BLOG NO.10 誤検知対策への更なるアプローチ

誤検知をノイズと考えた場合、一般的なオーディオ機器ではボリュームを下げればノイズが減らせます。もっとも簡易的な誤検知対策では検出レベルを下げる方法で、簡易的なWAFの提供ではこういった方法が一般的に用いられています。しかし、この方法では真の攻撃を見逃してしまうリスクが生じてしまいます。

2.4項でも触れたとおり、誤検知を排除する手法には時間と手間がかかります。更に誤検知の精度上げていくためには、出力されたログの解析が重要になります。ログ解析の手法として、以下にいくつかのポイントを挙げます。 

・     送信元IPアドレスのロケーションは何処か。想定される地域からのIPアドレスの場合は誤検知の可能性があります。

・     アクセスしているリソースが正当なURLか。サイトで一般に公開しているURLへのアクセスは誤検知の可能性があります。

・     業務時間以外でのアクセスか。業務時間内でのアクセスは誤検知の可能性があります。

こういった条件の組合せで、ログにあるアクセスが誤検知かそうでないかの判断を行い、精度の高いルールを設定していきます。こういった作業が結果的に、サイバー攻撃の検知能力を高め、正当なトラフィックを安全に通過させるための作業になります。

Kemp LoadMasterの強力な誤検知対策ツール

Progress|Kempが提供する LoadMaster 360は誤検知を迅速で用意に解決するために、WAFレポートと強力なツールを装備しました。

スマートフィルター

誤検知チューニングを支援するため、WAFのログデータをLoadMaster 360のスマートフィルターでフィルタリングし、誤検知の可能性のあるログを絞り込みます。

ルールチューナー

誤検知を検出したルールに対して適切な処理を行うためのルールセットを生成し、誤検知対策のためのチューニングを簡素化します。

 By ADC Engineers