動的プロファイリング
ラーニング機能は、バックエンドサーバ上のアクティビティを観察して学習するパターンフィルタです。観察に基づいて、学習エンジンは、セキュリティチェックごとに最大 2000 個のルールまたは例外 (緩和) を生成します。プロセスを自動化し、緩和ルールを自動的に展開するために、Citrix ADCアプライアンスは動的プロファイリングを使用します。
動的プロファイリングでは、アプライアンスは事前に定義されたしきい値について学習したデータを記録し、SNMPアラートをユーザーに送信します。猶予期間内にユーザーがデータをスキップしない場合、アプライアンスはそれを緩和ルールとして自動的にデプロイします。以前は、ユーザーは緩和ルールを手動で展開する必要がありました。現在、動的プロファイリングは、次のセキュリティチェックでのみ使用できます。
- HTML SQL インジェクション
- HTML クロスサイトスクリプティング
- フィールドの書式
- 開始URL
- コンテンツタイプ
- フィールド書式
- CSRFフォームのタグ付け
- クッキーの整合性
- URL を拒否する
- バッファオーバーフロー
- クレジットカード
たとえば、動的プロファイリングで有効化された HTML SQL Injection セキュリティチェックを考えます。学習機能が推奨事項を生成する必要があるIPのリスト(信頼できる学習クライアントリストと呼ばれる)に学習を使用できます。信頼できるクライアントのリストを構成するには、「信頼できるクライアントを学習する」トピックを参照してください。着信トラフィックに違反がある場合、そのトラフィックは学習データとして記録されます。 学習したデータが学習エンジンに記録されると、アプライアンスはユーザーに SNMP アラートを送信します。ユーザーが誤検知を認識せず、猶予期間内に学習したデータをスキップしない場合、アプライアンスはそのデータを緩和ルールとして自動的に展開します。
注: ダイナミックプロファイルを設定したら、緩和ルールの自動展開についてアプライアンス設定を定期的に確認し、アプライアンスに保存する必要があります。
Citrix ADCコマンドインターフェイスを使用して動的プロファイリングを構成する
動的プロファイリングは、開始 URL、HTML クロスサイトスクリプティング、フィールド形式、または HTML SQL インジェクションのセキュリティチェックで使用できます。動的プロファイリングを設定するには、次の手順を完了する必要があります。
- 動的学習の設定
- 自動展開の猶予期間の設定
動的学習の設定
最初のステップとして、アプライアンスに動的学習を設定する必要があります。コマンドプロンプトで入力します。
set appfw profile <profile_name> dynamicLearning <security_checks>
例
set appfw profile test1 dynamicLearning SQLInjection CrossSiteScripting fieldFormat startURL
自動展開の猶予期間の設定
特定のセキュリティチェックで機能を有効にしたら、自動展開の猶予期間を設定する必要があります。
set appfw learningsettings <profile name> -crossSiteScriptingAutoDeployGracePeriod <seconds>
set appfw learningsettings <profile name> fieldFormatAutoDeploymentGracePeriod <seconds>
set appfw learningsettings <profile name> SQLInjectionAutoDeploymentGracePeriod <seconds>
set appfw learningsettings <profile name> –startURLAutoDeployGracePeriod <seconds>
例
set appfw learningsettings test1 –crossSiteScriptingAutoDeployGracePeriod 30
set appfw learningsettings test1 –startURLAutoDeployGracePeriod 7
set appfw learningsettings test1 –fieldFormatAutoDeploymentGracePeriod 10
set appfw learning settings test1 –SQLInjectionAutoDeploymentGracePeriod 12
注:
ここでは、自動展開の猶予期間は分単位で表示されます。
Citrix ADC GUIを使用した動的プロファイリングの構成
- Security > Citrix Web App Firewall > Profilesに移動します。
- 詳細ペインでプロファイルを選択し、[編集] をクリックします。
-
[Citrix Web Appプロファイル]ページで、[詳細設定]の下の[動的プロファイル]をクリックします。
-
「 動的プロファイリング 」セクションで、セキュリティーチェックを選択し、「 編集 」をクリックします。
-
