルールを構成する必要はありません。 他の保護モジュールを有効にする場合は、それらのモジュールに対して保護ルールを構成する必要があります。 詳細については、「保護構成の概要」をご参照ください。
セキュリティレポートの表示
WAF コンソールにログインすると、WAF インスタンスがデプロイされているリージョンに基づいたインターフェイスに移動します。 WAF インスタンスが中国本土にデプロイされている場合は、中国 (杭州) リージョンのインターフェイスに移動します。 WAF インスタンスが中国本土以外にデプロイされている場合は、シンガポールリージョンのインターフェイスに移動します。
WAF コンソールの [セキュリティレポート] ページで、[攻撃トレンド]、[攻撃タイプ]、[上位 5 件のヒット]、[ログ] の各セクションのデータを表示できます。 [基本検索] と [高度な検索] を切り替えてデータをフィルタリングすることもできます。
基本検索 | 高度な検索 |
|
|
時間範囲 (1 でマーク): デフォルトでは、[今日] が選択されています。 有効値: [過去 15 分]、[過去 30 分]、[過去 1 時間]、[過去 24 時間]、[今日]、[昨日]、[7 日間]、[30 日間]。 | |
カスタム時間範囲 (3 でマーク): データを表示するカスタム時間範囲を指定できます。 | |
保護対象オブジェクト (3 でマーク): デフォルトでは、[すべて] が選択されています。 WAF に追加されているすべての保護対象オブジェクトのデータを表示できます。 特定の保護対象オブジェクトを選択してデータを表示することもできます。 | フィルター条件 (3 でマーク): 最大 10 個の条件を構成してデータをフィルタリングできます。 |
[攻撃者 IP アドレス] と [traceid] (4 でマーク): カスタム値を指定してデータをフィルタリングできます。 | 該当なし。 |
攻撃トレンド
[攻撃トレンド] グラフでは、アラートとブロックされたリクエストのトレンドを表示できます。 デフォルトでは、すべての保護対象オブジェクトのデータを表示できます。 フィルター条件を構成してグラフを更新することもできます。 グラフ内の特定の時点にポインターを移動すると、その時点のアラート数とブロックされたリクエスト数を確認できます。
[ブロックされたリクエスト]: [ブロック] 操作に一致するリクエスト、または次の操作で指定された検証に失敗したリクエストの数: [JavaScript 検証]、[スライダ CAPTCHA]、[厳格なスライダ CAPTCHA 検証]、[動的トークン]ベースの認証。
[アラート]: 保護ルールと [監視] 操作に一致するリクエストの数。
攻撃タイプ
[攻撃タイプ] グラフでは、リクエストによって保護ルールが一致した合計回数を確認できます。 1 つのリクエストが複数の保護モジュールまたは保護ルールに一致する可能性があります。 また、各保護モジュールの一致回数も表示できます: [コア保護ルール]、[IP アドレスブラックリスト]、[カスタムルール]、[スキャン保護]、[HTTP フラッド保護]、[リージョンブラックリスト]、[ボット管理]、[データ漏洩防止]、[トラフィック急増スロットリング]。
[コア保護ルール] をクリックすると、SQL インジェクション、クロスサイトスクリプティング (XSS)、コード実行など、攻撃タイプ別の一致した保護ルールの分布を示す円グラフが表示されます。
他の保護モジュールをクリックすると、関連する円グラフが表示されます。
上位 5 件のヒット
[上位 5 件のヒット] セクションでは、次のチャートを表示できます。攻撃者の IP アドレス、保護対象オブジェクト、一致したルール、保護 URL、攻撃元エリア、攻撃者のユーザーエージェントヘッダー。
グラフ | 説明 | サポートされている操作 |
攻撃者 IP アドレス | 最も多くのリクエストが開始された上位 5 つの IP アドレスと、それらの IP アドレスのリージョン。 | データ項目にポインターを移動し、[フィルター] または [除外] をクリックしてデータをフィルタリングします。 |
保護 URL | 保護ルールに最も多く一致した上位 5 つのリクエスト URL。 | |
攻撃元エリア | 最も多くの攻撃リクエストが開始された上位 5 つのリージョン。 | |
攻撃 User-Agent ヘッダー | 攻撃リクエストで最も頻繁に使用された上位 5 つの User-Agent 文字列。 | |
保護対象オブジェクト | 保護ルールに最も多く一致した上位 5 つの保護対象オブジェクト。 | データ項目にポインターを移動し、[フィルター] または [除外] をクリックしてデータをフィルタリングするか、[保護ルールの表示] をクリックして、保護対象オブジェクトに構成されている保護ルールを表示します。 |
一致したルール | 最も頻繁に一致した上位 5 つの保護ルールの ID。 説明 1 つのリクエストが複数の保護ルールに一致する可能性があります。 |
ログ
[ログ] セクションでは、攻撃者の IP アドレス、[地域]、[保護モジュール]、攻撃日時、ホスト、攻撃 URL、リクエストメソッド、リクエストパラメータ、ルール ID、アクションなどの攻撃の詳細を表示できます。 また、右上隅にある 
アイコンをクリックして、リストに表示する列を指定することもできます。
リストで攻撃イベントを見つけ、[操作] 列の [詳細の表示] をクリックします。 [攻撃の詳細] パネルで、攻撃イベントと保護ルールの詳細を表示できます。
攻撃イベントが誤検知であることを確認した場合は、[操作] 列の [誤検知を無視] をクリックします。 表示されるダイアログボックスで、パラメーターを構成してホワイトlistrルールを作成し、[OK] をクリックします。
その後、[AutoTemplate] という名前の保護テンプレートが作成され、テンプレート用に ホワイトリストモジュールの保護ルール が作成されます。 保護ルールの発生元は [カスタム] です。
1 つのリクエストが複数の保護モジュールまたは保護ルールに一致する可能性があります。 [ルール ID] 列の値にポインターを移動するか、[操作] 列の [詳細の表示] をクリックして、一致した保護ルールの ID を表示できます。
