システムシグナルの設定
- English
- 日本語
システムシグナルとは、重要で識別可能なリクエストプロパティを記述するために作成したラベルです。Next-Gen WAF はそれらを使用して、一般的な攻撃、異常、行動を示すリクエストを追跡します。ほとんどのシステムシグナルの検知はデフォルトで有効になっていますが、共通脆弱性識別子仮想パッチ、API、アカウント乗っ取りシステムシグナルを使用する場合は、検知を有効にする必要があります。
さらに、次を追加することで、Next-Gen WAF での一部のシステムシグナルの処理方法をカスタマイズできます。
除外 : 特定のパターンを持つリクエストに、指定されたシステムシグナルがタグ付けされないようにする設定。
サイトアラート (シグナルしきい値) : 同一の IP アドレスからのリクエストが同じシグナルでタグ付けされる回数に上限を設定し、その上限を超えた場合に Next-Gen WAF がその IP アドレスをフラグする設定。一旦フラグされると、フラグが付けられた IP アドレスからのその後のリクエストは、設定の方向に従って設定された期間処理 (ブロックなど) されます。
検知
ほとんどのシステムシグナルの検知はデフォルトで有効になっていますが、共通脆弱性識別子仮想パッチ、API、アカウント乗っ取りシステムシグナルを使用する場合は、検知を有効にする必要があります。
共通脆弱性識別子シグナル
共通脆弱性識別子シグナルを使うと、特定の共通脆弱性識別子に合致するリクエストをブロックしてログ記録できます。これらのシグナルは、より恒久的なソリューションを実装する間のみ、一時的に有効にしてください。仮想パッチを有効にする方法については、仮想パッチガイドをご覧ください。
アカウント乗っ取りシグナルと API シグナル
重要 : API シグナルとアカウント乗っ取りシグナルは Essential プラットフォームには含まれていません。
アカウント乗っ取りシグナルと API シグナルを使用すると、登録、ログイン、API リクエストを把握できるようになります。アカウント乗っ取りシグナルは、パスワードリセットの試みの失敗など、アカウント乗っ取り (ATO) 攻撃を識別します。API シグナルは、API に対して行われたリクエストにタグ付けし、予期しないユーザーエージェントからの繰り返しの API リクエストなどのパターンを検知できるようにします。ログインと登録のシグナルグループを除き、アカウント乗っ取りシグナルと API シグナルは時系列のみのデータストレージカテゴリーに属します。
API シグナルとアカウント乗っ取りシグナルの検知は設定が必要なため、デフォルトでは無効になっています。たとえば、ログイン試行シグナルの検知を有効にするには、ログインエンドポイントのパスを指定する必要があります。
- Next-Gen WAF control panel
- Fastly control panel
アカウント乗っ取りシグナルと API シグナルは、Templated Rules ページから有効にできます。Templated rules は部分的にあらかじめ構築されたルールで、特定のシステムシグナルに関連付けられています。たとえば、GraphQL API クエリのテンプレートルールを有効にして、GraphQL API リクエストを追跡できます。
テンプレートルールを有効にし、編集するには、以下の手順を実行してください。
- Next-Gen WAF コンソールにログインします。
- Sites メニューから、複数のサイトがある場合はサイトを選択します。
Rules メニューから Templated Rules を選択します。
有効化または編集するルールの右側にある View をクリックします。
右上の Configure をクリックして、ルールを有効にするか編集します。
条件に関連するフィールドには、アプリケーションに固有の値 (パス、レスポンスコード、ヘッダーなど) を入力してください。アプリケーションに必要な場合に、ルールの条件を追加、編集、または削除することができます。
(オプション) Configure thresholds and actions セクションが利用可能な場合、実行するアクション (ブロックやログなど) を選択します。
故障ベースのルール (
Login Failureなど) を設定する際には、オプションで以下の定義も可能です。しきい値は、個々のクライアントがルールの条件を満たすリクエストを送信できる頻度を定義するパラメータであり、アクションが実行される前に設定されます。
期間、アクションが発生する時間です。
通知がサイト (ワークスペース) 統合を通じて送信されるかどうか。
[Rule updated (ルールの更新)] または [Update Site Rule (サイトルールを更新)] をクリックします。
除外
シグナル除外は、特定のパターンに一致するリクエストが特定のシグナルでタグ付けされるのを防ぎます。除外機能を使用すると、誤検知の回避に役立ちます。例えば、内部 IP アドレスからのリクエストで、管理者ログインページへのアクセスに失敗したリクエストに FORCEFULBROWSING タグを付けたくない場合に、除外を追加できます。
システムシグナルの除外ルールを追加するには、シグナル除外ルールを作成します。
または、Essentials プラットフォームを使用しており、Next-Gen WAF コンソールを使用している場合は、次の手順を完了することで除外を追加できます。
- Next-Gen WAF コンソールにログインします。
- Sites メニューから、複数のサイトがある場合はサイトを選択します。
[Signals (シグナル)] タブをクリックします。
[Signals (シグナル)] ページで、該当するシグナルの横にある [View (表示)] をクリックします。
[Exclusions (除外)] タブをクリックし、[Add exclusion (除外を追加)] をクリックします。
[Conditions (条件)] セクションの各フィールドを以下のように設定します。
[Field (フィールド)] メニューから、条件の基準となるリクエストフィールドを選択します。
[Value (値)] フィールドに、指定したフィールドの値を入力します。
[Operator (演算子)] メニューから演算子を選択して、選択したフィールドと値の関係を指定します。
(オプション) 別の条件を追加するには、[Add condition (条件を追加)] をクリックします。条件のグループを作成するには、[Add group (グループを追加)] をクリックします。
リクエストを除外する場合にすべての条件を満たす必要があることを指定するには [All (すべて)] を選択します。リクエストを除外する場合に1つの条件のみを満たす必要があることを指定するには [Any (いずれか)] を選択します。
[Details (詳細)] セクションの各フィールドを以下のように設定します。
[Status (ステータス)] スイッチは有効のままにしておきます。
[Description (説明)] フィールドに、除外の説明を入力します。
[Create exclusion (除外を作成)] をクリックします。
