AzureOld PlanNew PlanLegacyFeature / Spec.
Azure WAFに適用されるWafCharmルールについて説明します。
Azure WAFに投入するWafCharmルールの初期アクションは、Default Actionに指定された項目をもとにしています。
WAF Config設定時にDefault ActionにBlockを選択された場合はBlock、Logを選択された場合はLogで投入します。
なお、ルールアクションの変更方法 (Azure) に記載の通り、Azure WAFではポリシー全体のモード指定も可能です。
Default Actionは「ルールそのもののアクション」を指定するための項目であり、ルールアクションはルールごとに変更する必要があります。例えば最初は検知モード(Log)で動作確認を行い、問題なければBlockに変更したいといった場合は、ポリシー全体のモードを「検出モード(Detection)」にした上でDefault ActionにBlockを選択し、確認が完了したらポリシー全体のモードを「防止モード(Prevention)」に変更することをおすすめします。
WafCharmをご利用の場合、以下の順序でルールが適用されます。
上記の順序は、Azure Portal上で変更された場合でも定期的なタイミングで元に戻ります。
※お客様作成ルール内での優先度は維持されます。
WAF Configにある [ルール設定] にてAllowlistにIPアドレスを登録すると、最優先で許可するIPアドレスとして登録されます。
管理者様など、信頼できるアクセス元からのリクエストを許可したい場合や、誤検知時等に一時的にリクエストを許可したい場合などにご活用いただけます。
セキュリティポリシー上では、「WafCharmWhitelistRule」というような説明のルールとして登録されます。
Denylistルールは、IPアドレスを元にリクエストをブロックするルールです。
セキュリティポリシー上では、「WafCharmBlacklistRuleX」というような名前のルールとして登録されます。Xは管理上の番号を表します。
Denylistルールは、以下の含まれる機能ごとに追加されます。
Denylistには、以下の機能が含まれます。
IPアドレスは機能ごとに個別のルールに登録されます。
上記のうち、以下の機能を指します:
アクセスログを数百ものシグネチャに再マッチング処理をしており、都度Denylist登録する機能(1時間毎更新)
WAF Policy Configに設定された情報を元にアクセスログを取得し、シグネチャに再マッチングする機能です。攻撃と思われる内容を含むリクエストがあった場合は、当該リクエストのIPアドレスをDenylistに登録します。
IPアドレスを常時自動で更新するため、更新状況により、IP アドレスの登録・解除を繰り返すケースもあります。
なお、Azure WAFの仕様上、IP アドレスの更新時にはルールごと再適用される仕組みとなります。対象リソースからのアクセスログの再マッチング更新時に攻撃と思しきリクエストがなく、登録するIPアドレスがない場合にはWAF Policy上からルールが消えていることもあります。
上記のうち、以下の機能を指します:
弊社独自のIPレピュテーションによるDenylist機能(1日毎)
弊社独自のIPレピュテーションにより、IPアドレスの登録・解除を行います。IPアドレスを常時自動で更新するため、更新状況により、IP アドレスの登録・解除を繰り返すケースもあります。
上記のうち、以下の機能を指します:
WafCharm管理画面より、お客様自身でIPアドレスを登録するDenylist機能(5~10分程度で反映)
お客様自身で手動でIPアドレスを登録いただく機能です。
Denylistに登録したくないIPアドレスを登録するための機能です。
上記Denylist機能のうち、自動でIPアドレスの登録・解除を行う機能ではリクエストを検査した上でDenylistへ登録を行っています。
リクエストがシグネチャにマッチした際にIPアドレスがDenylistに登録される仕組みとなりますので、もしお客様管理のIPアドレスなどで、他のWafCharmルールでは検査したいが、Denylistには登録したくないものがある場合には、あらかじめ例外設定を行うことで、そのIPアドレスがDenylistに登録されてしまうことを回避できます。