1.11. シグネチャのチューニング

　誤検知が発生した場合の対処例をご紹介します。 以下で実施する内容は、Webアプリケーションの各パラメータの役割が全て把握できている場合を除き、運用開始前から全てを設定するのは難しいかもしれません。その場合は、仮運用・本運用に入ってから、再度このチューニングを実施してください。

以下は誤検知の例です。

1. 入力内容にたまたま攻撃に関連するパラメータが含まれてしまったとします。

   
   
   

2. 書き込みを行うと、AWAFで攻撃として検知されてしまいます。

   
   
   

以降、２つの対策例をご紹介します。

1.11.1. 誤検知したパラメータをホワイトリスト化

1. Event logで誤検知したログを確認します。

   
   
   

2. Occurences をクリックし、誤検知したパラメータ名（mtxMessage）とシグネチャID（200002835）を確認します。

   
   
   

3. Security >> Application Security : Parameters : Parameters List にて、Create ボタンを押します。

   
   
   

4. Parameter Name に誤検知したパラメータ名（mtxMessage）を入力し、チェックBOXをすべてクリアし、Parameter Value Type にて、Ignore Value を選択し、Create ボタンを押します。

   
   
   

5. Apply Policy を押します。

   
   
   

6. Windowsにて再度書き込みを行うと、書き込みが成功することを確認します。

   
   
   

1.11.2. 誤検知したパラメータで該当シグネチャを無効化

1. 今度は先程作成したParameterの Parameter Value Type にて、User-Input Value を選択し、Attack Signatures タブにて、誤検知したシグネチャID（200002835）を左に移動し、Disabled にし、Update ボタンを押します。

   
   
   

2. Apply Policy を押します。

   
   
   

3. Windowsにて再度書き込みを行うと、書き込みが成功することを確認します。