概要

WafCharm Liteでは、以下の機能をご利用いただけます。

※ [WAFログ連携機能] と記載されている機能は、WAFログ連携の有効化が必要な機能です。WAFログ連携が有効化されていない場合、ご利用いただくことができません。

IPアドレス管理機能

IPアドレスの管理に関わる機能です。WafCharmコンソールのWAF Configにある「ルール設定」タブから、詳細の確認および設定・編集が可能です。

以下の設定項目が含まれます。

Allowlist
Denylist
動的Denylist
IP参照
例外設定（例外IPアドレス）

Allowlist

必ず許可したいIPアドレスを登録するための機能です。

登録方法は、WAF Configのルール設定 (AWS WAF v2) - IPアドレス - Allowlist をご確認ください。

AWSマネージメントコンソール上でルールを直接編集した場合（IPアドレスの追加など）、その設定は維持されません。WafCharmコンソール上の設定が優先されるため、必ずWafCharmコンソールからIPアドレスの追加・削除をお願いします。

Denylist

必ずブロックしたいIPアドレスを登録するための機能です。動的Denylist機能とは異なり、こちらはお客様にて手動で管理いただくための機能です。恒久的に登録したいIPアドレスがある場合も、こちらの機能をご利用ください。

登録方法は、WAF Configのルール設定 (AWS WAF v2) - IPアドレス - Denylist をご確認ください。

また、以下の点にご留意ください。

Denylistに関連するルールは、以下の2つに別れます。
- WafCharm_DenyIps_XXX：手動で登録したIPアドレス用のDenylistルールです。
- WafCharm_Automated_DenyIps_XXX：動的Denylist機能、IPレピュテーション機能で登録されたIPアドレス用のDenylistルールです。
Denylistの更新タイミングは以下の通りです。
- 動的Denylist機能：5分毎。
- IPレピュテーション機能：1日毎。
- 手動で登録する機能：即時（状況により多少変動する場合もございます）。

動的Denylist

動的Denylist機能によって登録されたルールのアクションを切り替えるための機能です。

動的Denylistルールには、以下2つの機能により登録されたIPアドレスを含みます。

ログを数百ものシグネチャに再マッチング処理をしており、都度Denylist登録する機能（動的Denylist機能）
- WAFログを使用して再マッチング処理を行います。WAFログ連携（新方式）が有効になっていない場合には、本機能も有効にならず、再マッチング処理は行われません。
- 詳細は、動的Denylist機能 [WAFログ連携機能] もご確認ください。
弊社独自のIPレピュテーションによるDenylist機能（IPレピュテーション機能）
- WAFログ連携（新方式）の設定状況にかかわらず、利用可能です。

アクションの変更方法は、ルールアクションの変更方法 (AWS WAF v2) - 動的Denylistルールをご確認ください。

なお、ルールアクションは、WafCharmコンソール上の設定が優先されます。仮にAWSマネージメントコンソール上でルールアクションを変更した場合、WafCharmコンソール上で設定したアクションに上書きされます。ルールアクションの変更を行う場合は、必ずWafCharmコンソールからご実施ください。

AWSマネージメントコンソール上でルールを直接編集した場合（IPアドレスの追加など）、その設定は維持されません。WafCharm Liteにて想定している状態に戻ります。別途ブロックしたいIPアドレスがある場合には、手動のDenylist機能をご利用ください。

IP参照

リクエスト内のどの部分に記載されたIPアドレスを参照するか、という設定です。Allowlist、Denylist、動的Denylistすべてにおいて同じ設定が適用されます。

Source IP
- リクエスト元のIPアドレスであるSource IP（Client IP）を検査対象とします。
特定ヘッダ（参考：特定ヘッダについて）
- X-Forwarded-Forなどのヘッダー名を登録いただき、指定されたヘッダーに記載されるIPアドレスを検査対象とします。
- 特定のヘッダー内のIPアドレスを参照する場合は、参照したいIPアドレスの位置を「参照するヘッダ位置」からご指定ください。

