Security Center - Analysisについて

Analysisの概要

Security CenterのAnalysisでは、トラフィックの検知状況についてより詳細に分析するための情報を提供します。
攻撃種別ごとやアクセス元地域ごとなど様々な指標によるチャート表示機能や、条件で絞った検知リクエストがどのようなものかヘッダーを確認する機能等で攻撃があった際の詳細な分析をサポートします。

Analysisの分類

左メニューからTrendsのアイコンをクリックすると以下のメニューが表示されます。

overall

① ASE Evaluation Mode
新規WAFルールを適用前に検証できるEvaluation ModeをWAFでご利用中の場合に、Evaluation Modeでの検証検知結果についてレポートとして確認できる機能になります。

② Rate Control Evaluation Mode
量的攻撃を検知/緩和するRate ControlでEvaluation Modeをご利用中の場合に、Evaluation Modeでの検証検知結果についてレポートとして確認できる機能になります。

③ Web Security Analytics
WAFやRate Control等で検知したトラフィックについてアクセス元のIPアドレスやアクセス先など様々な指標でグラフや表を表示して、より詳細な分析を支援する機能になります。

Analysis - Evaluation Modeの画面構成

Evaluation Modeのいずれかをクリックすると、以下の検証結果一覧画面に遷移します。

overall
レポート対象について表になっており項目が左から、ポリシー名、Evaluation開始時期、Evaluationの完了状況、の順で並んでいます。
レポートを確認したい対象の「View Report」からレポートを確認できます。

Evaluation Modeのレポート画面は以下のようになっています。

overall

① Current Only
現行ルールにおける検知数です。

② Evaluation Only
Evaluation Modeで評価中の新ルールにおける検知数です。
※この検知数はあくまで現実のトラフィックを活用した検証としての数値であり、現実のトラフィックに遮断などのアクションはこの数値としては一切行っておりません

③ Both
①と②の両方で検知している検知数です。

上記は図解すると以下のようになります。

overall

上記の項目に従って、適用されたアクションやアタックグループなどの検知種別、宛先FQDNごとでそれぞれ表として検知数を確認することができます。
Evaluation Modeのレポートを開始するには、セキュリティ設定でEvaluation Modeが有効になっている必要があります。
Evaluation Modeの有効化は、新規WAFルールの公開後にWAFレビュー等を経て実施されますので、ご利用になりたい場合はWAFレビュー時にご相談ください。

Analysis - Web Security Analytics(Statistics)の画面構成

Web Security Analyticsをクリックすると以下の画面に遷移します。

overall

① 表示選択
画面表示を「Statistics」か「Samples」かタブで選択できます。
デフォルトでは「Statistics」表示になっており、この表示ではグラフや表で検知状況の推移を確認できます。
「Samples」表示では、検知したトラフィックのヘッダー等詳細を確認できます。

② フィルタ
アクセス元IPアドレス等、表示させるトラフィックの条件を指定して条件に合致したトラフィックに表示を絞ることができます。

③ 指標選択
グラフの下に表示する指標を選択して増やすことが出来ます。
例えばデフォルトでは画像の例のように攻撃種別(WAFなのかBotなのか等)の表が表示されています。
他にもアクセス元の地域やアクセス先FQDNといった指標を、グラフや表の形式を選択して表示することができます。
指標を表示しすぎた場合は、表示された指標の右上「・・・」から、Removeを選択することで表示を削除できます。

④ グラフ
検知状況のグラフが表示されます。
このグラフの指標も変更が可能で、デフォルトでは「攻撃種別」になっており、青字の「by ~」の部分をクリックすると他の指標を選択できます。
変更すると、グラフすぐ下の表の指標も変更されます。

⑤ AI Assistant
AIと対話しながら所望のグラフ表示にすることができます。
例えば「過去12時間のボットによる検知のグラフを表示して」といったチャットを送ることで、フィルタ条件を変更したり指標を増やして表示してくれたりといったことが可能です。
 ※日本語でこちらからチャットしても受け付けてくれますが、AIの返答は英語になります。

上記②等で選択できる指標については以下のようになっています。

指標

説明

Attack Type

検知したトラフィックの検知内容をボット(Bot)、カスタムルール(Custom Rule)、DDoS攻撃(DoS)、アプリケーション攻撃(WAF)、悪性IP(Network Firewall)、それ以外(Unclassified) のいずれかで表記します。

