みなさん、こんにちは。
アカマイ・テクノロジーズ西日本支店の熊澤です。
今日は、Lunaのセキュリティレポートの見方のおさらいをしたいと思います。
前回、Lunaのサイト配信系レポートの見方を解説しましたが、今回はセキュリティセンターの解説をします。
Akamaiのセキュリティプロダクトを使っていただいているお客様でとても問い合わせが多い内容となっております。
このレポートは、Lunaのお客様名の右側、「モニター」から選ぶことができます。
もし可能であればご自身のサイトのデータを使って「セキュリティ」から「Security Center」を覗いてみてください。
最初に表示されるOverviewでは、ご契約いただいているセキュリティ製品によりますが、
全トラフィック、攻撃と判断されたトラフィック、WAFで検知されたトラフィック、Client Reputationで検知されたトラフィック、
Bot検知に引っかかったトラフィック、DoS攻撃と判定されたトラフィックに色が分かれて表示されます。
このSecurity Centerでは、過去90日分の記録を確認することができますので、
定期的に攻撃を受けている状況や、突発的にアクセスが急増している状況を俯瞰して確認することができます。
次に下記のように時間軸に対してドラッグすることで、範囲を限定して表示させることができます。
上の図では一つのスパイクに見えていたグラフが、下の図では実は9回の攻撃のサマリーであったことがわかります。
次に、下図のように左のアイコンをクリックし、Web Application Firewallのレポートを表示します。
こちらでは下図のようにSQL Injectionや Cross Site ScriptingなどのWAFのリスクグループごとにグラフが表示されます。
WAFのリスクグループは、どんな種類に分類された攻撃がきているかを確認するものと考えていただければよいです。
次にもう少しDetailを見るために、Web Security Analyticsを表示します。
※Web Security Analyticsは、今日現在皆さん表示可能ですがBeta提供となっておりますため機能に変更が入る可能性が少しあります。
こちらでは、様々なDimensionsを検索条件としてフィルターをかけ、攻撃の詳細を見ていくことができます。
上の例では、SQL Injectionに絞ってみました。
SQL Injectionにフィルターされた状態でCross Site ScriptingやPHP Injectionが表示されているのは、SQL Injectionのルールで検知されていて、他のルールにも検知されているリクエストが表示されています。
データを日付やルールでフィルターした状態で、画面上部のSample Log Viewをクリックします。
すると、実際に攻撃として検知されたリクエストの一覧が表示されます。
この画面では、Queryの中にUNION型のSQLが混入され、サイトが攻撃を受けましたが、HTTPレスポンス 400 Bad Requestとして処理されたことが確認できます。
このようにセキュリティセンターでは、過去90日分のセキュリティレポートをかなり深いところまで確認をすることができます。
ご自身のサイトが、どのような頻度でどのような攻撃を受けているかが手に取るようにわかると思います。
今日はここまでです。
Luna活用の一歩になれば幸いです。
次回はこのセキュリティセンターから、Client Reputation(IPアドレスの格付け)の検知結果の見方をご紹介いたします。
アカマイ熊澤
Leave a comment