セキュリティネットワーク

NGINX Management SuiteのSecurity Monitoringを使ってみた

2022年11月に F5 NGINX Management Suiteに新しいモジュールであるSecurity Monitoring moduleが追加されました。F5 NGINXのWAFであるF5 NGINX App Protect WAFで検知したイベントログをWebUIで参照することができます。スクリーンショット多めで紹介していきます。

F5 NGINX Management Suiteに Security Monitoring module が先日追加されましたので試してみました。モジュールとありますが、NGINX Management Suiteはモジュールを追加することで機能追加できるNGINX用の総合管理ツールです。今回追加されたのは F5 NGINX のWAFであるF5 NGINX App Protect WAFで検知したセキュリティアラートなどを参照したり、検知したアラートを分析するためのダッシュボードが用意されているモジュールです。

Security Monitoring moduleは以下の構成で使えるようになります。ほぼ今時点の最新バージョンを用意する必要があります(2022月12月時点)。

 - NGINX Management Suite
 - Instance Manager 2.6以降
 - NGINX App Protect WAF 3.12.2以降
 - NGINX Plus R27以降

なお、NGINX Management Suite に関しては、以前に 当社のblog にて 紹介をしていますので参考にしてみてください。

TED-CNブログ > NGINX Management Suiteがリリースされました
https://cn.teldevice.co.jp/blog/p35701/

 


はじめに

早速、スクリーンショットを紹介します。

NGINX Management Suiteのメイン画面です。Launchpad上にあるSecurity Monitoringが今回追加されたモジュールです。


(画像の表示が見にくい場合には、画像をクリックすることで大き目の画像を見ることができます)

Security Monitoringでは、総攻撃数・Bot攻撃数・攻撃の時間帯・攻撃元の国情報・検知した攻撃種類・攻撃されたアプリのURL・攻撃してきたIPアドレスなどが一目瞭然となります。

検知したアラート情報はイベントログとして一覧表示もできます。

NGINX App Protect WAFでは通信を遮断した際に以下の画面のように Support ID が採番されます。

この Support ID をキーにイベントログを検索することができます。HTTPリクエスト・攻撃・対象となったWebサーバーのそれぞれの詳細情報を得ることができます。

どうでしょうか。
NGINX App Protect WAF のイベントログを視覚的にみることができました。Instance Manager Moduleがインストールされていることが前提となっていますので、Instance Managerと合わせて NGINXシステムの監視を大幅に強化することができます。

 


インストール

ここでインストール方法を紹介します。細かいコマンドなどは、メーカーサイト を参照いただくとして、概要レベルで紹介します。

・NGINX Management Suite側の設定

1) Management Suiteのライセンスを用意します。事前に購入しておくか、トライアルライセンスを入手しておきます。トライアルライセンスは30日間フル機能が使える評価用のライセンスです。弊社までお問い合わせいただければ発行いたします。

2) NGINX Management Suite Modulesをインストールします。ここでは Instance Manager を最初にインストールします。

3) WebUIにログインします。URLは https://<NGINX-MANAGEMENT-SUITE-FQDN>/ui/ です。

4) 監視対象となるNGINXインスタンス側にエージェントをインストールします。
Instance Managerパネルをクリックして、インスタンス追加用の手順どおりに NGINX agentというパッケージをインストールします。これで Instance Managerからメトリクス等の取得が可能になります。この際に 443番ポートで通信しますのでFWなどの設定で開けておく必要があります。

5) Security Monitoring moduleをインストールします。
apt-getやyumなどのパッケージマネージャーを使ってインストールします。

・NGINX App Protect WAF側の設定

1) 監視対象となるNGINX App Protect WAFインスタンス毎に  NGINX agentの追加設定を実施します。

2) NGINX App Protect WAFとして単体でセキュリティアラートを検知できるように設定します。この際にセキュリティログの吐き出し先を自身のsyslogサーバーになるように指定します。

3) NGINX agentの再起動を実施します。NGINX Webサーバーも再起動を実施します。

以上となります。これで、NGINX App Protect WAFで検知したイベントログなどをWebUI上で確認できるようになりました。手順が多いように思えますが、一度、Instance Managerまでインストールできていれば モジュールの追加手順は少なくなります。

 


Security Dashboard 画面

ダッシュボード画面では Main・Bots・Advanced・Event Logs の各タブ画面があり、表示期間などのフィルターが用意されています。

Webからの攻撃数、Botでの攻撃数、攻撃リクエスト数、国情報、NGINX App Protectでブロックしたセキュリティポリシー、送信元IPアドレス、バイオレーション名、対象となったURLなどの情報が表示されます。それぞれに関して条件抽出した内容で詳細画面を表示することもできます。

 

Botsの画面でも多くの情報が統計として表示されます。

Advanced画面では、Attack Signatureに関する統計情報が表示されます。

Event Logsでは、検知したイベントログの一覧表示です。詳細を参照したいイベントをクリックすることで詳細画面も表示されます。こここでは選択したイベントのNGINX App Protect WAFでロギングされる全ての情報が表示されます。

イベントログの詳細情報画面です。このイベントにおけるNGINX App Protect WAFで記録される全ての情報を参照することができます。

統計情報の画面のところどころにマウスカーソルを持っていくとリンクへと繋がっているのを見つけることができます。クリックすると、その項目をキーとして統計情報画面に遷移することができます。例えば Source IP などが それに該当します。知りたい情報へのアクセスが容易になるような設計と感じました。

 


Security ID Details 画面

NGINX App Protect WAFでブロックした場合、この Support ID をアプリケーションの画面上に表示するようにすれば、この Support ID をキーにイベントログを検索することができます。多数の通信が流れている中で 特定の通信によるイベントログを探すには、この Support ID が必要です。

 


まとめ

今まではサードパーティ製のツールで このようなグラフィカルに検知したイベントログを表示したり、統計情報として表示させることはできましたが、この Security Monitoring module によって NGINX Management Suite でも同等のことができるようになりました。Instance Manager と合わせてメトリクスも参照することができますので、よりNGINXシステムの状態を見ていくことができるようになりました。
NGINX Management Suite が統合管理ツールとして成長し、かつ、このようなグラフィカルなUIが見れると触っていて楽しい気がしています。

それでは、またNGINX Management Suiteで便利な使い方がありましたら、この場で報告したいと思います。

この記事に関連する製品・サービス

この記事に関連する記事