F5 XC WAAPの検知レポート機能のご紹介
検知レポート機能のご紹介
これまで、F5 Distributed Cloud Web Application and API Protection(以降、F5 XC WAAPと表記)の各防御機能についてご紹介してきました。
今回は、運用で重要となるF5 XC WAAPの「レポート機能」について、紹介します。
F5 XC WAAPで利用できるレポートには、F5 XCコンソール上のダッシュボードをPDFとして出力できるレポートと、定期的にメールで通知できるレポートの2種類があります。
レポートには、一定期間における攻撃検知数や種別、攻撃元などの情報が分かりやすく記載されています。WAAPの活用度合のエビデンスとして保管しておくこともできますし、社内での報告に利用することもできるかと思います。定期的なスケジュールでレポートを生成・確認することで、保護したいWebサイトへの攻撃状況の変化を簡単に把握することができますので、追加対策の検討材料の一つにすることも可能かと考えております。
PDFで出力するレポート
F5 XC WAAPコンソールのSecurity Dashboardで表示されている各統計データをPDFのレポートとして出力します。
フィルター機能で対象データを絞り込んだり、対象期間を指定した上でレポートを作成したりすることが可能です。
F5 XC WAAPコンソール上で、手動で出力する必要があります。
メールで通知するレポート
F5 XC WAAPの一定期間における各統計データのレポートをメールで通知します。
日次、週次、月次などのスケジュール設定を行い、レポートの自動生成・メール通知を行うことができます。
日次だと1日分、週次だと1週間分、月次だと1ヶ月分の統計データがレポート内容の対象なります。
F5 XC WAAPコンソール上で、過去生成分のレポート内容を確認することもできます。
PDFで出力するレポート
PDFで出力するレポートの内容をご紹介します。以下は、1つのHTTP Load BalancerのSecurity DashboardからPDFで出力したレポートのイメージです。Security Dashboardの表示は期間を除き、デフォルトの状態です。
赤枠で囲んだそれぞれの項目について、ご説明します。
①Security Events by Type
WAF、Bot Defense、API、Service Policyの4つのカテゴリーごとの攻撃検知数の推移を確認できます。
カテゴリー | 概要 |
WAF | WAF機能による検知 |
Bot Defense | Bot Defense(MLを用いたBotに対するふるまい検知)機能による検知 |
API | API Protection(可視化したAPI Endpointごとに設定する制御ルール)機能による検知 |
Service Policy | Service Policy(柔軟な設定が可能なL7制御ルール)機能による検知 |
②Events by Country
攻撃検知件数を攻撃元国ごとに世界地図にマッピングし、表示します。
③Top Attack Sources
攻撃検知件数の多い攻撃元データを表示します。
④Top Attacked
攻撃された件数の多い対象FQDNを表示します。
⑤Top Attacked API Endpoints
攻撃された件数の多い対象API Endpoint(FQDN+Path)を表示します。
⑥API Classification
API Discovery機能で可視化したAPI Endpointの種別ごとの数を表示します。種別は以下の4つに分類されます。
特徴 | ACTIVE / BACKUP |
Inventory | OASファイルを利用して登録した、既知のAPI Endpoint |
Discovered | 実際のトラフィックから検出したAPI Endpoint |
Shadow | 実際のトラフィックから検出した、管理されていないAPI Endpoint |
PII Detected | API Request / Response内に機密情報が検出されたAPI Endpoint |
⑦Bot Classification
検知したBotの種別ごとの件数を表示します。Bot種別は、良性の”Good Bot”、疑わしい” Suspicious Bot”、悪性の” Malicious Bot”に分類されます。
⑧Bot Defense: Top 3 Automations
Bot Defense機能で検知したBotの種別ごとの件数を表示します。
⑨Client-Side Defense
Client-Side Defense機能で検知した、クライアントブラウザ上の不審なJavaScriptの件数を表示します。
⑩Top Attacks by Signatures
WAF機能のAttack Signatures検知における、検知数の多いAttack Signatureを表示します。
Attack Signatureについては、こちらを参照ください。
Attack Signatures
⑪Top Attacks by Attack Types
WAF機能のAttack Signatures検知における、検知数の多い攻撃タイプを表示します。
⑫Top Attacks by Violations
WAF機能のViolations検知(RFC違反など)における、検知数の多いViolationsを表示します。
Violationsについては、こちらを参照ください。
K000148166: What do the definitions of violations used by WAAP Firewall mean?
