【概要】

AWS WAFを導入し、マネージドルールを使って運用していると誤検知が起きてしまうことがあります。その場合に誤検知を回避するため、特定のIPアドレスをホワイトリストとしてリクエストを許可する方法や特定のIPアドレスから攻撃を受けている場合にIPアドレスをブラックリストとしてリクエストをブロックする方法を紹介します。併せて誤検知が起きてしまった特定のルールをカウントモードに変更する方法も紹介します。

【ホワイトリスト】

▼使用例
・社内のIPアドレスからのアクセスを許可したい
・マネージドルール等を使用している時に誤検知が発生し、安全なユーザーであると確認が取れた

▼内容
・ホワイトリストの新規作成方法
・及びWeb ACLに適用しているホワイトリストへのIPアドレスの追加
https://www.wafcharm.com/jp/blog/aws-waf-allow-specific-ip-jp/

【ブラックリスト】

▼使用例
・既知の悪意のあるユーザーのIPアドレスを拒否したい
・ログ調査の結果、特定のIPアドレスから攻撃と思われるリクエストが頻繁にきている

▼内容
・ブラックリストの新規作成方法
・及びWeb ACLに適用しているブラックリストへのIPアドレスの追加
https://www.wafcharm.com/jp/blog/aws-waf-block-specific-ip-jp/

【カウントモード】

▼使用例
・新しく作成したルールが誤検知を発生させないか確認したい
・既に適用されているルールで誤検知が発生した

▼内容
・カウントモードへのアクション変更
https://www.wafcharm.com/jp/blog/aws-waf-change-specific-rule-count-jp/

【まとめ】

誤検知が発生した場合に特定のIPアドレスをホワイトリストとしてリクエストを許可する方法や特定のIPアドレスから攻撃を受けている場合にIPアドレスをブラックリストとしてリクエストをブロックする方法等を紹介しました。
誤検知に関しては原因の特定も必要ですが、悪意のないユーザーと判断できる場合は誤検知調査と並行してホワイトリスト登録を行うことで速やかな対応ができますのでぜひご活用ください。