【お客様のWAF運用を支援する】F5 XC WAAPのダッシュボード・レポート機能の紹介
F5XC WAAPのダッシュボード・レポート機能についてご紹介します。
みなさま、こんにちは!
WAFを導入する上で気になるポイントの一つとして「WAFの運用」や「導入効果の可視化」がよく挙がると思います。
本記事ではこれらの課題・ご心配を持つお客様を支援するF5 Distributed Cloud Services (F5 XC) WAAPのダッシュボード・レポート機能について紹介いたします。
なお、F5 XC WAAPの詳細については以下の記事で紹介していますのでF5 XC WAAPについてご存じ無い方は是非ご参照ください。
F5 Distributed Cloud Services ( F5 XC ) とは?
目次
1.Security Dashboard
「Security Dashboard」はF5 XCのウェブコンソール上で提供される機能の一つです。
このページでは、ご利用のF5 XC テナント全体でのWAAP のSecurity Eventサマリーを確認する事ができます。
ダッシュボードページの下部にはテナント内の設定済みLoad Balancerの一覧が表示されており、
任意のLoad Balancerを選択する事でLoad Balancer単位でのより詳細なダッシュボード・レポートを確認する事ができます。
F5 XCのLoad Balancerをご存じ無い方に簡単に説明しますと、Load BalancerはF5 XC上のHTTP/HTTPS通信のリスナーです。
ここで受信した通信がWAAPで処理されてOrigin Server(お客様の実サーバー)へと転送されます。
2.Security Dashboard (Load Balancer)
Load Balancerのダッシュボードでは該当Load Balancerにおけるセキュリティイベントの統計情報を確認できます。
※画像をクリックして拡大表示できます。画像から戻る場合はブラウザの「戻る」を使用してください。
①統計期間を指定することができます。F5 XC上では最大過去30日までのレポートが保存されています。
ここをクリックして「過去5分」~「過去30日」の範囲で任意の期間で統計期間を変更する事が可能です。
②「Domain」をクリックする事でドメイン毎の統計を表示する事ができます。
例えば、「www.example.com」を入力した場合、www.example.comに関する統計を表示する事ができます。
また、複数のドメインを指定する事も可能です。
③ダッシュボード画面はそのままPDFで出力する事ができます。週次、月次レポートとしても利用する事が可能です。
④ここでは統計情報のソースのフィルターが可能です。
国、送信元IPアドレス、イベントタイプ、アタックタイプ、シグネチャなど様々なフィルターを指定して限定または除外可能です。
例えば、特定の送信元IPからのアクセスに基づいた統計、イベントタイプに限定した統計、等いろいろな使い方ができます。
⑤ここでは主に以下の統計情報を確認する事ができます。
- Events by Country (Security Events / DDoS) (セキュリティイベント・DDoSのアクセス元の国毎の分布)
- Top Attack Source
- Top Attacked Domain
- Top Attacked API Endpoints
- API Classification
- Bot Classification
- Top Attacks by Signatures
- Top Attacks by Attack Types
- Top Attacks by Violations
- Top Attacks by Threat Campaigns
- Malicious Users
- DDoS Security Events
- Top Service Policies Hit
Top Attack by SignaturesをはじめとしたTop Attack by~の項目では各項目毎のアタック検知トップ5が表示されています。
期間毎のLoad Balancer全体、またはドメイン別のアタック検知の傾向を素早く確認する事ができますので、WAF効果を簡単に確認したい場合に有用です。
ここから任意のSignatureをクリックすると該当Signatureによって検知された攻撃のログ一覧を確認する事もできます。
また、この機能を用いたクイックWAFチューニングも可能となります。
詳細は以下の記事にて紹介していますのでご興味のある方はぜひご確認ください。
