Loading...
Back

Bot Dashboardについて

AWS WAF v2New PlanAdvancedFeature / Spec.

Bot ダッシュボードは、特定のユースケースに当てはまる一定時間内のリクエストを抽出し、そこからリクエストの特徴を洗い出すためのダッシュボード機能です。多数のリクエストが発生している場合に、リクエストをブロックするための条件として、共通する値を抽出する際などに役立てていただけます。

AWSが提供するAWSマネージドルールの「AWS WAF Bot Control ルールグループ」と併用いただくことで、Botからのリクエストに関する情報が閲覧可能になります。

本機能のご利用には、Log Intelligenceオプション(有料)の購読が必要です。

注意点・補足事項

  • WafCharmアカウントにLog Intelligenceオプションを追加している場合にのみご利用いただけます。Log IntelligenceオプションについてはWafCharm(直販版)のご利用料金についてをご確認ください。
  • Advanced Ruleポリシーのみご利用可能な機能です。
  • Legacy Ruleポリシーは対象外です。
  • ご利用には、WAFログ連携を有効化いただく必要があります。
  • AWS WAF Bot Control ルールグループを併用いただいていない場合、Bot関連の項目は表示されません。また、ユースケースの「Botリクエストの特徴を抽出する」についてもデータの表示ができません。
  • ASNやJA4 FingerprintがWAFログ内に存在していない場合、検索結果には表示されません。
  • [オプション変更] ボタンが表示されていない場合には、お手数ですが営業担当までご連絡ください。

設定方法

まずはLog Intelligenceオプションを有効化されていることをご確認ください。アカウント画面にて、Log Intelligence オプションの箇所に [購読中] と記載されている場合、オプションが有効化されていることを表します。[未購読] と記載されている場合、まだ有効化されていませんので、 [Log Intelligenceオプションの購読方法] に記載の手順で有効化してください。

次に、WAF Configの [ログ・通知設定] から、WAFログ連携を有効化してください。詳細は AWS WAF v2 AdvancedでのWAFログ連携(新方式)の設定方法 をご確認ください。

ご利用方法

Bot ダッシュボードをご利用いただくには、左メニューの [Analytics] 以下にある [Bot Dashboard] をクリックしてください。

画面について

[抽出ビュー] という箇所で、対象のWAF Configや、抽出したいWAFログのユースケース、抽出期間を指定します。条件に該当するデータが [検索結果] 以下に表示されます。[検索結果] から個別の値を選択すると、[詳細分析ビュー] が開きます。

抽出ビューについて

[抽出ビュー] に記載される項目は以下の通りです。

  • Target WAF Config:対象のWAF Configを選択します。WAFログ連携が行われているAdvanced RuleポリシーのWAF Configのみが表示されます。
  • ユースケース:抽出したいWAFログの条件を選択します。マッチするWAFログが存在しない場合、データは表示されません。
    • リクエストが多いアクセス元の特徴を抽出する:対象のWAF Configや期間といった他の条件にマッチしたリクエストすべてを対象とします。
    • Botリクエストの特徴を抽出する:AWS WAF Bot Control ルールグループが付与したBot関連のラベルが存在し、かつ対象のWAF Configや期間といった他の条件にマッチしたリクエストを対象とします。
    • 悪性リクエストの特徴を抽出する:WafCharmの正規表現ルールおよび対象のWAF Configや期間といった他の条件にマッチしたリクエストを対象とします。
  • 抽出期間:対象とするWAFログの期間を選択します。選択肢は1時間、24時間、7日、30日、1〜60日までの任意の日数です。
  • 終了日時:終了日時を選択します。ここで指定した日時を起点とし、抽出期間の分過去に遡る形で抽出を行います。[現在時刻を設定する] をクリックすると、現在時刻が自動で挿入されます。

    例:11月1日 10:00を終了日時とし、抽出期間を1時間とした場合、11月1日の9時から10時までのWAFログを抽出対象とします。

検索結果について

[検索結果] に記載される項目は以下の通りです。

  • タイムライン:抽出条件に該当するWAFログの情報を元に、リクエスト数をプロットしたタイムラインです。X軸がリクエスト数で、Y軸が抽出期間に応じた時間間隔です。時間間隔は、抽出期間に応じて異なります。
    • 1時間:5分ごと
    • 24時間あるいは1日:1時間ごと
    • 1日以外の日数指定(7日、30日、2〜60日):1日ごと
  • 集計項目
    • Bot識別ラベル:AWS WAF Bot Control ルールグループが付与した、Botを識別するためのラベルが付与されている場合に、その値で集計したTop 10ランキングです。
    • Bot Signalラベル:AWS WAF Bot Control ルールグループが付与した、シグナルラベルが付与されている場合に、その値で集計したTop 10ランキングです。
    • ASN:ASNがWAFログ内に存在する場合に、ASNで集計したTop 10ランキングです。
    • Geo:AWS WAFにて判定した国(WAFログ内の country の値)で集計したTop 10ランキングです。
    • JA4 Fingerprint:JA4 fingerprintがWAFログ内に存在する場合に、JA4 fingerprintで集計したTop 10ランキングです。