設定方法は、WAF Configのルール設定 (AWS WAF v2) - IPアドレス - IP参照をご確認ください。

例外設定（例外IPアドレス）

動的Denylistで検知させたくないIPアドレスを登録するための機能です。[例外IPリスト] に登録したIPアドレスは、動的Denylistルール（WafCharm_Automated_DenyIps_XXX）から除外され、検知されなくなります。

お客様にて管理されているIPアドレスで、Denylistには登録したくないものがある場合には、あらかじめ例外設定を行うことでそのIPアドレスがDenylistにてブロックされてしまうことを回避できます。

登録方法は、WAF Configのルール設定 (AWS WAF v2) - 例外設定 - IPアドレスをご確認ください。

IPアドレス管理機能に関する注意点

「特定ヘッダ」を選択した場合、リクエスト内に指定したヘッダーが存在しない場合、また指定したヘッダーに IP アドレスが存在しない場合、ルールに一致しません。
- 特定のヘッダのIPアドレスに関する詳細は、AWS公式ドキュメントの「転送されたIPアドレス」もご参考ください。
「特定ヘッダ」を選択した場合、シグネチャ再マッチングによる自動 Denylist 管理機能（動的Denylist機能）の再マッチング処理でも、指定されたヘッダ（X-Forwarded-Forなど）のIPアドレスを検査対象とします。
- ヘッダー IP アドレスがリストになっている場合、評価するIPアドレスはWAF Config上の設定に依存します。
複数のIPアドレスを登録する場合は、半角カンマあるいは改行で区切ってください。
登録可能数は、最大1000件です。
IPアドレスはCIDRでの指定も可能です。指定可能なCIDRは、/8 と /16 ~ /32 です。
IPv6 には対応しておりません。
CIDR の指定が無い場合は、/32 として処理されます。
各種設定の登録完了後、基本的には即時で反映されます。何らかの理由により処理が完了するまで多少前後する可能性はございます。

動的Denylist機能 [WAFログ連携機能]

ログを数百ものシグネチャに再マッチング処理をしており、都度Denylist登録する機能（動的Denylist機能）です。

連携いただいたWAFログを元に、弊社独自のシグネチャと再マッチングを行い、マッチしたIPアドレスをDenylistルールにブロック対象として自動で登録・解除いたします。WAFログ連携（新方式）が有効になっていない場合には、本機能も有効にならず、再マッチング処理は行われません。

また、以下の点にご留意ください。

Denylistに関連するルールは、以下の2つに別れます。
- WafCharm_DenyIps_XXX：手動で登録したIPアドレス用のDenylistルールです。
- WafCharm_Automated_DenyIps_XXX：動的Denylist機能、IPレピュテーション機能で登録されたIPアドレス用のDenylistルールです。
Denylistの更新タイミングは以下の通りです。
- 動的Denylist機能：5分毎。
- IPレピュテーション機能：1日毎。
- 手動で登録する機能：即時（状況により多少変動する場合もございます）。

動的Denylist機能に関する注意点

動的Denylistルールは、常時更新が行われます。
検知したIPアドレスは恒久的には登録されませんので、恒久的にブロックしたいIPアドレスは別途Denylist機能を用いて、手動での登録をお願いいたします。
WafCharm Liteが更新を行うDenylistルールを、AWSマネージメントコンソール上で直接編集することは動作保証外となりますのでお控えください。
WAFログ連携が有効になっていない場合には、動的Denylist機能が有効にならず、再マッチング処理は行われません。
WAFログ連携の設定状況にかかわらず、手動でご登録いただくDenylist機能と、弊社独自のIPレピュテーションによるDenylist機能（IPレピュテーション機能）の2つはご利用可能です。
WAFログ連携は、S3バケットに直接出力したWAFログのみが対象です。Data FirehoseやCloudWatch Logsに出力している場合、本機能はご利用いただけません。
「特定ヘッダ」を選択した場合、シグネチャ再マッチングによる自動 Denylist 管理機能（動的Denylist機能）の再マッチング処理でも、指定されたヘッダ（X-Forwarded-Forなど）のIPアドレスを検査対象とします。
- ヘッダー IP アドレスがリストになっている場合、評価するIPアドレスはWAF Config上の設定に依存します。
「特定ヘッダ」を選択した場合、リクエスト内に指定したヘッダーが存在しない場合あるいは指定したヘッダーに IP アドレスが存在しない場合、再マッチング処理のシグネチャに一致しません。

