BLOG

2018/08/17

AWS WAF 検知状況の確認方法

【概要】

AWS WAFにおける検知状況の確認方法を紹介します。
AWS WAFではマネジメントコンソールにてサンプリングされた検知ログを確認することができます。この検知ログは検知してから約15分後に反映され、現在の時刻から3時間前までしか残りません。

【 test.txt をブロックするルールの動作確認】

検知状況を確認するために「test.txt」の文字列があるリクエストはブロックするというRule(“test_text_rule01”)を適用し、テストを行います。このRuleを適用した状態でブラウザで「http://example.com/test.txt」へアクセスすると以下の画面が表示されます。example.com は環境に応じて適宜変更してください。

定義したRuleで正常に検知したため、ブロックされました。

検知ログの確認を行います。検知ログはブロックされてから約15分後にAWS WAFのコンソール画面に表示されます。

今回作成したRule(“test_text_rule01″)を適用したWeb ACLの検知ログ(サンプリング)を下記手順で確認します。

①[ WAF & Shield ]を選択します。

②Ruleを付けたWeb ACLを選択します。(“RULE_TEST”)
FilterはCloudFrontを利用している場合は、Global(CloudFront) を選択し、ALB利用の場合は適切なリージョンを選択してください。

③検知状況をグラフで見ることができます。

④Ruleを選択し、[ Get new sample ] をクリックします。
※日本時間はUTC表記の時間 + 9 時間です。(例 : UTC 07:25:00 -> JP 16:25:00)

⑤Ruleを絞った検知ログの検索結果が表示されます。

⑥ [ ▶︎ ] のマークを押してリクエストの内容を見ることができます。

以上が検知してから検知ログを確認するまでの流れになります。
Ruleが想定通りに機能せず、誤検知などが発生してしまった際は上記の流れで検知ログの情報を収集し、どの部分が原因で誤検知が発生したのかを分析することができますので是非活用してください。