Slide 1

Slide 1 text

WAFログの推奨ルールを確認する

Slide 2

Slide 2 text

最初に

Slide 3

Slide 3 text

Race to Certificationの結果が届き、 私はSector3を獲得

Slide 4

Slide 4 text

Sector3の特典の1つに受験権利が付与

Slide 5

Slide 5 text

書き⽅的に3回分無料になるかと 想定…🤔

Slide 6

Slide 6 text

実際に確認してみると…

Slide 7

Slide 7 text

No content

Slide 8

Slide 8 text

No content

Slide 9

Slide 9 text

Sector3の場合獲得の場合は、 3回分ではなく、 6回分権利が付与

Slide 10

Slide 10 text

皆さんもOracle Universityの Exam Walletを確認してみてください︕ (Sector2の場合は3回分付与︖)

Slide 11

Slide 11 text

本題に⼊ります💪

Slide 12

Slide 12 text

このテーマを選定したきっかけ 先々週、お客様から以下の連絡が…

Slide 13

Slide 13 text

このテーマを選定したきっかけ 内容としてはWAFの推奨ルールのアクションを Pre-Configured Action(チェック) ↓ Pre-Configured 403 Block Action(ブロック) にした所、サイトに不具合が発⽣した模様。

Slide 14

Slide 14 text

このテーマを選定したきっかけ オペレーション⾃体には問題はなく、 どこがきっかけかと⾔うと、

Slide 15

Slide 15 text

このテーマを選定したきっかけ 翌⽇調査を⾏った結果、私はどのログか判別できず

Slide 16

Slide 16 text

このテーマを選定したきっかけ しかし、お客様はどのログが原因であるかを特定

Slide 17

Slide 17 text

そこで︕

Slide 18

Slide 18 text

今回はWAFログの確認⽅法について ご紹介します︕

Slide 19

Slide 19 text

←実⾏されたアクション ブロック時のWAFログ

Slide 20

Slide 20 text

チェック時のWAFログ ← “action”が “check” ではなく ”allow” になっている点に注意

Slide 21

Slide 21 text

ブロック時に403エラーを返す仕組みに

Slide 22

Slide 22 text

WAFログのステータス・コードは どこに表⽰されるのかと⾔うと、

Slide 23

Slide 23 text

ブロック時のWAFログ

Slide 24

Slide 24 text

異常なアクセスをWAFが検知した場合、 LBでトラフィックを⽌めるので、 そもそもバックエンドのステータス・コードは表⽰されない

Slide 25

Slide 25 text

補⾜ WAFのどの保護機能で検知したかについて

Slide 26

Slide 26 text

No content

Slide 27

Slide 27 text

←推奨ルールで設定したルール名

Slide 28

Slide 28 text

←保護機能に関するキー

Slide 29

Slide 29 text

保護機能の詳細は以下のドキュメントから確認可能 https://docs.oracle.com/ja-jp/iaas/Content/WAF/Protections/protections_management.htm

Slide 30

Slide 30 text

今回の場合は”matchedIds”が”920370”に

Slide 31

Slide 31 text

調べてみると、「HTTPリクエストの引数の最⼤⻑」が 原因でブロック

Slide 32

Slide 32 text

ちなみに保護機能の各設定値は 変更可能

Slide 33

Slide 33 text

No content

Slide 34

Slide 34 text

No content

Slide 35

Slide 35 text

No content

Slide 36

Slide 36 text

No content

Slide 37

Slide 37 text

No content

Slide 38

Slide 38 text

No content

Slide 39

Slide 39 text

最後に ログ検索について

Slide 40

Slide 40 text

No content

Slide 41

Slide 41 text

No content

Slide 42

Slide 42 text

No content

Slide 43

Slide 43 text

まとめ ž チェックの場合のアクションは”Allow”のまま ž ブロック時のステータス・コードはbackendStatusCodeには表⽰されない →バックエンドまでトラフィックが到達しないため ž 推奨機能の設定値は変更可能 ž ログ検索から対象ログを指定して検索もできるよ

Slide 44

Slide 44 text

ご清聴ありがとうございました〜👏