動的Denylist機能 [WAFログ連携機能] の設定方法

AWSマネージメントコンソールのAWS WAFの画面にてS3バケットに直接WAFログを出力する
AWS WAF画面でのWAFログの出力方法は、保護パックまたはウェブ ACL のログ記録の設定をご確認ください。
[ログ・通知設定] 画面の [WAFログ連携] タブにて [WAFログをWafCharmに連携する] にチェックを入れる
事前準備に記載のS3バケットへの出力とマスキングについて確認を行い、チェックを入れる
[登録] ボタンをクリックする

動的Denylistルールのアクション変更方法

ルールアクションの変更方法 (AWS WAF v2) - 動的Denylistルールをご確認ください。

月次レポート機能 [WAFログ連携機能]

月次レポート機能は、転送されたWAFログを集計し、毎月月初に作成されるレポート機能です。WafCharmアカウント全体での集計となります。WAF Configごとの月次レポートは、WafCharmにアップグレードいただくと閲覧可能になります。

月次レポートは、左メニューの [Report] からご確認いただけます。

月次レポートには、以下の内容が記載されます。

Attack Type
- 攻撃タイプの一覧
- 攻撃タイプをクリックすると、円グラフの集計対象のフィルタリングができます。
- WafCharm Liteが提供するルールと、CSC Managed Rulesのみが分類対象です。それ以外のルールは、適切な分類ができません。
Attack Typeの集計結果（円グラフ）
- 検知したWAFログのAttack Typeの集計結果
Detected Rule Ranking
- 検知したルールのランキング（Top 10）
Attack Country Ranking
- 検知したリクエスト元の国のランキング（Top 10）
Attack IP Ranking
- 検知したIPアドレスのランキング（Top 10）

月次レポートのデータをExcel形式で出力する方法

月次レポートの右上にある、[Download Excel] というボタンをクリックいただくと、レポートのデータをダウンロード可能です。

Excelには、該当のレポート上で表示されているデータが記載されます。

レポート上では各項目にホバーすることでツールチップとして表示していた件数などもデータとして閲覧可能です。また、お客様のニーズに応じてデータの表示方法をご調整いただけます。

月次レポート機能に関する注意点

WAFログ連携が有効になっていない場合には、月次レポートは作成されません。
WAFログ連携は、S3バケットに直接出力したWAFログのみが対象です。Data FirehoseやCloudWatch Logsに出力している場合、本機能はご利用いただけません。
月次レポート上のAttack Typeという項目では、WafCharm Liteが提供するルールとCSC Managed Rules（OWASP Top 10に代表される攻撃から包括的に防御するためのルールセット）のみが分類対象です。それ以外のルールは、適切な分類ができません。CSC Managed Rulesと併用せず、別のルールセットをご利用されている場合、Attack Typeに関するデータをご活用いただくことが難しい可能性があります。
月次レポートの作成が完了した際には、WafCharmアカウントをお持ちの方にお知らせを配信しております。
- お知らせの配信停止を行われている場合には、お知らせをお受け取りいただけません。
月次レポートは、先月分のWAFログを集計して作成しております。
過去のWAFログを遡って取得することはできず、また転送されていないWAFログを集計対象とすることはできません。
月次レポートの作成完了後に、作成し直すことはできません。
AWS にて対象の IP アドレスの地域を特定できていない場合、月次レポートの国名に「 - 」と出力されることがあります。

月次レポート機能 [WAFログ連携機能] の設定方法

AWSマネージメントコンソールのAWS WAFの画面にてS3バケットに直接WAFログを出力する
AWS WAF画面でのWAFログの出力方法は、保護パックまたはウェブ ACL のログ記録の設定をご確認ください。
[ログ・通知設定] 画面の [WAFログ連携] タブにて [WAFログをWafCharmに連携する] にチェックを入れる
事前準備に記載のS3バケットへの出力とマスキングについて確認を行い、チェックを入れる
[登録] ボタンをクリックする

