1. Home
2. Next-Gen WAF
3. しきい値

攻撃しきい値は、Next-Gen WAF がその IP アドレスにフラグを立てる前に、IP アドレスから確認できる攻撃シグナルの総数に上限を設けるしきい値設定の一種です。フラグが立てられると、フラグが立てられたIP アドレスからのリクエストで、攻撃シグナルのタグが付けられたリクエストは、エージェントモード (保護モード) の設定に応じて、ブロックまたはログ記録されます。この種の設定は、攻撃者がスクリプトやツールを使う能力をターゲットにします。

各攻撃しきい値ごとに攻撃信号の上限 (しきい値) を調整することができます。個々の攻撃シグナルに対して異なるしきい値を設定したい場合は、アラート (シグナルしきい値) を追加することができます。

攻撃しきい値のしくみ

攻撃しきい値は、繰り返し悪意のある行動を示す IP アドレスを監視し、フラグを付け、フラグされた IP アドレスからのリクエストを処理します。

フラグは、単一の IP アドレスから十分な数の攻撃が見つかると発生します。より具体的には、IP アドレスごとに攻撃シグナルの数をカウントし、この数が攻撃しきい値のいずれかに達すると、その IP アドレスにフラグを付けてブロックリストに登録します。

IP アドレスがフラグされた後、この IP アドレスからで、攻撃シグナルのタグが付けられた後続のリクエストは、エージェントモード (保護モード) の設定に応じて、ブロックまたはログ記録されます。具体的には、攻撃シグナルを持つリクエストは、設定が Blocked に設定されている場合はブロックされ、Not Blocking (Logging) に設定されている場合はログ記録されます。

デフォルトでは、IP アドレスからの悪意のあるトラフィックは 24 時間ブロックされるか、ログ記録されます。Next-Gen WAF コンソールにアクセスできる場合、デフォルト時間を変更し、API を介して blockDurationSeconds フィールドを更新することで、ブロックリストに登録された IP アドレスがブロックされる時間を変更できます。

制約と考慮事項

攻撃しきい値を使用する際には、以下の点を念頭に置いてください。

• 異常およびカスタムシグナルのみがタグ付けされたリクエストは、フラグ付けのしきい値にはカウントされません。

• IP アドレスが Next-Gen WAF の顧客によってフラグが付けられると、その IP アドレスを既知の潜在的な悪意のあるアクターとして記録し、SigSci Malicious IPs (SigSci IP) の異常シグナルでタグ付けすることで、ネットワーク全体でそのステータスを周知します。

• サイトアラートを作成 (シグナルしきい値) することで、個々の攻撃シグナルのしきい値をオーバーライドできます。

攻撃しきい値の調整

デフォルトの攻撃のしきい値は、多くのお客様の過去のパターンに基づいています。

攻撃のしきい値を上げるまたは下げるには、以下の手順に従ってください。

即時ブロックの適用

即時ブロックを使用すると、少なくとも 1 つの攻撃シグナルがタグ付けされたすべてのリクエストを即座にブロックできます。即時ブロックが有効になっている間は、既存の攻撃しきい値設定が維持されるため、しきい値ベースのブロックに簡単に戻すことができます。

即時ブロックを有効にするには、以下の手順を実行します。

関連コンテンツ

• しきい値設定について

• Next-Gen WAF での API の使用