Bot 識別ラベル、Bot Signalラベル、ASN、Geo、JA4 Fingerprintの項目は、クリックするとタイムラインに表示される内容が集計結果に応じて変化します。

また、各項目で集計された値をクリックすると、その要素に該当するWAFログの一覧が [詳細分析ビュー] として右側のパネルに表示されます。

なお、集計項目にて対象の値が存在しない場合、 [該当なし] と記載されます。[該当なし] はクリックできない項目です。

詳細分析ビューについて

[詳細分析ビュー] に記載される項目は以下の通りです。

  • 検索条件:検索時に指定した条件を表示します。
    • Target WAF Config:指定したWAF Config名を表示します。
    • 抽出期間:抽出期間と終了日時を元にした抽出期間を表示します。
    • 検索結果で選択した集計項目:Bot識別ラベル、Bot Signalラベル、ASN、Geo、JA4 Fingerprintのいずれかで選択した値を表示します。
  • WAF Action:上記の検索条件に該当するWAFログを元にした終端アクションの集計数です。
  • ログ一覧:上記の検索条件に該当するWAFログの一覧です。対象行をクリックすると、当該のWAFログの詳細を閲覧できます。WAFログの詳細画面は、WAFログ検索機能と同じです。WAFログの詳細画面については、WAFログ連携によってご提供可能な機能について - Logリストの結果について をご確認ください。

[カスタマイズのお問い合わせテンプレートをコピーする] ボタンについて

抽出した条件を用いてカスタマイズを行いたい場合に、抽出条件およびその他の条件を記載するためのお問い合わせ時のテンプレートをご提供します。本テンプレートをコピーした後、お問い合わせフォームのメッセージ欄に貼り付けて、内容を記入し、お送りください。

カスタマイズの詳細については、ルールのカスタマイズについて (AWS WAF v2) をご確認ください。

例えば、検知条件をGeoの「US」にした場合、以下のようなテンプレートがクリップボードにコピーされます。

カスタマイズの対象とするWAF Config名と、検知条件(例の場合は国が「US」)はあらかじめ記載されていますので、それ以外の項目をご記入ください。

- Target WAF Config: "選択したWAF Config名"
- 検知条件: Geo = "US"
- [任意] 絞り込み条件: (URI, ヘッダ など 複数可)
- アクション: (Count, Block, CAPTCHA, Challenge, Allow)

Rate Basedの場合は以下情報も記載ください
- レート制限: (10〜)
- 評価ウィンドウ: (1min, 2min, 5min, 10min)
- リクエスト集約条件: (IPアドレス など)

国は「US」かつURI「/example」(前方一致)で遮断したい場合、テンプレートを以下のように調整します。レートベースルールではないため、「Rate Basedの場合は以下情報も記載ください」以降の内容は削除しています。

- Target WAF Config: "選択したWAF Config名"
- 検知条件: Geo = "US"
- [任意] 絞り込み条件: URI「/example」(前方一致)
- アクション: Block

仮にレートベースルールによって制限したい場合、以下のようにご記載ください。この場合、絞り込み(スコープダウン)に用いる条件は『国は「US」かつURI「/example」(前方一致)』のままですが、レートベースルール特有の閾値や、集約キーの指定が含まれます。

- Target WAF Config: "選択したWAF Config名"
- 検知条件: Geo = "US"
- [任意] 絞り込み条件: URI「/example」(前方一致)
- アクション: Block

Rate Basedの場合は以下情報も記載ください
- レート制限: 100
- 評価ウィンドウ: 5min
- リクエスト集約条件: Source IP

なお、対象のWAF Configが複数ある場合には、「Target WAF Config」の隣にWAF Config名を複数ご記入ください。

また、あくまでテンプレートでございますため、もし他にも組み合わせたい条件がある場合などは、お問い合わせ時に実施されたい内容を具体的にご記入ください。テンプレートのフォーマットに沿っていなくても問題ございません。

[カスタマイズのお問い合わせテンプレートをコピーする] ボタンに関する注意点

  • お問い合わせ時にご利用いただくためのテンプレートをコピーするためのボタンです。ボタンをクリックした時点で実際にカスタマイズが適用されるわけではございません。
  • テンプレートにご記載の内容については、認識の齟齬を防ぐため、再度ご確認をお願いする場合がございます。あらかじめご了承ください。
  • このボタンをクリックしただけでは、お問い合わせは行われません。お問い合わせの送信は別途お問い合わせフォームからご実施ください。