このセクションでは、アノマリ スコア モードでの WAF の設定について説明します。

WAF プロファイルのデフォルト動作の変更

注:

ルールには、さまざまな中断アクションを設定できます。ほとんどのルールでは、中断アクションとしてブロックを使用します。ブロックは、ルール エンジンをトリガして、ポリシーに添付された WAF プロファイルに記載されているデフォルトのアクションを実行します。このデフォルト アクションには拒否アクションが含まれており、要求のフラグ(検出)または拒否(適用)がトリガされます。

例:デフォルト アクション:phase:1,pass,status:403,log,auditlog

したがって、新しいデフォルト アクションを渡す必要があります。WAF 処理のすべてのフェーズで変更する必要があります。

デフォルト アクションを変更するには、次の手順を実行します。

  1. NSX ALB ユーザー インターフェイスから、[テンプレート] > [WAF] > [WAF プロファイル] の順に移動します。

  2. 目的のポリシーの [編集] アイコンをクリックします。

  3. 次に示すように、[WAF プロファイルの編集] 画面で [デフォルト アクション] を変更します。



個々のしきい値の変更とさまざまなしきい値変数のブロック(グループ別など)

あらゆるしきい値やスコア変数は、CRS の前に適用するカスタム ルールを使用して変更できます。

SecRule REMOTE_ADDR "@unconditionalMatch" "id:4099803,phase:1,pass,setvar:tx.rfi_score_threshold=2"

異なるしきい値を使用してブロックするには、CRS の後に適用するカスタム ルールが必要です。

注:

総合的なスコアで要求を拒否する CRS ルール 949110 を無効にすることをお勧めします。

このルールはブロック ルールの良い例を示します。

SecRule TX:RFI_SCORE "@ge %{tx.rfi_score_threshold}""msg:'Inbound
RFI-Anomaly Score Exceeded (Total Score: %{tx.rfi_score})',
severity:CRITICAL,phase:request,id:1949110,t:none,
deny,log,tag:'application-multi',tag:'language-multi',
tag:'platform-multi',tag:'attack-generic',
setvar:tx.inbound_tx_msg=%{tx.msg}"

このルールでは、tx.rfi_score_threshold と累積の tx.rfi_score 変数のみをブロックします。

他のすべての攻撃グループに、同様のルールを作成できます。

注意事項

注:

ModSecurity 言語では、変数(TX:RFI_SCORE など)は、“:”(コロン)を使用して記述します。

[アクション] リストと [オペレータ] では、. (dot) を使用して記述します(例:tx.rfi_score)。正しく記述しないと、意図したとおりにルールが照合されません。