Upgrade to Pro — share decks privately, control downloads, hide ads and more …

WAFでどのリクエストがBlockされたのか、 ログを集計してSlackで簡単に見れるようにした

Soichiro Korenaga
July 02, 2024
1.2k

WAFでどのリクエストがBlockされたのか、 ログを集計してSlackで簡単に見れるようにした

Soichiro Korenaga

July 02, 2024
Tweet

Transcript

  1. ©2024 Metaps Holdings, Inc. ⾃⼰紹介 是永 総⼀郎 株式会社メタップスホールディングス SREエンジニア Soichiro

    Korenaga 機械設計エンジニア→インフラエンジニア →SRE 趣味:折り紙 @s_korenaga
  2. ©2024 Metaps Holdings, Inc. 社名
 株式会社メタップスホールディングス 
 (Metaps Holdings, Inc.)

    
 設立
 2023年1月26日 
 資本金
 100百万円(資本準備金を含む)
 ※2023年12月末時点
 所在地
 東京都渋谷区渋谷二丁目24番12号 
 渋谷スクランブルスクエア 
 従業員数
 72名 ※2023年12月末時点
 経営陣
 代表取締役 山﨑 祐一郎 取締役   原 大輔
 取締役   青沼 克典 
 社外取締役 大谷 仁人 
 監査役   萩野矢 宏樹 事業内容
 クラウドとAIを中心にしたインキュベーション 
 テクノロジー企業への投資 
 
 MISSION テクノロジーでお金と経済のあり方を変える
 
 世界を解き放つ
 
 
 VISION 会社概要
  3. ©2024 Metaps Holdings, Inc. ©2024 Metaps Holdings, Inc. 6 インフラ基盤

    アプリケーションが 動いてる環境 アプリケーションのエラーを トラッキングするツール オンコール担当 (SRE) に障害を エスカレーションするサービス インフラ基盤の監視 エラートラッキング オンコール通知 srestは各種インフラサービスのインテグレーション先となり、 各サービスのイベントログを集積‧可視化する基盤に イベントログの集積‧可視化 システムメトリクス 監視ツール 6 6 無料トライアル実施中 >
  4. ©2024 Metaps Holdings, Inc. AWS WAFとは AWS WAF: Web アプリケーションリソースに転送される

    HTTP (S) リクエストを監視できる Web アプリケーション ファイアウォール 下記リソースタイプを保護可能 ‧Amazon CloudFront ディストリビューション ‧Amazon API Gateway REST API ‧Application Load Balancer ‧AWS AppSync GraphQL API ‧Amazon Cognito ユーザープール ‧AWS App Runner サービス ‧AWS 検証済みアクセスインスタンス
  5. ©2024 Metaps Holdings, Inc. athenaクエリ クエリの内容 SELECT header.value || httprequest.uri

    AS url, httprequest.clientip || ';' || httprequest.country AS ip_country, terminatingruleid || ';' || rulegroup.terminatingrule.ruleid AS rule, count(httprequest.uri) as count FROM "waf_logs", UNNEST(httprequest.headers) t(header), UNNEST(rulegrouplist) t(rulegroup) WHERE DAY = 'yyyy/mm/dd' AND timestamp > 'xxxxxxxxxx' AND action = 'BLOCK' AND header.name = 'Host' AND rulegroup.terminatingrule.ruleid != '' GROUP BY concat(header.value, httprequest.uri), concat(concat(httprequest.clientip, ';'), httprequest.country), concat(concat(terminatingruleid, ';'), rulegroup.terminatingrule.ruleid) ORDER BY count desc, ip_country LIMIT 10
  6. ©2024 Metaps Holdings, Inc. WAFのログを深掘り WAFの運⽤ ‧ルールの調整 攻撃のパターンを分析してルールをカスタマイズ 意図しないブロックがないか確認(特にマネージドルール) ‧訓練

    実際にシステムに攻撃してみる →守れているか確認 この攻撃なら対策しているを⾃信を持って⾔えるように  定期的に⾒直す