概要

WAFログ連携によって、以下4つの機能をご利用いただけます。

• Dashboard画面の検知状況
• WAFログ検索機能
• 月次レポート機能
• WAFログアラート（検知通知）機能

AWS WAFバージョンとRuleポリシーごとの設定方法の違いについて

ご利用のAWS WAFバージョンとRuleポリシーによって、ご利用可能なWAFログ連携方式と、それによって提供可能な機能が異なります。

AWS WAF v2 Advanced

AWS WAF v2 Legacy

AWS WAF Classic Legacy

Dashboard画面の検知状況について

Dashboard画面についてのページをご確認ください。

WAFログ検索機能について

WAFログ連携を有効にしている場合に、WafCharmが取得したWAFログを検索できる機能です。

左メニューの [Analytics] 以下にある [Log] をクリックすると、WAFログ検索機能にアクセスできます。

使い方

画面上部のパネルが検索ツールで、結果がその下のパネル [Logリスト] に表示されます。

検索ツールには、以下の機能があります。

• Target WAF Config: 検索対象のWAF Configを指定します。
• タイムスタンプ (UTC): 検索したい時間をUTCで指定します。「10分」の場合、現在時刻から10分前のWAFログを検索します。選択肢にない範囲のWAFログを検索したい場合は、カスタムで日時を指定します。
• WAF アクション: 実行されたアクションを指定します。Allow, Block, CAPTCHA, Challengeから選択可能で、これらすべてを対象とする場合はALLを選びます。なお、Countは対象外です。
• 検索テキスト: 検索したい文字列を入力します。ルール名、Client IP、Country、Host、URI、Method、Actionの値に対して検索を実行しています。

  例：検索テキストに「JP」と入力した場合、Countryが「JP」となっているWAFログにマッチします。特定のIPアドレスで検索した場合、検索したIPアドレスがClient IPに含まれるWAFログのみがマッチします。

上記の項目に入力し、 [検索する] ボタンをクリックすると [Logリスト] パネルに結果が表示されます。

Logリストの結果について

表示された結果をクリックすると、右側のパネルが開き、詳細をご確認いただけます。

• リクエストID：WAFログ内に記載されるrequestIdです。
• タイムスタンプ (UTC)：WAFログ内に記載されるtimestampです。
• WAFアクション：WAFログ内に記載されるactionです。
• ルール名：WAFログ内に記載されるterminatingRuleIdです。
• クライアントIP：WAFログ内に記載されるclientIpです。
• Country：WAFログ内に記載されるcountryです。
• Host：WAFログ内に記載されるHostです。
• URI：WAFログ内に記載されるuriです。
• Method：WAFログ内に記載されるhttpMethodです。
• Raw data：WAFログのローデータです。右上の [copy] ボタンをクリックすると、データをコピーできます。

制限事項・注意点

• WAFログ検索機能で参照および表示する値は、すべてWAFログに含まれる値です。
  • 詳細については、AWS公式ドキュメントのログフィールドをご確認ください。
• WAFログ検索機能のActionは、WAFログ内の action の項目をもとにしています。WAFログ内の action には、リクエストに適用された終了アクション（terminating action）のみが記載されます。これらは、Allow、Block、CAPTCHA、Challengeのいずれかのみです。
  • actionにCountは記載されないため、Countで検知したリクエストを検索することはできません。
• WafCharmがダウンロードしたWAFログを元に検索しているため、お客様のAWS上に存在するS3バケット上のWAFログを参照することはありません。
• WAFログ連携（新方式）を介してWafCharmがWAFログをダウンロードするまでの時間は5〜10分程度です。基本的には、当日分のWAFログを保持いただければWAFログを用いた機能に影響することはありません。

月次レポート機能について

月次レポート機能は、登録されているWAF Configごとに転送されたWAFログを集計し、毎月月初に作成されるレポート機能です。

月次レポートは、左メニューの [Report] からご確認いただけます。

月次レポートには、以下の内容が記載されます。

• Attack Type
  • 攻撃タイプの一覧
  • 攻撃タイプをクリックすると、円グラフの集計対象のフィルタリングができます。
• Attack Typeの集計結果（円グラフ）
  • 検知したWAFログのAttack Typeの集計結果
• Detected Rule Ranking
  • 検知したルールのランキング（Top 10）
• Attack Country Ranking
  • 検知したリクエスト元の国のランキング（Top 10）
• Attack IP Ranking
  • 検知したIPアドレスのランキング（Top 10）

月次レポートのデータをExcel形式で出力する方法

各レポートの右上にある、[Download Excel] というボタンをクリックいただくと、レポートのデータをダウンロード可能です。

Excelには、該当のレポート上で表示されているデータが記載されます。
例えば、Grand TotalのExcelをダウンロードするとすべてのWeb ACLのデータを集計したレポートのデータ、特定のWeb ACLのExcelをダウンロードするとそのWeb ACLのレポートのデータがダウンロードされます。

レポート上では各項目にホバーすることでツールチップとして表示していた件数などもデータとして閲覧可能です。また、お客様のニーズに応じてデータの表示方法をご調整いただけます。

