AZ700-SEC#32
WAF Policy で誤検知が発生した場合の Exclusion Rule 適用手順を、正しい順序に並べてください。
- Detection モードで誤検知ログを収集
- 誤検知している Request Header / Cookie / Body Parameter / Argument を特定
- Exclusion Rule を WAF Policy に追加 (該当パラメタを Equals / StartsWith でマッチ)
- 再度 Detection モードで動作確認 → 問題なければ Prevention 切替
解説
【正しい順序】
- ステップ 1: Detection モード ログ収集
- ステップ 2: 誤検知パラメタ特定
- ステップ 3: Exclusion Rule 追加
- ステップ 4: 再検証 → Prevention 切替
【各ステップの理由】
- ステップ 1 Detection モード ログ収集: Prevention モードでは誤検知時にトラフィックが遮断されるため、Detection モードで詳細ログを収集します。
- ステップ 2 誤検知パラメタ特定: 検知ログから Request Header / Cookie / Form Parameter のうち誤検知される対象を特定します。
- ステップ 3 Exclusion Rule 追加: WAF Policy に Exclusion Rule を追加し、該当パラメタを Equals / StartsWith / EndsWith / Contains でマッチさせて検査対象から除外します。
- ステップ 4 再検証 → Prevention 切替: 再度 Detection モードで誤検知が解消したことを確認した後、Prevention モードへ切り替えて本番運用を再開します。
【誤った順序の問題点】
- Exclusion なしで Prevention 維持: 正常リクエストが Block されるため、業務影響が継続します。
- Detection モード ログなしで Exclusion: どのパラメタが誤検知なのか分からず、適切な Exclusion Rule を作成できません。
コメント