このセクションでは、アノマリ スコア モードでの WAF の設定について説明します。
WAF プロファイルのデフォルト動作の変更
ルールには、さまざまな中断アクションを設定できます。ほとんどのルールでは、中断アクションとして block を使用します。Block は、ルール エンジンをトリガして、ポリシーに添付された WAF プロファイルに記載されているデフォルトのアクションを実行します。このデフォルト アクションには [拒否] アクションが含まれており、要求のフラグ([検出])または拒否([適用])がトリガされます。
例:デフォルト アクション phase:1,pass,status:403,log,auditlog。
新しいデフォルト アクションは [pass] にする必要があります。WAF 処理のすべてのフェーズで変更する必要があります。
デフォルト アクションを変更するには、次の手順を実行します。
NSX Advanced Load Balancer ユーザー インターフェイスから、 の順に移動します。
目的のポリシーの [編集] アイコンをクリックします。
次に示すように、[WAF プロファイルの編集] 画面で [デフォルト アクション] を変更します。
個々のしきい値の変更とさまざまなしきい値変数のブロック(グループ別など)
しきい値やスコア変数は、CRS の前に適用するカスタム ルールを使用して変更できます。
SecRule REMOTE_ADDR "@unconditionalMatch" "id:4099803,phase:1,pass,setvar:tx.rfi_score_threshold=2"
異なるしきい値を使用してブロックするには、CRS の後に適用するカスタム ルールが必要です。
総合的なスコアで要求を拒否する CRS ルール 949110 を無効にすることをお勧めします。
次のルールは、ルールをブロックするためのものです。
SecRule TX:RFI_SCORE "@ge %{tx.rfi_score_threshold}""msg:'Inbound
RFI-Anomaly Score Exceeded (Total Score: %{tx.rfi_score})',
severity:CRITICAL,phase:request,id:1949110,t:none,
deny,log,tag:'application-multi',tag:'language-multi',
tag:'platform-multi',tag:'attack-generic',
setvar:tx.inbound_tx_msg=%{tx.msg}"
このルールでは、tx.rfi_score_threshold と累積の tx.rfi_score 変数のみをブロックします。
他のすべての攻撃グループに、同様のルールを作成できます。
ModSecurity 言語では、変数(TX:RFI_SCORE など)は、“:”(コロン)を使用して記述する必要があります。
[アクション] リストと [オペレータ] では、. (dot) を使用して記述します(たとえば、tx.rfi_score などです)。正しく記述しないと、意図したとおりにルールが照合されません。