Common - IP Address

検知したトラフィックのリクエスト元のIPアドレスを表記します。

Common - IP Subnet

検知したトラフィックのリクエスト元のIPアドレスのサブネットワークを表記します。

Common - AS Number

検知したトラフィックのリクエスト元の属するAS番号を表記します。

Common - Country/Area

検知したトラフィックのリクエスト元の国や地域を表記します。

Common - Hostname

検知したトラフィックのリクエスト先のFQDNを表記します。

Common - Path

検知したトラフィックのリクエスト先のパス(URLの一部)を表記します。

Common - Query

検知したトラフィックのリクエストに含まれるクエリ文字列を表記します。

Common - Referer

検知したトラフィックのリクエストに含まれるリファラを表記します。

Common - URL

検知したトラフィックのリクエスト先のURL(FQDN+パス)を表記します。

Common - User-Agent

検知したトラフィックのリクエストに含まれるUser-Agentを表記します。

Common - Action

検知したトラフィックに対しセキュリティで発動したアクションを表記します。

Common - API ID

API Protectionをご利用の場合に検知したトラフィックについてAPI IDを表記します。

Common - API Key

API Protectionをご利用の場合に検知したトラフィックについてAPI Keyを表記します。

Common - Policy

検知したトラフィックについて、どのポリシーで検知したか表記します。

Common - Status Code

検知したトラフィックのレスポンスについてどのステータスコードを返したか表記します。

IP Geo Firewall - Network List

検知したトラフィックについてネットワークリストで検知している場合にどのリストで検知したか表記します。

DoS Protection - DoS Category

検知したトラフィックがDoSでの検知の場合、検知したDoS攻撃のカテゴリをDoS Anomaly、Rate、Slow Post、Otherのいずれかで表記します。

DoS Protection - Rule

検知したトラフィックがDoSでの検知の場合、検知したDoS攻撃のDoSルールIDを表記します。

Custom Rule - Rule

検知したトラフィックがカスタムルールでの検知の場合、検知したカスタムルールのルールIDを表記します。

Custom Rule - Selector

検知したトラフィックがカスタムルールでの検知の場合、リクエストヘッダ、User-Agent、URIなど、いずれが検知対象かを表記します。

Custom Rule - Match

検知したトラフィックがカスタムルールでの検知の場合、検知対象の文字列など追加情報を表記します。

Custom Rule - Message

検知したトラフィックがカスタムルールでの検知の場合、設定したメッセージがあれば表記します。

Custom Rule - Tag

検知したトラフィックがカスタムルールでの検知の場合、設定したタグがあれば表記します。

Web Application Firewall - WAF Category

検知したトラフィックがWAFでの検知の場合、どのリスクグループで検知したか表記します。

Web Application Firewall - Rule Combination

検知したトラフィックがWAFでの検知の場合、どのルールの組み合わせで検知したか表記します。

Web Application Firewall - Rule

検知したトラフィックがWAFでの検知の場合、どのルールで検知したか表記します。

Web Application Firewall - Selector

検知したトラフィックがWAFでの検知の場合、リクエストヘッダ、User-Agent、URIなど、いずれが検知対象かを表記します。

Web Application Firewall - Match

検知したトラフィックがWAFでの検知の場合、検知対象の文字列など追加情報を表記します。


Analysis - Web Security Analytics(Samples)の画面構成

Web Security Analyticsの画面でSamplesのタブをクリックすると以下の画面に遷移します。

overall

① 検知対象選択
現行の表示条件(期間やフィルタなど)に従って検知したトラフィックを最大100件表示します。
検知した時間やIPアドレス、アクセス先などの概要が表示されていますので、詳細を確認したい対象をクリックして選択します。

② ヘッダ情報
①で選択した対象のリクエストがどんなメソッドだったか、またリクエストやレスポンスのヘッダはどのようなものだったかを確認できます。

③ 検知ルール
①で選択した対象がセキュリティ設定のどのルールで検知されたものか確認できます。

④ クライアント情報
検知したトラフィックのリクエスト元のIPアドレス等の情報を確認できます。

Analysis - Alertの確認・設定方法

Web Security Analyticsの画面から、検知状況に応じたアラート設定を行ったり、設定したアラートを確認したりすることができます。
アラート設定を行うことで、例えば過度に遮断が発生している状況でメール通知したりすることで、サイバー攻撃集団等の攻撃キャンペーンではないか警告したり、誤検知が急激に高まってないか警告したりするようにできます。
アラートの画面へは、Web Security Analyticsの画面で右上の方にあるベルのマークをクリックします。

overall

クリックすると、以下の検知トラフィックのグラフとその右にアラートのリストが表示される画面になります。
画像の例ではアラートを設定していませんが、アラートが設定されておりかつ発報していた場合には、グラフ上でアラート事象発生位置も確認することができます。

overall

デフォルトでは左側のメニューは「Triggered」の表示になっています。
こちらは、グラフにも表示される「指定期間中に発報したアラート」を示すもので、グラフ上だけでなく左メニューにも一覧表示します。
Triggeredの文字をクリックすると、画像のようにプルダウンメニューが表示され、Triggered以外にも以下から設定したアラートの状態に合わせ左メニューのアラート表示を変更することができます。
また各アラート種別の右の()内の数字は該当するアラートの数を表しています。

