AWS マネージド型ルールによる誤検知を検出し、セーフリストに追加する方法を教えてください。

最終更新日: 2020 年 6 月 11 日

アプリケーションへの正当な要求を、AWS WAF の AWS マネージド型ルール (AMR) がブロックします。AMR が引き起こした誤検知を検出し、セーフリストに追加するにはどうすればよいですか?

解決方法

AMR による誤検知の検出

  • curl を使用します。[false positive] をご自分の誤検出に置き換えます。応答は「403 Forbidden」エラーです。
$ curl -ikv http://example.com/[false positive]
  • ウェブブラウザを使用します。たとえば、「example.com」ドメインで「style==xxx」の誤検知を確認する場合は、ウェブブラウザに「example.com/style==xxx」と入力します。応答は「403 Forbidden」エラーです。
  • AWS WAF でサンプリングされた要求を表示します。または、get-sampled-requests コマンドを使用して、サンプリングされた要求のリストを受け取ります。サンプリングされた要求のリストで誤検知を確認します。ActionBlock であることを確認します。
  • AWS WAF ログをチェックして、「terminatingRuleId」を確認します。詳細については、ログの「terminatingRuleMatchDetails」セクションを確認してください。

AMR による誤検知をセーフリストに追加する

次の 2 つの方法のいずれかを使用して、セーフリストに誤検知を追加できます。

  • ルールアクションの上書きを使用する
  • 優先度の高い別のルールを作成する

[ルールアクションを上書き] を使用して正当なトラフィック要求を許可するには、以下の手順に従います。

  1. AWS WAF コンソールを開きます。
  2. ウェブアクセスコントロールリスト(ウェブ ACL)を選択します。
  3. [ルール] タブをクリックします。
  4. 正当な要求を禁止する AMR ルールグループを選択します。
  5. [編集] をクリックします。
  6. AMR ルールグループのルールのリストで、誤検知として識別したルールを見つけます。次に、[ルールアクションを上書き] を選択します。
  7. [ルールを保存] をクリックします。

誤検知をトリガーする AMR よりも優先度の高い別のルール(「除外ルール」と言う)を作成するには、以下の手順に従います。

  1. AWS WAF コンソールを開きます。
  2. ウェブアクセスコントロールリスト(ウェブ ACL)を選択します。
  3. [ルール] タブをクリックします。
  4. [ルールを追加]、[自分のルールとルールグループを追加する] の順にクリックします。
  5. 適切なフィールドに入力して、誤検知を許可するルールを作成します。
  6. [ルールを保存] をクリックします。
  7. 新しいルールが、誤検知をトリガーする AMR よりも高い優先度になるように、ルールの優先度を設定します。次に、[保存] をクリックします。

これで、トラフィック要求は新しい除外ルールで許可されます。これを確認するには、サンプリングされた要求または AWS WAF ログをチェックします。これらの要求を確認する手順については、「AMR による誤検知の検出」のステップ 3 および 4 をご参照ください。

注:
本番環境へ実装する前に、Dev 環境で除外ルールをテストし、適切に機能していることを確認することをお勧めします。


この記事はお役に立ちましたか?

改善できることはありますか?


さらにサポートが必要な場合