概要

WAFログ連携には、新方式と旧方式があります。新方式は、チェックボックスにチェックをいれ、WAFログ連携にオプトインすることでWAFログを連携できる方法です。Advancedの場合、新方式のみご利用可能です。

本ページでは、AWS WAF v2にて新方式でWAFログ連携を行う場合の手順を説明します。

事前準備

新方式で設定を行う場合、事前に以下の点についてご確認ください。

• 対象のWeb ACLでWAFログ出力設定が有効化されており、S3への出力となっていること
  • WAFログの出力設定については、ウェブ ACL のログ記録の有効化をご参照ください。
  • Advancedの場合、S3バケットへ直接出力してください。
  • 以下のWAFログ出力方法については非対応です。
    • Amazon Data Firehose
    • CloudWatch Logs
• WAFログに含まれる情報に個人情報が含まれないこと
  • マスキング処理についてはAWS公式ドキュメントのフィールドのマスキングについてをご参照ください。

注意点

• マスキングすべき内容が含まれているかや、どの情報をマスキングするかについては、お客様にてご確認の上ご判断ください。
• マスキングを行った場合、当該箇所のデータは提供されないため、以下の機能で当該データは利用不可となります。
  • Denylist機能の再マッチング処理
    • マスキングされた範囲のデータは再マッチング処理できないため、当該箇所に含まれる内容については検査できません。
  • 検知状況・WAFログ検索機能
    • マスキングされた範囲のデータは表示されず、検索もできません。
  • 例
    • URIをマスキングした場合、URIに不審なリクエストと思われる内容が含まれていても、再マッチングにて検知できません。また、検知状況やWAFログ検索において、URIを用いた情報の表示・検索ができない状態となります。
• AWSマネージメントコンソール上でWeb ACLのLogging設定を変更した場合、WafCharmコンソールでも当該WAF Configの再適用を行う必要があります。

AdvancedでのWAFログ連携の設定

1. [ログ・通知設定] 画面の [WAFログ連携] タブにて [WAFログをWafCharmに連携する] にチェックを入れる
2. 事前準備に記載のS3バケットへの出力とマスキングについて確認を行い、チェックを入れる

登録完了後、WAF Configの詳細画面にて [ログ・通知設定] のタブをクリックすると、 [S3 Bucket] の箇所にWAFログ取得元のS3バケットのパスが記載されます。こちらの値が正しいかどうか、ご確認ください。

上記の通り、AWSマネージメントコンソール上でWeb ACLのLogging設定を変更した場合はWafCharmコンソールでも当該WAF Configの再適用を行う必要があります。もし、AWSマネージメントコンソール上で指定したWAFログの出力先S3バケットと、WAF Configの詳細画面で表示されるS3バケットのパスが一致していない場合には、再適用ボタンをクリックしてください。

WAFログアラートの設定

1. [ログ・通知設定] 画面の [WAFログアラート] タブをクリックする
2. [WAFログアラートを使用する] にチェックを入れる
3. 通知先のメールアドレスを記載する

WAFログ連携の設定が行われていない場合、 [WAFログアラートを使用する] にチェックを入れることはできません。WAFログアラートの設定ができない場合、まずはWAFログ連携の設定状況を確認してください。