WafCharmルールについて (Azure)
AzureOld PlanNew PlanLegacyFeature / Spec.
概要
Azure WAFに適用されるWafCharmルールについて説明します。
Azure WAFに投入されるカスタムルールのアクションについて
Azure WAFに投入するWafCharmルールの初期アクションは、Default Actionに指定された項目をもとにしています。
WAF Config設定時にDefault ActionにBlockを選択された場合はBlock、Logを選択された場合はLogで投入します。
なお、ルールアクションの変更方法 (Azure) に記載の通り、Azure WAFではポリシー全体のモード指定も可能です。
Default Actionは「ルールそのもののアクション」を指定するための項目であり、ルールアクションはルールごとに変更する必要があります。例えば最初は検知モード(Log)で動作確認を行い、問題なければBlockに変更したいといった場合は、ポリシー全体のモードを「検出モード(Detection)」にした上でDefault ActionにBlockを選択し、確認が完了したらポリシー全体のモードを「防止モード(Prevention)」に変更することをおすすめします。
WafCharmルールの順位について
WafCharmをご利用の場合、以下の順序でルールが適用されます。
- Allowlistルール(WAF Config上でIPアドレスの登録がある場合)
- お客様作成ルール
- Denylistルール
- WafCharmルール
- WafCharmによるカスタマイズルール(ご依頼を元にカスタムルールを追加した場合)
上記の順序は、Azure Portal上で変更された場合でも定期的なタイミングで元に戻ります。
※お客様作成ルール内での優先度は維持されます。
注意点
- 上記の順序は、お客様がAzure Portalにて変更したとしても、定期的なタイミングで再度上記の状態となります。
- お客様作成ルール内での優先度は維持されます。
- 誤動作の懸念があるため、お客様作成ルールに「WafCharm」や「wafcharm」という単語を用いることはお控えください。
- Denylistルールには、「シグネチャ再マッチング機能によって追加されたIPアドレス」「IPレピュテーションによって追加されたIPアドレス」「WAF Config上でお客様自身で登録したIPアドレス」があり、それぞれ個別のルールとして適用されます。
- 攻撃状況等によって、一部のルールが存在しない場合があります。
- Azure WAFの仕様により、DenylistルールのIPアドレスが更新される際はルールごと再適用される仕組みとなります。
- カスタマイズで適用したルールについては、原則として上記の5の位置に配置されますが、ルールの条件によってはその限りではありません。
Allowlistについて
WAF Configにある [ルール設定] にてAllowlistにIPアドレスを登録すると、最優先で許可するIPアドレスとして登録されます。
管理者様など、信頼できるアクセス元からのリクエストを許可したい場合や、誤検知時等に一時的にリクエストを許可したい場合などにご活用いただけます。
セキュリティポリシー上では、「WafCharmWhitelistRule」というような説明のルールとして登録されます。
制限事項・注意点
- 複数のIPアドレスを登録する場合は、半角カンマあるいは改行で区切ってください。
- WafCharm管理画面上で登録できるIPアドレスは最大1000個です。
- CIDR 登録は、/8 と /16 ~ /32 での登録が可能となります。
- IPv6 につきましては対応しておりません。
- CIDR の指定が無い場合は、/32 として処理されます。
Denylistについて
Denylistルールは、IPアドレスを元にリクエストをブロックするルールです。
セキュリティポリシー上では、「WafCharmBlacklistRuleX」というような名前のルールとして登録されます。Xは管理上の番号を表します。
Denylistルールは、以下の含まれる機能ごとに追加されます。
含まれる機能
Denylistには、以下の機能が含まれます。
- アクセスログを数百ものシグネチャに再マッチング処理をしており、都度Denylist登録する機能(1時間毎更新)
- 弊社独自のIPレピュテーションによるDenylist機能(1日毎)
- WafCharm管理画面より、お客様自身でIPアドレスを登録するDenylist機能(5~10分程度で反映)
IPアドレスは機能ごとに個別のルールに登録されます。
- WafCharmBlackListRule1: WafCharm 管理画面から入力されたもので、登録がない場合は存在しません。
- WafCharmBlackListRule2: アクセスログからの再マッチング機能によるブラックリストです。攻撃がない場合、存在しないこともございます。
- WafCharmBlackListRule3: CSC独自の IPレピュテーションによるブラックリストです。
アクセスログの再マッチング機能
上記のうち、以下の機能を指します:
アクセスログを数百ものシグネチャに再マッチング処理をしており、都度Denylist登録する機能(1時間毎更新)
WAF Policy Configに設定された情報を元にアクセスログを取得し、シグネチャに再マッチングする機能です。攻撃と思われる内容を含むリクエストがあった場合は、当該リクエストのIPアドレスをDenylistに登録します。
IPアドレスを常時自動で更新するため、更新状況により、IP アドレスの登録・解除を繰り返すケースもあります。
なお、Azure WAFの仕様上、IP アドレスの更新時にはルールごと再適用される仕組みとなります。対象リソースからのアクセスログの再マッチング更新時に攻撃と思しきリクエストがなく、登録するIPアドレスがない場合にはWAF Policy上からルールが消えていることもあります。
IPレピュテーション機能
上記のうち、以下の機能を指します:
弊社独自のIPレピュテーションによるDenylist機能(1日毎)
弊社独自のIPレピュテーションにより、IPアドレスの登録・解除を行います。IPアドレスを常時自動で更新するため、更新状況により、IP アドレスの登録・解除を繰り返すケースもあります。
手動で登録するDenylist機能
上記のうち、以下の機能を指します:
WafCharm管理画面より、お客様自身でIPアドレスを登録するDenylist機能(5~10分程度で反映)
お客様自身で手動でIPアドレスを登録いただく機能です。
制限事項・注意点
- 複数のIPアドレスを登録する場合は、半角カンマあるいは改行で区切ってください。
- WafCharm管理画面上で登録できるIPアドレスは最大1000個です。
- CIDR 登録は、/8 と /16 ~ /32 での登録が可能となります。
- IPv6 につきましては対応しておりません。
- CIDR の指定が無い場合は、/32 として処理されます。
Deny例外リストについて
Denylistに登録したくないIPアドレスを登録するための機能です。
上記Denylist機能のうち、自動でIPアドレスの登録・解除を行う機能ではリクエストを検査した上でDenylistへ登録を行っています。
リクエストがシグネチャにマッチした際にIPアドレスがDenylistに登録される仕組みとなりますので、もしお客様管理のIPアドレスなどで、他のWafCharmルールでは検査したいが、Denylistには登録したくないものがある場合には、あらかじめ例外設定を行うことで、そのIPアドレスがDenylistに登録されてしまうことを回避できます。
制限事項・注意点
- 複数のIPアドレスを登録する場合は、半角カンマあるいは改行で区切ってください。
- 登録可能数は、最大1000件です。
- IPアドレスはCIDRでの指定も可能です。指定可能なCIDRは、/1 ~ /32 です。
- IPv6 には対応しておりません。
- CIDR の指定が無い場合は、/32 として処理されます。