概要

WafCharmの設定後、ルールの適用状況や検知が行われているか確認する方法について記載します。

確認する内容

WAF Policy ConfigやWeb Site Config等の設定が完了したら、以下の点を確認します。

• ルールが適用されているか
• CRSが無効になっているか
• ログ集計が行われているか

ルールが適用されているか

1. Azure Portalを開く
2. WafCharmを利用するWAFポリシーを開く
3. 左のメニューにある [カスタム ルール] クリックする
4. 「WafCharm」から始まる名前のルールが適用されていることを確認する

• WafCharmは60個程度のルールを適用します。
• WafCharmはDenylistルールを最大3つ適用しますが、IPアドレスの登録状況により変動します。設定直後は基本的にはWafCharmBlackListRule3が適用されていれば問題ありません。
  • 設定時にBlacklistにIPアドレスを登録した場合は、WafCharmBlackListRule1も登録されています。

CRSが無効になっているか

CRS はについては、無効にしていただけるようお願いしております。無効化していただけない場合、誤検知などの対応は WafCharm 側でご協力できかねます。CRS を無効化してもセキュリティ上問題がないカスタム規則を提供しておりますのでご安心ください。

1. Azure Portalを開く
2. WafCharmを利用するWAFポリシーを開く
3. 左のメニューにある [管理されているルール] クリックする
4. OWASPと記載されたトグルを開き、すべてのルールを選択してから [無効化] ボタンをクリックする

   

5. すべてのCRSルールの [状態] の箇所に [Disabled] を記載されていることを確認する

   

ログ集計が行われているか

対象のリソースにアクセスをし、WafCharmコンソールのDashboard画面にある [ログカウント] の箇所で数がカウントアップされるかをご確認ください。

もし、ログ集計の数字が0のまま増えない場合には、以下の点をご確認ください。

• 必要な権限が付与されているか
• リクエストがあるか
• Log Analyticsが意図通りに連携されているか
• Subscription ID, Client ID, Tenant IDが正しく登録されているか

検知状況

WafCharmルールの詳細はセキュリティの観点より公開しておりません。

検知するか確認したいといった場合には、以下の方法でご確認ください。

1. WafCharmコンソールを開く
2. 左メニューから [WAF] をクリックし、対象のWAF Configを開く
3. [ルール設定] のタブをクリックする
4. [編集] をクリックする
5. Denylistにブロックされても問題ないIPアドレスを登録する
6. [登録] ボタンをクリックする
7. ポリシーが紐づいているリソースへアクセスする

403エラーが返され、Log Analyticsにて検知されたことが確認できたら、WafCharmルールでの検知状況の確認は完了です。

Azure WAFのバージョンによっては、ルール名は記載されない場合があります。

その場合は、ログ上のPriorityと、カスタムルール一覧のPriorityを照らし合わせて確認してください。

参考：Azure WAF ファイアウォールログのCRSバージョンごとの違い (WafCharmブログ)