【概要】

AWS WAFを導入し、マネージドルールを使って運用していると誤検知が起きてしまうことがあります。そのような時にルールをカウントモードに変更する方法を紹介します。

【カウントとは】

AWS WAFではWeb ACLに適用するルールに対して下記の3つのアクションを指定することができます。

・ALLOW:ルールに一致した場合、そのリクエストを許可します。
・BLOCK:ルールに一致した場合、そのリクエストを拒否します。
・COUNT:ルールに一致した場合、カウントとして検知をし、リクエストに対して許可 /
拒否もせず、Web ACLに複数のルールがある場合は次のルールと照らし合わせていきます。
最終的に他のルールで検知されなかった場合、デフォルトアクションに設定しているアクションを実行します。

【カウントモードへのアクション変更】

  1. 対象のWeb ACLをクリックします。

  2. [Rules] のタブをクリックします。

  3. [Edit web ACL] をクリックします。

  4. 対象のルールのアクションをカウントに変更し、問題がなければ、[Update]をクリックします。

  5. アクションがカウントになっているのを確認できましたら、完了です。

【まとめ】

今回はAWS WAFを導入後、誤検知が起きてしまった / 特定のIPアドレスから攻撃を受けている際の対応方法を紹介しました。
サンプリングを見ていると誤検知や攻撃と思われるリクエストが度々あるかと思いますが、このような方法で誤検知 / 攻撃に対する一時的な対応ができます。

安価で導入しやすいAWS WAFの運用課題の解決方法をご紹介