【動画で体験シリーズ 第二弾】クラウドWAFのチューニングを体験#F5XC
⑥ダッシュボードページの画面上部には各カテゴリー毎のイベント(ログ)のページへ移動する事ができますので、こちらの項目についても紹介します。
3.API Endpoints
API Protection機能に関するレポートです。
設定されたAPI Endpointsに対する攻撃やAPIコール数についての統計情報、API Protectionのログを確認する事ができます。
なお、こちらのレポートは過去最大24時間までの表示となります。
※画像をクリックして拡大表示できます。画像から戻る場合はブラウザの「戻る」を使用してください。
4.Malicious Users
F5 XC WAAPのIP Intelligence機能による悪意のあるユーザーとして登録されているIPアドレスからのアクセスの統計情報を確認できます。
各IPアドレス毎のアクセス検知回数やアクセスの履歴を確認する事が可能です。
※画像をクリックして拡大表示できます。画像から戻る場合はブラウザの「戻る」を使用してください。
5.Security Analytics
WAFポリシーによって許可(Allow)されたリクエスト・拒否(Block)されたリクエストの一覧を確認する事ができます。
※画像をクリックして拡大表示できます。画像から戻る場合はブラウザの「戻る」を使用してください。
各ログをクリックする事でより詳細なリクエスト・レスポンスの情報を確認する事ができます。
また、Blockログの場合はBlock理由と検知されたシグネチャ・バイオレーション(規則違反)を確認する事ができます。
例えば、以下画像のログではリクエストのパラメータに含まれる”OR 1=1″の文字列がSQL Injectionのシグネチャによって検知されたことが確認できます。
※画像をクリックして拡大表示できます。画像から戻る場合はブラウザの「戻る」を使用してください。
6.DDoS
DDoS攻撃のログおよび攻撃元のロケーション情報を確認する事ができます。
残念ながら幸いなことに弊社テスト環境ではDDoS攻撃の対象となったことが無いためログや画像が表示されておらず、寂しい画面となっています。
※画像をクリックして拡大表示できます。画像から戻る場合はブラウザの「戻る」を使用してください。
7.Alerts
F5 XC WAAPによって発砲された過去のアラート一覧を確認する事ができます。
※画像をクリックして拡大表示できます。画像から戻る場合はブラウザの「戻る」を使用してください。
8.Requests
Load Balancerが処理したHTTPリクエスト・レスポンスのログを確認する事ができます。
ログとしてはSecurity Analyticsと似ていますが、こちらはHTTPリクエスト・レスポンスにより特化して詳細な情報が出力されており、F5 XC WAAP経由でのアクセスができない場合などのトラブルシューティングにも用いられます。
※画像をクリックして拡大表示できます。画像から戻る場合はブラウザの「戻る」を使用してください。
RequestログでもSecurity Analytics同様に各ログをクリックする事でより詳細な情報を確認する事ができます。
※画像をクリックして拡大表示できます。画像から戻る場合はブラウザの「戻る」を使用してください。
9.まとめ
以上がF5 XC WAAPのダッシュボードおよびレポート機能のご紹介となります。
WAFのログ確認と言いますと難しいイメージを持たれる方が多いと思いますが、F5XC WAAPでは以下の機能によりお客様のWAF運用や導入効果の可視化を強力に支援することが可能です。
- ダッシュボードによる全体あるいはドメイン毎の統計情報の表示とDPFレポート出力
- WAF検知やDDoS、Maliciousユーザー等の項目毎のログ・レポート表示
- リクエスト・レスポンスログ
10.さいごに
F5 XC WAAPは、「WAF」、「DDoS対策」、「Bot対策」、「API保護」といったWebアプリケーションにとって必要なセキュリティ機能をオールインワンで提供するセキュリティソリューションとなります。今回ご紹介させていただいたようにログ・レポート機能も非常に充実しており、お客様の運用をサポートします。
ご興味がございましたら、ぜひ以下製品情報ページの「お問い合わせ」よりお問い合わせください。詳細な製品紹介やデモのご依頼など、さまざまなご相談もお待ちしております。
この記事の投稿者S.Yamamoto
F5製品・サービスのプリセールスエンジニアを担当しています。
この記事をシェア
