Security Center - Trendsについて¶
Trendsの概要¶
Security CenterのTrendsでは、攻撃種別ごとにパイチャートなども利用して攻撃トラフィックの傾向を確認することができます。
主要な検知モニターについてはパイチャートなどで端的に表示されるため、内部共有用の定期レポート作成などにもご利用いただける機能となっています。
Trendsの分類¶
左メニューからTrendsのアイコンをクリックすると以下のメニューが表示されます。
① Bot Trends
ボット対策のご契約がある場合、ボットのトラフィック検知状況について確認できます。
② DoS
量的攻撃を検知/緩和するRate Controlでのトラフィック検知状況について確認できます。
③ WAF Rate Control
各レートポリシーごとに、閾値超えが発生した頻度や、発生元のIPを確認することが可能です。
④ Web Application Firewall
アプリケーションレイヤの攻撃を検知/緩和するWAFでのトラフィック検知状況について確認できます。
Bot Trendsの画面構成¶
Bot Trendsの画面は以下のようになっています。
① Bot Traffic Summary
ボットとして検知されたトラフィックの概況です。
上から、ボットとして検知されたエッジヒット数、ボットとして検知されたページリクエスト数、ボットとして検知されたトラフィックの帯域、になります。
各指標の下に小さく「○○ total」と書かれてあるのは、期間中の総トラフィック量でのカウントになります。
② Bot types Detected
ボットとして検知されたトラフィックについて、アカマイでのカテゴリごとの割合がパイチャートとして表示されます。
③ Actions Applied to Bots
ボットとして検知されたトラフィックについて、アカマイで実施したアクションごとの割合がパイチャートとして表示されます。
④ Bot Traffic Trends
ボットとして検知されたトラフィックと総トラフィックを重ね合わせて状況を確認できます。
⑤ Bot types Detected
ボットとして検知されたトラフィックについて、②よりも詳細なアカマイでのカテゴリごとに折れ線グラフで検知状況を確認できます。
⑥ Firewall Policies Triggered by Bots
ボットとして検知されたトラフィックについて、どのセキュリティポリシーで検知されているか確認できます。
⑦ Hostnames Targeted by Bots
ボットとして検知されたトラフィックについて、どのホスト(FQDN)に向けたトラフィックで検知されているか確認できます。
⑧ Countries/Areas where Bots Originated
ボットとして検知されたトラフィックについて、ボットがどの国からアクセスしてきているか確認できます。
DoSの画面構成¶
DoS(Web Security)の画面は以下のようになっています。
① DoS Attack Traffic Summary
DoSとして検知されたトラフィックの概況です。
上から、DoSとして検知されたエッジヒット数、DoSとして検知されたページリクエスト数、DoSとして検知されたトラフィックの帯域、になります。
各指標の下に小さく「○○ total」と書かれてあるのは、期間中の総トラフィック量でのカウントになります。
② DoS Attack Detected
DoSとして検知されたトラフィックについて、アカマイでのカテゴリごとの割合がパイチャートとして表示されます。
※基本的に「Rate Control」のみになります。
③ Actions Applied to DoS Attacks
DoSとして検知されたトラフィックについて、アカマイで実施したアクションごとの割合がパイチャートとして表示されます。
④ DoS Attack Traffic Trends
DoSとして検知されたトラフィックと総トラフィックを重ね合わせて状況を確認できます。
⑤ DoS Attacks Detected
DoSとして検知されたトラフィックについて、②を時間ごとの折れ線グラフとして検知状況を確認できます。
⑥ Firewall Policies Triggered by DoS Attacks
DoSとして検知されたトラフィックについて、どのセキュリティポリシーで検知されているか確認できます。
⑦ Hostnames Targeted by DoS Attacks
DoSとして検知されたトラフィックについて、どのホスト(FQDN)に向けたトラフィックで検知されているか確認できます。
⑧ Countries/Areas where DoS Attacks Originated
DoSとして検知されたトラフィックについて、ボットがどの国からアクセスしてきているか確認できます。
Web Application Firewallの画面構成¶
Web Application Firewallの画面は以下のようになっています。
① WAF Attack Traffic Summary
WAF Attackとして検知されたトラフィックの概況です。
上から、WAF Attackとして検知されたエッジヒット数、WAF Attackとして検知されたページリクエスト数、WAF Attackとして検知されたトラフィックの帯域、になります。
各指標の下に小さく「○○ total」と書かれてあるのは、期間中の総トラフィック量でのカウントになります。
② WAF Attack Groups Detected
WAF Attackとして検知されたトラフィックについて、アカマイでのカテゴリグループごとの割合がパイチャートとして表示されます。
③ Actions Applied to WAF Attacks
WAF Attackとして検知されたトラフィックについて、アカマイで実施したアクションごとの割合がパイチャートとして表示されます。
④ WAF Attack Traffic Trends
WAF Attackとして検知されたトラフィックと総トラフィックを重ね合わせて状況を確認できます。
⑤ WAF Attack Groups Detected
WAF Attackとして検知されたトラフィックについて、②を時間ごとの折れ線グラフとして検知状況を確認できます。
⑥ Firewall Policies Triggered by WAF Attacks
WAF Attackとして検知されたトラフィックについて、どのセキュリティポリシーで検知されているか確認できます。
⑦ Hostnames Targeted by WAF Attacks
WAF Attackとして検知されたトラフィックについて、どのホスト(FQDN)に向けたトラフィックで検知されているか確認できます。
⑧ Countries/Areas where WAF Attacks Originated
WAF Attackとして検知されたトラフィックについて、ボットがどの国からアクセスしてきているか確認できます。
WAF Rate Controlの画面構成¶
WAF Rate Controlの画面は以下のようになっています。
① レートアクティビティ
Rate Controlで検知したエンドユーザの 1 秒あたりの平均リクエスト数を表示します。
平均リクエスト数は5分平均で表記され、右に記載されているレートポリシーの現行閾値設定と比較できます。
② 平均閾値を超過したクライアント
指定した期間内で平均閾値を超過したエンドユーザの数をIPベースでカウントし表示します。
③ バースト閾値を超過したクライアント
バースト閾値を超過したエンドユーザの数をIPベースでカウントし表示します。
④ 閾値を超えているクライアントID
閾値を超えているエンドユーザのIPアドレスを表示します。
⑤ トップ100クライアントID
閾値を超えているエンドユーザのIPアドレスのうち上位100個を表示します。
フィルタの設定方法¶
Trendsで表示されるグラフやパイチャートはフィルタで条件指定することで、より具体的な目的に合った内容に絞って表示することができます。
フィルタを設定する場合には、各画面右上の漏斗のようなマークのボタンをクリックし以下の画面を表示します。
左上から右下に向かってそれぞれ、検知ポリシー、ホスト名(FQDN)、対象API名、検知アクセス元の国/地域、検知カテゴリ、適用アクション、となっています。
例えば、遮断に該当するアクションに絞ることで期間中どれだけのトラフィックを遮断しているか確認できます。
また検知しても遮断しない設定がある場合、これを条件指定しない場合のものと比較して、どれだけの検知リクエストが未だCDN経由でオリジンに向けてリクエストされているかを知る、といった使い方も可能です。
WAF Rate Controlのみほかの3つとフィルタの機能が異なります。
WAF Rate ControlではRate Controlのポリシーのみ選択ができます。
選択したポリシーによる検知に絞って閾値超えの状況を確認することができます。