1.11. シグネチャのチューニング¶
誤検知が発生した場合の対処例をご紹介します。 以下で実施する内容は、Webアプリケーションの各パラメータの役割が全て把握できている場合を除き、運用開始前から全てを設定するのは難しいかもしれません。その場合は、仮運用・本運用に入ってから、再度このチューニングを実施してください。
以下は誤検知の例です。
入力内容にたまたま攻撃に関連するパラメータが含まれてしまったとします。
書き込みを行うと、AWAFで攻撃として検知されてしまいます。
以降、2つの対策例をご紹介します。
1.11.1. 誤検知したパラメータをホワイトリスト化¶
Event logで誤検知したログを確認します。
Occurences をクリックし、誤検知したパラメータ名(mtxMessage)とシグネチャID(200002835)を確認します。
Security >> Application Security : Parameters : Parameters List にて、Create ボタンを押します。
Parameter Name に誤検知したパラメータ名(mtxMessage)を入力し、チェックBOXをすべてクリアし、Parameter Value Type にて、Ignore Value を選択し、Create ボタンを押します。
Apply Policy を押します。
Windowsにて再度書き込みを行うと、書き込みが成功することを確認します。
1.11.2. 誤検知したパラメータで該当シグネチャを無効化¶
今度は先程作成したParameterの Parameter Value Type にて、User-Input Value を選択し、Attack Signatures タブにて、誤検知したシグネチャID(200002835)を左に移動し、Disabled にし、Update ボタンを押します。
Apply Policy を押します。
Windowsにて再度書き込みを行うと、書き込みが成功することを確認します。