⑬Top Attacks by Threat Campaigns
WAF機能のThreat Campaign検知(F5セキュリティチームの攻撃観測結果などから生成される、実際に悪用されている攻撃を検知するための専用シグネチャ)における、検知数の多いThreat Campaignを表示します。
Threat Campaignについては、こちらを参照ください。
Threat Campaigns
⑭Malicious Users
Malicious Users Detection機能により検出された、不審なアクティビティと判定されたアクセスユーザのうち、リスクスコアの高いユーザを表示します。
⑮DDoS Security Events
DDoS Protection 機能によって検知した直近のDDoS攻撃を表示します。
⑯Top Service Policies Hit
Service Policy機能による検知における、検知数の多いService Policyを表示します。
メールで通知するレポート
メールで通知するレポートの内容をご紹介します。以下は、週次で自動発行したレポートのイメージです。
赤枠で囲んだそれぞれの項目について、ご説明します。
①Security Events Breakdown
WAF、Bot Defense、API、Service Policyの4つのカテゴリーごとの攻撃検知数と前回レポート期間との増減比率を表示します。
カテゴリー | 概要 |
WAF | WAF機能による検知 |
Bot Defense | Bot Defense(MLを用いたBotに対するふるまい検知)機能による検知 |
API | API Protection(可視化したAPI Endpointごとに設定する制御ルール)機能による検知 |
Service Policy | Service Policy(柔軟な設定が可能なL7制御ルール)機能による検知 |
②Threat Details
以下データを表示します。
・全トラフィックにおけるBotが占める割合
・WAF機能のThreat Campaign検知における検知数と前回レポート期間との増減比率、Blockした数(Blocked)、Blockしなかった数(Allowed)
・IP Reputation機能における検知数と前回レポート期間との増減比率、Blockした数(Blocked)、Blockしなかった数(Allowed)
・DDoS Protection 機能で検知したDDoS攻撃の件数
・Malicious Users Detection機能で検出された、不審なアクティビティと判定されたアクセスユーザの数と前回レポート期間との増減比
・API Discovery機能で可視化したAPI Endpoint数とAPI Request / Response内に機密情報が検出されたAPI Endpoint数および機密情報が検出されなかったAPI Endpoint数
③Attack Sources
攻撃検知数の多い、攻撃元AS Numberと攻撃元国を表示します。前回レポート期間のデータも表示します。
④Attack Impact
攻撃された件数の多い対象Pathと対象FQDNを表示します。
レポートをPDFで出力する方法
レポートをPDFで出力する手順を解説します。
1.F5 XCコンソールにログインし、[Web App & API Protection]を選択
2.Overview > Securityをクリック
3.Delivery Resourcesで、レポートを作成するHTTP Load Balancerをクリック
4.レポート対象とする期間に変更
5.[Export PDF]をクリックし、PDFのレポートを作成
レポートをメールで通知する方法
レポートをメールで通知する設定手順を解説します。今回は、週次でレポート生成・メール通知を行う設定を行います。
メールの通知先は、User Groupに所属しているUserのメールアドレス宛となります。User Groupについては、こちらを参照ください。
Create User Groups and Add Users
1.F5 XCコンソールにログインし、[Web App & API Protection]を選択
2.Manage > Reports > Reports Managementをクリック
3.[Add Report]をクリック
4.レポート生成設定の名前を入力
5.Frequency of Reportでレポート生成の頻度を指定
※今回はEvery Weekを選択しています。
6.Report Generation Weekdayでレポートを生成する曜日を指定
※今回はMondayを選択しています
7.Report Generation Timeでレポートを生成する時刻を指定
※今回は08:00:00 AMを選択しています
8.User Groupの[Add Item]をクリック
9.作成されたレポートのメール配信を行うUser Groupを選択
10.[Add Report]をクリックし、設定完了
Reports Management画面で設定が行えていること、StateがActiveであることを確認します。Stateが Active の場合、設定したスケジュールで、自動的にメールでレポートが送付されます。
[Generate and Send Now]で、レポート生成・メールでの通知が手動実行できます。
レポート生成・メールでの通知が成功するとDelivery StatusがSuccessになります。
Manage > Reports > Reports Historyにて、レポート生成・メール通知の履歴を確認することができます。
おわりに
今回は、F5 XC WAAPで利用できるレポート機能をご紹介しました。
F5 XC WAAPのレポート機能を活用し、定期レポートの自動配信を設定することで、XCへの攻撃の種別や傾向を容易に把握することできます。これにより、攻撃状況の変化を基に、既存対策の有効性確認や追加対策を検討するための材料として利用することができます。
また、F5 XC WAAPは他にも様々な機能があり、弊社ブログでご紹介しておりますので、ご覧ください。
本ブログをご覧になり、F5 XC WAAPにご興味ございましたら、以下よりお気軽に弊社までお問い合わせください。
最後までご覧いただきありがとうございました。
