IPDS | WAF

ナレッジベース

サイト信頼性エクスペリエンス

カテゴリを表示

IPDS | WAF

所要時間

目次

RELIANOID Webアプリケーションファイアウォール #

その Webアプリケーションファイアウォール(WAF) HTTP(S)ファーム内の悪意のあるHTTPトラフィックを識別・防御する上で重要なツールとして機能します。パターンを分析することで、体系化されたルールセットに基づいて高度なセキュリティポリシーを適用し、HTTPファームに適用します。SSLパケットを復号した後、WAFルールを精査し、SSLトラフィック内のHTTPボディにパターンを適用します。

その RELIANOID IPDS パッケージには、 OWASP ModSecurity コアルールセットはプリロード済みですぐに使用できますが、ユーザーは多様な攻撃に対する包括的なシステム保護のためにカスタムルールセットを柔軟に作成できます。OWASPルールの詳細については、OWASP Modsecurityプロジェクトを参照してください。さらに、 RELIANOID WAFモジュールはHTTP保護の機能を拡張し、 高度なHTTPコンテンツ操作含みます リダイレクト の三脚と 書き換え.

WAFルールセットビュー #

WAF ルールセット ビューには、使用可能なルールセットと割り当てられたファーム サービスの概要が表示されます。
ipds waf ファームルールセット

名前ルールセットを識別するためのわかりやすい名前です。クリックすると編集フォームが表示されます。
農場ルールが適用される農場。農場リストを展開するには、 農場 列ヘッダーは右側に表示されます。デフォルトでは20文字に制限されています。
ステータスルールセットのステータスは、次のステータス カラー コードで表されます。

  • グリーン。 手段 ENABLEDルールセットは、それを使用しているファームに対してチェックされています。
  • レッド。 手段 DISABLEDルールセットが有効になっていないため、ファームには何の効果もありません。

WAFルールのステータスに対して許可されるアクション:

  • 編集必要に応じて、ルールセットの設定を変更するか、ファーム サービスを割り当てます。
  • 再起動WAF ルールを再初期化します。
  • お気軽にご連絡くださいWAF ルールセットを適用します。
  • 削除ルールセットを削除します。

OWASP CRSルールセットシステムの理解 #

その OWASP CRS ルールセットは一般的な攻撃検出ルールで構成されており、あらゆる Web アプリケーションに基礎レベルの保護を提供します。

動作モード #

OWASP CRS プリロード ルールセットは、次の 2 つのモードで動作します。

異常スコアリングモード (デフォルト):正確なログ情報と柔軟なブロックポリシーを利用できるため、このモードが推奨されます。「協調検出モード」とも呼ばれるこのモードでは、一致する各ルールに「異常スコア」が割り当てられます。インバウンドルールとアウトバウンドルールの評価の最後に、異常スコアに基づいてブロックアクションが実行され、通常はデフォルトの403エラーが発生します。

自己完結型モード: このモードでは、アクションが即座に適用されます。リソース使用量は削減されますが、ブロックポリシーの柔軟性と詳細な監査ログ(最初に検出された脅威のみが記録されます)は犠牲になります。ルールは、指定された破壊的なアクション(例:拒否、ドロップ)に従います。最初に一致したルールがこのアクションを実行し、多くのIDSと同様に、最初の一致後に評価が停止されることがよくあります。

基本的な OWASP CRS ルールセット #

これらのプリロードされた保護ルールは、お客様の好みに基づいて調整されています。ご利用になる場合は、以下の点をご考慮の上、適用してください。

リクエスト-90-構成 リクエスト-901-初期化
# 保護したいものに応じて他の OWASP ルールセットを適用します
リクエスト-949-ブロッキング評価応答-959-ブロッキング評価応答-980-相関 # ログ記録の目的で、トラブルシューティングの場合にのみ有効にします。

OWASPコアルールセットでは、 リクエスト-901-初期化 ルールセットは、セキュリティルール全体の動作を設定するための幅広いオプションを提供する基礎要素です。ユーザーは、特定のセキュリティニーズに合わせて設定を微調整する柔軟性を得ることができ、ルール設定プロセスの基盤となります。 リクエスト949-ブロッキング評価 の三脚と レスポンス-959-ブロッキング評価 ルールセットは、異常スコアに基づいてブロックアクションを評価・実行することで、プロアクティブなセキュリティ体制において重要な役割を果たします。OWASPコアルールセットが潜在的な脅威をリアルタイムで特定・防御する能力に大きく貢献しています。これらを補完するものとして、 レスポンス-980-相関 ルールセットは、レスポンスの相関と分析に重点を置いており、OWASPコアルールセット全体の能力を強化し、進化するセキュリティ上の課題を効果的に検出し、対応する能力を高めます。これらのルールセットを組み合わせることで、ユーザーはWebアプリケーションに堅牢で適応性の高いセキュリティフレームワークを実装できるようになります。

パラノイアのレベル、サンプリング、異常スコアを理解する #

パラノイアレベル設定では、ルールチェックの強度を指定でき、異常スコアに影響を与えます。パラノイアレベルを高くすると、より多くのルールが有効になりセキュリティが強化されますが、誤検知によって正当なトラフィックがブロックされるリスクが高まる可能性があります。各レベルの推奨事項:

パラノイアレベル1 (デフォルト): 初心者、多様なインストール、標準的なセキュリティ設定に適しており、誤検知はほとんどありません。
パラノイアレベル2: 包括的な保護と高度なセキュリティを求める中級者から上級者のユーザーに推奨されます。誤検知が発生する場合があります。
パラノイアレベル3: 高度なセキュリティが求められるインストールにおいて、誤検知を処理する経験豊富なユーザーを対象としています。
パラノイアレベル4: 非常に高いセキュリティ要件を持つインストールを保護する経験豊富なユーザーに推奨されますが、稼働前に解決が必要となる誤検知が多数発生する可能性があります。

