Fastly WAF ロギング (2020年)

Fastly では、悪意のあるトラフィックを監視・特定するための様々な WAF 関連のログ変数を利用することができます。これらの変数によって、リクエストに対して実行された Fastly WAF の動作に関する詳細を確認できます。

ログエンドポイントの設定

悪意のあるアクティビティのリクエストをモニタリングするため、リモートログストリーミングを設定して WAF 変数をログに取得します。既存のログエンドポイント、または Fastly WAF 用の新規ログエンドポイントを作成して使用することも可能です。ログのデータを使用して WAF のイベントをモニタリングすることができます。

OWASP ルール

ひとつのリクエストが複数の OWASP ルールに該当する場合もあります。デフォルトでは、ログは vcl_deliver または vcl_log で記録されます。vcl_deliver または vcl_log でログが記録される場合、リクエストが複数の OWASP ルールに該当していても、異常スコアの累計と最後に該当した WAF ルールの情報のみが表示されます。

waf_debug_log

waf_debug_log サブルーチンでは、1つのリクエストに対してトリガーされた各 OWASP ルールについて個別にログを取得できます。コントロールパネルまたは API を使用して、ログの placement パラメーターを waf_debug に設定します。

コントロールパネルを使用する

以下の手順に従って、ログエンドポイントの placement パラメーターを waf_debug に設定します。

1. Fastly コントロールパネルにログインします。
2. Home ページから、適切なサービスを選択します。検索ボックスで ID、名称、ドメインによる検索が行えます。
3. Edit configuration をクリックし、アクティブなバージョンをクローンするオプションを選択します。

4. Logging をクリックします。

5. 編集するログエンドポイントの名前をクリックすると、Edit this endpoint ページが表示されます。

6. Advanced options をクリックします。

7. Placement セクションで、waf_debug (waf_debug_log) を選択します。

   

8. Update をクリックします。

9. Activate をクリックして設定への変更をデプロイします。

API を利用する

以下の curl コマンドを実行することで、ログの placement パラメーターを waf_debug に設定することもできます。

$ curl -X PUT -H 'Fastly-Key: FASTLY_API_TOKEN' -H 'Content-Type: application/json' 'https://api.fastly.com/service/<your Fastly service ID>/version/<version_id>/logging/<logging_integration>/<logging_name>' --data-binary '{"placement":"waf_debug"}'

• waf_debug_log のログ形式はコントロールパネルからのみ設定可能です。
• waf_debug_log は vcl_miss と vcl_pass でコールされます。ログ形式にリクエストヘッダー情報と WAF 変数を含むことができます。レスポンスヘッダーの情報を含むとエラーになります。
• <logging_integration> は、リモートログ API のリストから設定可能です。

複数の OWASP ルールに該当するリクエストをトラックするために request_id ヘッダーを設定することを推奨します。

set req.http.x-request-id = digest.hash_sha256(now randomstr(64) req.http.host req.url req.http.Fastly-Client-IP server.identity);

WAF 変数を利用する

Fastly では、悪意のあるトラフィックを監視・特定するための様々な WAF 関連のログ変数を利用することができます。これらの変数を通じて、リクエストに対して処理された以下のような Fastly WAF の動作を確認することができます。

• Fastly WAF がリクエストを検査したかどうか。 Fastly WAF はオリジンサーバーへ転送されるリクエストのみを検査の対象とします（キャッシュされていないコンテンツに対する MISS または PASS リクエストなど）。
• リクエストがルールに該当したかどうか。 Fastly WAF はリクエストを検査する際、設定されているルールセットのいずれかのルールにリクエストが該当しているかどうかチェックします。
• 該当したルールの重要度。 リクエストがルールに該当した場合、そのルールの重要度がログに示されます。
• リクエストに対して行った処理 (該当する場合) 。 リクエストがルールまたは OWASP ルールのしきい値に達した場合、Fastly WAF が行った処理（ログに記録、またはブロック）がログに示されます。

以下の変数を利用して Fastly WAF のログイベントを確認できます。

OWASP カテゴリースコア変数

ある特定のリクエストが OWASP のルールで処理される際、異なる攻撃カテゴリーの複数のルール ID に該当する可能性があります。OWASP カテゴリースコア変数は、リクエストが該当したカテゴリーごとのスコアを記録します。この情報は攻撃カテゴリーごとの最低値、平均値、最大値を把握するために利用され、それぞれのカテゴリーごとに異なるしきい値を設定することが可能です。アクティブ（ブロック）モードに設定されている場合、リクエストがカテゴリーごとのしきい値を超えた場合にリクエストがブロックされます。

• waf.sql_injection_score
• waf.rfi_score
• waf.lfi_score
• waf.rce_score
• waf.php_injection_score
• waf.session_fixation_score
• waf.http_violation_score
• waf.xss_score