WafCharmの機能紹介: WAFログダッシュボード

【目次】

1. 1. はじめに
2. 2. WAFログダッシュボードとは
3. 3. 使用開始方法
4. 4. 活用例
5. 5. おわりに

1. はじめに

先日WafCharmではDashboard画面の「運用状況」の箇所のアップデートを行い、ダッシュボード機能を拡充しました。

本ブログ記事では、WAFログダッシュボード機能についてご紹介します。

2. WAFログダッシュボードとは

WAFログダッシュボードは、WafCharmに登録されているWAF Configのリクエスト状況を横断的に閲覧するためのダッシュボード機能です。
登録されているWAF Config全体、あるいはWAF Configごとに、許可あるいはブロックされたリクエスト数などの情報を確認できます。

リクエスト数に大きな変動がある場合に、通常とは異なる動きがあったかもしれないといった気づきを得ることや、ブロックされたリクエスト・許可されたリクエストの状況をそれぞれご確認いただけます。

上部には登録されているWAF Config全体（※）のグラフ、下部には選択したWAF Configごとのグラフと、集計したリクエストの検知ルール、リクエスト元の国、IPアドレス、リクエスト先のURIに関する情報をランキング形式で表示します。
※登録されているWAF Configの数が21件以上ある場合、WafCharmに連携されているWAFログの総件数が多いもののうち上位20件のみが表示対象となります。

詳細については、Dashboard画面についてもご確認ください。

3. 使用開始方法

WAFログダッシュボードをご利用いただくためには、WAFログ連携（新方式）の設定が必要です。詳細な手順は、以下のヘルプページをご参考ください。

• AWS WAF v2 AdvancedでのWAFログ連携（新方式）の設定方法
• AWS WAF v2 Legacyでのアクセスログ・WAFログ連携の設定方法

なお、新方式にてWAFログ連携を行った場合でも、ご契約およびご利用状況によって閲覧できるデータは異なります。

• 旧プランの場合
  • 24時間表示のみ対応
• 新プランの場合
  • WAFログ保存形式に「固定形式」を選択：24時間表示のみ対応
  • WAFログ保存形式に「拡張形式」を選択：すべての表示期間に対応（表示対象のWAFログは、WAFログ保存期間に指定した日数に依存）

WAFログ保存形式については、WAFログ保存期間についてをご確認ください。

4. 活用例

リクエスト状況を確認する

WAFログダッシュボードの上部には、WAF Config全体のグラフが表示されます。「分析対象ログ」を「リクエスト全体」にすると、リクエスト状況の推移を確認できます。今回の例ですと、特定のタイミングでリクエスト数が増えているようです。

分析対象ログは、「Blockされたリクエスト」「Allowされたリクエスト」での絞り込みが可能です。今回の例ですと、Allowされたリクエストの方が多いようです。何らかのイベントがあった場合などは、全体的にリクエストが増えることが見込まれるタイミングだった可能性があります。
リクエスト増加が見込まれるタイミングではない場合には、Botからのリクエスト増加の可能性などを考えても良いでしょう。

WAF Configごとのリクエストの動向を調査

WAF Config全体のグラフの下には、WAF Config個別のグラフがあります。こちらでは、アクションごとにリクエスト数を閲覧することもできます。

プロットの下に表示されている円グラフは、「分析対象ログ」に指定した内容をもとに変動します。今回の例の対象期間では、Allowしたリクエストの方が多いためその詳細を見ていきます。

RuleはDefault_Actionのみです。これは、Web ACL上のどのルールにもマッチせずリクエストが最終的に許可された場合にWAFログ上に記録される値です。このことから、Allowlistなど、個別の許可ルールにマッチしたリクエストは存在しないことがわかります。明示的に許可するルールが存在しない場合には、許可リクエストはすべてDefault_Actionと記載される可能性があります。

Countryは、FR（フランス）がトップ、ついでUS（アメリカ）とJP（日本）となっています。フランスやアメリカからのアクセスが普段からある場合には想定通りかもしれません。想定していない場合には、攻撃の予兆や、Botの動向の可能性が高まったと言える可能性があります。

IPアドレスは、トップの件数が突出しています。また、Countryの件数と近しいため、関連性があるかもしれません。IPアドレスベースで検索を行ってみるのも良いでしょう。今回の場合、トップのIPアドレスはフランスのものでした。想定していないリクエストの場合、このIPアドレスをDenylistに登録するだけで大半のリクエストがブロックできる可能性があります。

URIは、通常リクエストを受け付けることを想定していないものや、存在しないURIへのリクエストが増えていないか、確認できます。そういったURIへのアクセスが多い場合には、WAFログ検索機能からURIベースでWAFログを検索し、リクエストの詳細を深掘りできます。国やIPアドレス以外で共通点がある場合には、その値をもとにブロックするためのルールを検討できるかもしれません。

WAFログ検索機能の詳細は、WAFログ検索機能についてもご参考ください。

5. おわりに

本記事では、アップデートされたWAFログダッシュボードについてご紹介しました。

閲覧できる情報が増えたことで、リクエスト状況の全体像を把握するためのお役に立てれば幸いです。