Enabled
有効化されているアラートを表示します。
アラートの条件に合致した事象が発生すると発報します。

Disabled
無効化されているアラートを表示します。
この状態のアラートは設定されているだけで発報はしません。

Deleted
削除したアラートを表示します。

Customer
お客様が設定したアラートを表示します。

Akamai
Akamai SOCC等の専属サポート契約がある場合に、Akamai社が設定したアラートを表示します。

All Alerts
上記すべてのアラートを表示します。

アラートを新規に設定する場合は+ボタンから行います。
+ボタンをクリックすると以下の画面が表示されます。

overall

各項目の説明は以下の通りです。

Non-Mitigated Volumetric Activity
検知はしているが遮断されていない量的攻撃が疑われる事象が多量になった場合にアラートします。

Non-Mitigated Web App Attack Anomaly
検知はしているが遮断されていないアプリケーション攻撃のうちクロスサイトスクリプティングやSQLインジェクションなどの攻撃が疑われる事象が多量になった場合にアラートします。

Non-Mitigated Generic Web App Attacks
検知はしているが遮断されていないアプリケーション攻撃のうちトロイの木馬や攻撃ツールなどの攻撃が疑われる事象が多量になった場合にアラートします。

Non-Mitigated Slow POST Activity
検知はしているが遮断されていないSlow POSTが疑われる事象が多量になった場合にアラートします。

Mitigated Requests
遮断されたトラフィックが多量になった場合にアラートします。

いずれかを選ぶと以下のアラートの設定画面が、グラフの上部に表示されます。
以下はNon-Mitigated Volumetric Activityの場合の例で、選択した項目に応じてフィルタ条件がセットされます。
ここから発報する条件となる閾値などを設定します。

overall

① Copy Filter above to Alert
現行のグラフ表示のフィルタ条件を設定している場合に、アラートの条件にコピーすることができます。

② Apply Alert Filter to Content
アラートの条件として設定されている内容を、グラフ表示のフィルタ条件にコピーすることができます。

上記を活用することでグラフ表示を確認しながらアラート条件を設定できます。
フィルタ条件を確認したら、左の「Thleshold」をクリックして閾値の設定を行います。

overall

① 閾値設定方式
アラートが発呼する閾値は、先の条件の合致するリクエスト数を表す「閾値(REUESTS)」、そのリクエスト数が何分の間で発生したかを表す「観測期間(DURING)」、その事象がどれだけの回数発生したかを表す「発生回数(AFTER OCCURRANCES)」で設定します。
例えば、閾値を200、観測期間を2分、発生回数を2回とした場合「2分の間に条件合致したリクエスト数が200を超える事象が2回発生したとき」という閾値になります。
デフォルトでは設定方式は「Advanced」が選択されており、こちらの場合は閾値・観測期間・発生回数を自由に設定します。
「Predefined」を選択すると、閾値は自由に設定しますが、観測期間と発生回数は「LOW」「MEDIUM」「HIGH」の3段階のプリセットから選択する形式になります。

② 閾値設定
①の閾値を実際に設定する欄になります。
閾値に関する詳細は①の通りです。

閾値を設定したら、最後に左の「Settings」をクリックしてアラート送付先等の設定を行います。

overall

① 重要度
アラートの重要度を設定します。
アラートの機能には影響しませんが、グラフ等ポータル上での表示に反映されるため区別することで視認性が向上します。

② アラート概要
アラートの名称と概要説明を記載できます。
アラートの機能には影響しませんが、メール文のタイトルや設定画面でアラートの概要を確認できるため管理上適切になるようご記入ください。

③ アラート送付先
アラートメールの送付先を設定します。
クリックすると入力欄が表示され、メールアドレス入力後にエンターキーを押すことで複数のアドレスを送付先として指定することもできます。

④ 有効/無効化
アラートを有効にするか無効にするか選択します。
新規作成時のデフォルトが「無効」になっていますのでご注意ください。

⑤ セーブ/キャンセル/オプション
アラートの作成が完了したら「Save」をクリックして保存します。
また作成中に不要になった場合は「Cancel」で作成内容を破棄できます。
アラートの変更時も同様で、「Save」で変更を保存、「Cancel」で変更内容を破棄できます。
「・・・」からはオプションを表示でき、アラートの削除(Delete)やアラートの複製(Duplicate)が可能です。

設定したアラートを確認・変更したい場合は、前述のアラート表示を「Triggered」から「All Alerts」などに変更してアラート設定を表示します。

overall

確認・変更したいアラートの「・・・」をクリックするとメニューが表示されます。
「Configure」から前述と同じ流れで設定変更が可能です。
Security Center - Trendsについて
Domain Ownership Management ご対応方法