CIS セキュリティー・イベント・テーブル

セキュリティイベント］テーブルには、WAF によってブロックされた Web リクエストに関する情報が表示されます。 エントリーはそれぞれ、ブロックされる 1 つの要求を示します。

• 起動されたルールは、要求をブロックしたルールを示します。 以下のいずれかのアクションが有効です。
  • ブロック: ハード・ブロック。
  • チャレンジ: ユーザーがバイパスできる CAPTCHA ページ。
  • シミュレート: 通常は通過が許可されるが、ログに記録される要求。

時折、起動されたルールが識別されないことがあります。 その場合は、ルール ID の代わりに「-」が UI に表示されます。

• IP アドレス: Web 要求のソース IP アドレスを示します。
• ロケーション: Web 要求のソース IP に関連付けられた国を示します。
• ホスト: Web 要求が到達したサーバーのホスト名を示します。
• 日付: イベントの発生日を示します。

CIS セキュリティー・イベントの詳細

セキュリティー・イベントを表示して、イベントの矢印をクリックすると、そのイベントの詳細を展開できます。 あなたのページのあるセクションには、イベントの詳細とRay-Idが表示されます。 他方のセクションには、要求の詳細 (ヘッダー、URI、プロトコル、要求をブロックしたファイアウォールのタイプ、ユーザー・エージェントなど) が表示されます。

例えば、イベントの起動されたルールの ID が 981176 であるとします。 これは、OWASP によるブロックが発生したことを意味します。 OWASP ルール・セットのいずれかのルールが一致すると、要求の「脅威スコア」が増加します。 ゾーンの 「Paranoia level」 設定 (P1 から P4) がしきい値に変換されます。 一致したすべての OWASP ルールの累積スコアがこのしきい値を超えると、ルール 981176 が起動され、要求をブロックします。

これは、OWASP によってブロックされた要求はすべて、981176 によってブロックされたものとしてセキュリティー・イベントに示されることを意味します。 イベントの詳細を展開して**「イベント・トリガー」**セクションを表示し、一致して要求の脅威スコアを増加させた個々の OWASP ルールを確認してください。

有効なトラフィックがブロックされた場合の対応方法

各イベントを展開すると、イベントの詳細が表示されます。 **「イベント・トリガー」**セクションには、OWASP ルールによって起動されたイベントについて、一致した個々の OWASP ルールすべてが表示されます。 このトラフィックが Web サイトにとって正常のものか、それとも適切にブロックされたのかを判断してください。 このブロックが誤検出であると判断した場合は、WAF 構成に戻り、この要求が機密度のしきい値を超えなくなるまで、OWASP ルールを個別に無効にすることができます。

セキュリティー・イベント保存ポリシー

エンタープライズ・プランでは、セキュリティー・イベントは 90 日間保持されます。 標準プランでは、セキュリティー・イベントは 30 日間保持されます。

既知の制限事項

CIS 現在、セキュリティイベントには以下の制限があります

• Security Eventsは サンプルデータ を使用しています。 その結果、ダッシュボードにすべてのイベントが表示されない場合があります。
• セキュリティイベントは、 GraphQL を使用して取得されます。 そのため、 GraphQL のクエリ制限 の対象となります。