制限事項・注意点

• 月次レポートの作成が完了した際には、WafCharmアカウントをお持ちの方にお知らせを配信しております。
  • お知らせの配信停止を行われている場合には、お知らせをお受け取りいただけません。
• 月次レポートは、先月分のWAFログを集計して作成しております。
• 過去のWAFログを遡って取得することはできず、また転送されていないWAFログを集計対象とすることはできません。
• 月次レポートの作成完了後に、作成し直すことはできません。
• AWS にて対象の IP アドレスの地域を特定できていない場合、月次レポートの国名に「 - 」と出力されることがあります。
• AWS より提供されているログフィルタリング機能の設定については基本的に非推奨となります。
  • action: Block のみ保存するフィルタリングを設定した場合:
    • BLOCK したログのみ作成されるため、通知機能と月次レポートは BLOCK のログをベースに作成されます。
  • action: Count のみ保存するフィルタリングを設定した場合:
    • WafCharm の Count は AWS が定義している Count とは異なるため、通知と月次レポートが正しく機能しません。

WAFログアラート（検知通知）機能について

WAFログアラート設定は、旧管理画面のNotification画面に該当します。

WAFログ連携（旧方式あるいは新方式）を設定している場合に、本設定を有効にすると、指定したメールアドレス宛に検知通知メールが送信されます。

通知内容

WafCharm Notificationの通知内容

• メールタイトル： WafCharm Attack Detected.
• メール差出人：WafCharm Notification wafcharm-notification@cscloud.co.jp
• メール宛先：WafCharm Notification wafcharm-notification@cscloud.co.jp
• メールBCC先：WAFログアラートにて登録した通知先メールアドレス

Attacks as follows were detected. 
This report includes up to 10 attacks detected in every buffer interval. 
If you need to check more information and attacks, visit your AWS console.

WebACL Name(Web ACL ID): <お客様 のWeb ACL Name> (<お客様 のWeb ACL ID>)

Matches Rule: wafcharm-blacklist-010090004-07 (<Rule ID>)
Time(UTC): Thu, 01 Apr 2020 20:20:00 GMT
Source IP: XXX.XXX.XXX.XXX
Source Country: JP
URI: /

You may add/delete the email address to receive the detection notifications from the link below (login needed).
<WAF ConfigへのURL>

検知通知メールに記載される項目

• Time(UTC): WAFログ上のtimestampの内容をUTC形式に変換したものが記載されます。
• Source IP: WAFログ上のclientIpの内容が記載されます。XFFヘッダーオプションを使用している場合でも変わりません。
• Source Country: WAFログ上のcountryの内容が記載されます。
• Action: WAFログ上のactionの内容が記載されます。
• URI: WAFログ上のuriの内容が記載されます。
• Query String: リクエストにクエリが含まれていた場合、WAFログ上のargsの内容が記載されます。

Managed Rules Notificationの通知内容

AWS WAF Classicにて、WafCharmと弊社のManaged Rulesを併用されている場合にのみ通知が可能です。

• メールタイトル： CSC Managed Rules Attack Detected.
• メール差出人：WafCharm Notification wafcharm-notification@cscloud.co.jp
• メール宛先：WafCharm Notification wafcharm-notification@cscloud.co.jp
• メールBCC先：WAFログアラートにて登録したメールアドレス

Attacks as follows were detected.
This report includes up to 10 attacks detected in every buffer interval. 
If you need to check more information and attacks, visit your AWS console.

WebACL Name(Web ACL ID): < お客様 のWeb ACL Name> (< お客様 のWeb ACL ID>)

Managed Rule: Cyber Security Cloud Managed Rules for AWS WAF -HighSecurity OWASP Set-
Attack Type: suspicious_access
Field Type: url
Matches Rule Name: sample_suspicious_access-url-001
Matches Rule ID:<Rule ID>
Time(UTC): Thu, 1 Apr 2020 20:20:00 GMT
Source IP: XXX.XXX.XXX.XXX
Source Country: JP
URI: /

You may add/delete the email address to receive the detection notifications from the link below (login needed).
<WAF ConfigへのURL>

注意点

• 1 メール (ログファイル) につき最大10件まで検知内容が記載されます。
• 通知間隔は、WAFログの出力間隔に依存します。
  • S3バケットに直接出力している場合は、5分です。
  • Amazon Data Firehoseの場合は、Buffer intervalとBuffer sizeに設定した値に応じます。
• WafCharm に AWS WAF のバージョン（Classicあるいはv2）が異なる Web ACL を登録し、各 Web ACL にて本機能を利用する場合、Lambdaは共有しないでください。
  • Classicとv2では使用するindex.mjsが異なります。誤ったAWS WAFバージョンのindex.mjsを使用した場合、WAFログの転送に失敗します。
• AWS より提供されているログフィルタリング機能の設定については基本的に非推奨となります。
  • action: Block のみ保存するフィルタリングを設定した場合:
    • BLOCK したログのみ作成されるため、通知機能と月次レポートは BLOCK のログをベースに作成されます。
  • action: Count のみ保存するフィルタリングを設定した場合:
    • WafCharm の Count は AWS が定義している Count とは異なるため、通知と月次レポートが正しく機能しません。