ヘルプ
シグネチャ関連
シグネチャのアップデートは、監視センターで更新しています(お客様による作業は不要です)。
誤検知が発生した場合等、シグネチャカスタマイズによりルール内容の変更が可能です。
■カスタマイズ例
【1】ルール無効化
対象ルールを条件指定せずに無効化するカスタマイズです。
(例:「ルール:31151」を無効)
【2】URIパス除外
対象ルールを特定のリクエストURIパスに対して無効にするカスタマイズです
(例:URIパスが「/admin/」から始まる場合「ルール:31151」を無効)
【3】しきい値変更
対象ルールのしきい値(秒数、回数)を変更することで検知条件を緩和するカスタマイズです
(例:「ルール:31151」のしきい値を「90秒間に30回」に変更)
■注意事項
シグネチャカスタマイズはサービス単位で適用されます。
ご利用タイプごとに以下の点にご注意ください。
<サーバセキュリティタイプ>
エージェント(IPアドレス)ごとにカスタマイズをする場合は、新規サービスおよびエージェントの作成が必要となります。
<WEB/DDoSセキュリティタイプ>
・入れ放題プラン
1契約に対して1サービスとなるため、サービスに登録されているすべてのFQDNに対してカスタマイズが適用されます(FQDN単位のカスタマイズには対応していません)。
・1サイトプラン
サービス(基盤)を複数ユーザーで共有しているため、カスタマイズに対応していません。
WEBサーバ側の対処を実施してください。
■依頼方法
サポート窓口まで以下をご連絡ください。
・該当検知履歴(管理画面URL)
・ルールID
・除外条件
・その他ご要望等
※緊急時は上記とあわせてご連絡可能な電話番号をお知らせください
攻撃遮断くんには、リクエスト回数がしきい値を超えた場合に検知するシグネチャルールがあります。
しきい値系ルールには、ステータスコードのみなど単一条件でカウントするルールが存在し、条件に合致するリクエストが想定されるWEBサイトでは誤検知が発生する場合があります。
<ルールID:31151>
"Multiple web server 400 error codes from same source ip."
同一IPアドレスから90秒間に14回4xxステータスコードを検知
<ルールID:31533>
"High amount of POST requests in a small period of time (likely bot).“
同一IPアドレスから20秒間に22回POSTリクエストを検知
■対応(シグネチャカスタマイズ)
シグネチャカスタマイズで該当ルールを無効化することが可能です。
サポート窓口までご依頼ください。
※上記ルールはWEBアタックを想定しているため、リクエスト内容が攻撃の場合はその他のルールで検知が可能です
※特定URIパスでのみ該当リクエストが発生する場合はURIパスによる除外も可能です
攻撃遮断くんには、検索エンジンのクローラー等を想定したルールはありません。
クローラー通信をシグネチャカスタマイズで対応した場合、サービス負荷等、意図しない動作の懸念があるため、WEBアプリケーション(robot.txt等)による対処を推奨しています。
WEBサーバ側での制御が困難な場合は、サポート窓口までご連絡ください。