メンバー設定

WafCharmコンソールでは、はじめに作成されたアカウントに「Owner」という権限が自動的に付与されます。このOwnerアカウントに紐づく、メンバーアカウントの登録が可能です。

メンバーアカウントは、Ownerアカウントと同じ以下の権限を持ちます。

Credential Store
- Web ACL等に対してWafCharmからアクセスするためのクレデンシャルを登録する画面です。
- 追加、表示、編集、削除の権限を持ちます。
WAF Config
- Web ACLの情報を登録するための設定画面です。
- 追加、表示、編集、削除の権限を持ちます。
Monthly Reports
- 月次レポート機能を使用する場合に、月次レポートを閲覧する画面です。
- 表示の権限を持ちます。
Members
- メンバー設定に関する画面です。
- 追加、表示、編集、削除の権限を持ちます。

メンバー設定に関する注意点

WafCharm Liteでは、OwnerおよびManagerの2つの権限のみが存在します。
Ownerは、はじめに作成されたアカウントに自動的に付与される権限です。この権限の変更・付け替え・移譲はできません。
Managerは、Owner以外のすべてのアカウントが持つ権限です。WafCharm Liteにおいては、Ownerと同じ権限を持ちます。
すべてのアカウントにおいて、有効なメールアドレスが必要となります。
WafCharmおよびWafCharm Lite全体において、アカウントのメールアドレスとしてご登録できる値は一意です。アカウントの種類、権限は問いませんので、他のオーナーアカウント、または他のオーナーに紐づくメンバーとして登録されているメールアドレスの再利用も不可となります。すでにWafCharmあるいはWafCharm Liteのアカウントをお持ちの場合、別のメールアドレスをご利用ください。
Managerロールのメンバーアカウントにはメンバーアカウント操作権限がありますが、自身のアカウントは削除できません。自身のアカウントを削除する際は、オーナーアカウントから削除を実施してください。自身以外のManagerロールのメンバーアカウントの削除は実施しても問題ありません。

メンバーアカウントの追加方法

メンバーアカウントの追加を行う場合、登録済みのアカウントにて実施する手順と、メンバーアカウントの利用者にて実施する手順があります。

まずは登録済みのアカウントで以下をご実施ください。

WafCharmコンソールにログインする
画面右上のユーザー名をクリックする
[メンバー設定] をクリックする
[新規追加] をクリックする
ユーザー名やメールアドレスなど、必要な情報を入力および選択する
[保存] をクリックする

以降の手順は、メンバーアカウントおよびメンバーアカウントの利用者による対応が必要です。

メンバーアカウントとして登録したメールアドレス宛に確認メールが送信される
確認メール内の [確認する] リンクをクリックする
[メール認証を完了しました] という画面が表示されたら、登録完了です。
[確認する] リンクをクリックするまでアカウントの登録は完了しないため、必ずこの手順を実施してから次に進んでください。
[ログイン] ボタンをクリックし、WafCharmコンソールにログインする
パスワードがわからない場合や、再発行が必要な場合は、パスワードの再発行をご実施ください。
表示されるユーザー名を確認し、[アカウントを登録してすすむ] から次の画面に進む

メンバーアカウントの編集方法

WafCharmコンソールにログインする
画面右上のユーザー名をクリックする
[メンバー設定] をクリックする
編集したいユーザーの行をクリックする
[編集] ボタンをクリックする
設定を変更し、[保存] ボタンをクリックする

メールアドレスの変更を行った場合、変更後のメールアドレス宛に確認メールが送信されます。

確認が完了するまではメールアドレスの変更は適用されませんので、必ず確認メールをご確認ください。

メンバーアカウントの削除方法

WafCharmコンソールにログインする
画面右上のユーザー名をクリックする
[メンバー設定] をクリックする
削除したいアカウントの行をクリックする
詳細画面をスクロールし、[削除] ボタンをクリックする
[削除] ボタンをクリックする
[本当に削除しますか？] というポップアップが表示されるので、 [削除] をクリックする

WafCharm Liteの提供機能について

概要