上げるために ブロックパラノイアレベルリクエスト-901-初期化 ルールセット、そして RAWモードで編集する ルールIDを変更する 901120。 置換 設定変数:'tx.blocking_paranoia_level=1′ お好みのレベルで。

を採用することで、 検出パラノイアレベルより高いパラノイアレベルのルールを異常スコアリングに組み込むことなく実行できます。この柔軟性により、パラノイアレベル2のルールをパラノイアレベル1で微調整されたシステムに組み込むことが可能になり、スコアが設定された閾値を超える可能性のある誤検知の可能性に対する懸念を軽減できます。デフォルト設定では、検出パラノイアレベルはブロッキングパラノイアレベルと一致しています。 検出パラノイアレベルリクエスト-901-初期化 ルールセット、そして RAWモードで編集する ルールIDを変更する 901125。 置換 設定変数:'tx.detection_paranoia_level=%{TX.blocking_paranoia_level}' ご希望のレベル(例: 設定変数:'tx.detection_paranoia_level=2′).

CRSの各ルールには重大度レベルが割り当てられており、デフォルトでは ポイントを獲得する への影響を示す 異常スコア ルールが一致した場合。重大度レベルとそれに対応するスコアは次のとおりです。

CRITICAL: 異常スコア 5 (主にアプリケーション攻撃ルールによる) (93x および 94x ファイル)。
ERROR: 異常スコア 4。主にアウトバウンド漏洩ルールによって生成されます (95x ファイル)。
警告: 異常スコア 3。主に悪意のあるクライアント ルールによってトリガーされます (91x ファイル)。
注意: 異常スコア 2。主にプロトコル ルール (92x ファイル) に起因します。

In 異常モードこれらのスコアは累積され、単一のリクエストで複数のルールをトリガーできるようになります。これらのデフォルトポイントの調整は通常不要ですが、特定の要件に応じてカスタマイズできます。

それは次のように定義できる。 累積異常スコア受信リクエスト or アウトバウンドレスポンス ブロックされます。デフォルトでは、検出されたほとんどのインバウンド脅威にクリティカルスコア5が付与されますが、小さな違反には低いスコアが付与されます。デフォルトのブロックしきい値では、CRSは以前のバージョンと同様に動作し、クリティカルルールに7つでも一致するリクエストをブロックしてログに記録します。ブロックしきい値を10や100などの高い値に調整すると、CRSの感度が低くなり、ブロック前に複数のルールの一致が必要になります。ただし、しきい値を上げると、一部の攻撃がルールやポリシーを回避できるようになる可能性があるため、注意が必要です。または、推奨される導入戦略として、最初は高い異常スコアリングしきい値(XNUMX以上)を設定し、システムの信頼性が高まるにつれて徐々にしきい値を下げることで、時間の経過とともにセキュリティを強化するプロアクティブなアプローチを提供します。

デフォルトでは、受信異常スコアのしきい値は5に設定され、送信異常スコアのしきい値は4に設定されています。 受信異常スコアしきい値リクエスト-901-初期化 ルールセット、そして RAWモードで編集する ルールIDを変更する 901100。 置換 設定変数:'tx.inbound_anomaly_score_threshold=5′ ご希望のレベル(例: 設定変数:'tx.inbound_anomaly_score_threshold=4′)。同様に、 アウトバウンド異常スコアしきい値 ルールID 901110 交換 設定変数:'tx.outbound_anomaly_score_threshold=4′.

その 早期異常スコアリングモードのブロック フェーズ1とフェーズ3の終了を待つことなく、フェーズ2とフェーズ4の終了時にリクエストとレスポンスの異常スコアを早期に評価できます。このモードを有効にすると、早期評価中に異常しきい値に達した場合、フェーズ2(およびフェーズ4)の実行をバイパスして、即時にブロックできます。早期ブロックを有効にするには、ルールID 901115 以内 リクエスト-901-初期化 変数を設定するルールセット tx.early_blocking 1(デフォルトでは無効)に設定してください。早期ブロックを有効にすると、フェーズ2(またはフェーズ4)のアラートをトリガーするペイロードが評価されないため、潜在的なアラートが隠れてしまう可能性があることにご注意ください。将来的に早期ブロックを無効にすると、フェーズ2からの新たなアラートが明らかになる可能性があります。

その イージングイン/サンプリング率 この機能は、誤検知や予期せぬパフォーマンスへの影響など、既存の本番サイトにCRSを統合する際に発生する可能性のある問題を軽減するように設計されています。CRSを慎重に導入するために、最初は限られた数のリクエストに対して有効にすることができます。問題が解決され、設定に信頼性が確立されたら、ルールセットの対象となるリクエストの割合を徐々に増やすことができます。コアルールによって処理されるリクエストの割合は、以下の設定で調整できます。 tx.サンプリング率 ルールID 901130 以内 リクエスト-901-初期化 ルールセット。デフォルトは100で、すべてのリクエストがCRSチェックを受けることを意味します。チェック対象のリクエストの選択は、ModSecurityによって生成される疑似乱数に基づいて行われます。リクエストがCRSチェックなしで通過した場合、パフォーマンス上の理由から監査ログにはエントリが記録されませんが、エラーログエントリは記録されます。エラーログエントリを無効にするには、CRSを指定した後に、指定されたディレクティブを発行してください。

📄 この文書をPDF形式でダウンロードする #

    EMAIL: *

    Powered by ベタードックス