[動的プロファイリングおよび学習設定] ページで、セキュリティチェックの猶予期間を設定します。
- [OK] をクリックし、[完了] をクリックします。
緩和ルールのエクスポートとインポート
動的プロファイリングを有効にすると、学習したデータは緩和ルールとして自動的に展開されます。これに加えて、アプライアンスでは、動的プロファイリングベースの緩和ルールと通常の緩和ルールをエクスポートすることもできます。ステージング環境からルールをエクスポートし、実稼働環境にインポートできます。
注:
ルールを実稼働環境にインポートするときは、プロセスが追加され、既存の構成が上書きされないようにする必要があります。
緩和ルールをエクスポートおよびインポートする方法
緩和ルールをエクスポートおよびインポートするには、次の手順を完了する必要があります。
- まず、動的プロファイルベースのデータをエクスポートする必要があります。このためには、WAF プロファイルの緩和ルールでエクスポートオプションを使用できます。このオプションを選択すると、動的プロファイル緩和ルールと通常の緩和ルールがエクスポートされます。エクスポートオプションを使用すると、構成を圧縮バンドルとしてアプライアンス上にダウンロードできます。
- ステージング環境からデータをエクスポートしたら、別のCitrix ADCアプライアンスにインポートする必要があります。このためには、WAF プロファイルの緩和ルールで使用可能なインポートオプションを使用する必要があります。このオプションを選択すると、アプライアンスはバンドルされた指定された緩和ルールをインポートし、選択したアプライアンスの WAF プロファイルに復元します。
注:
WAF プロファイルで緩和ルールをインポートする場合、次の 2 種類のアクションがあります。 補強 — このアクションにより、インポートが付加的になり、既存の設定が上書きされないようになります。 Overwrite — このアクションは、圧縮エクスポートバンドルに存在する構成で既存の構成を上書きします。
CLIを使用してアーカイブされた緩和ルール・ファイルをインポートする
緩和ルールをインポートするには、アーカイブをCitrix ADCアプライアンスにインポートし、復元コマンドを実行して構成を抽出する必要があります。次の CLI コマンドのセットは、設定のエクスポート、インポート、および管理に使用できます。
特定の場所からアーカイブファイルをインポートして復元するには、コマンドプロンプトで次のように入力します。
import appfw archive <src> <name> [-comment <string>]
ここで、
「src」:形式でtarアーカイブファイルのソースを示し、<protocol>://<host>[:<port>][/<path>]
「name」:アーカイブ名を示します。
「comment」: このアーカイブに関連するコメント。
restore appfw profile <archivename> [-relaxationRules] [-importProfileName <string>] [-matchUrlString <string>] [-replaceUrlString <string>] [-overwrite] [-augment]
ここで、
archivename:はtar アーカイブのソースを示します。これは必須の引数です。
「relaxationRules」: すべての appfw 緩和ルールをインポートするオプション。
importProfileName:リストア操作中に緩和ルールを関連付けるために作成または更新されたプロファイル名を示します。
「MatchurlString」: アーカイブされた緩和ルールで照合するアクション URL 文字列を示します。
replaceUrlString: 緩和ルールの復元中にアクション URL で置き換える文字列を示します。
overwrite: 既存の緩和ルールをパージし、インポート中に置き換えるための既存のルールアクション。
augment: インポート中に緩和ルールを強化する既存のルールアクション。
例:
import appfw archive local: dutA_test_pr.tgz demo
restore appfw profile dutA_test_pr
CLI を使用して、アーカイブされたファイルを選択したアプライアンスにエクスポートします
CLI を使用して appfw 緩和ルールをエクスポートする場合は、設定をアーカイブしてからエクスポートする必要があります。 アーカイブされたファイルをアーカイブおよびエクスポートするには、コマンドプロンプトで次のように入力します。
archive appfw profile <name> <archivename> [-comment <string>]
ここで、
archive name:はtar アーカイブのソースを示します。これは必須の引数です。
name: エクスポートする緩和ルールを含む appfw プロファイル名を示します。
export appfw archive <name> <target>
どこで、 名前。tar アーカイブの名前。 これは必須の引数です。 最大長さ:31 ターゲット。エクスポートするファイルへのパス。これは必須の引数です。 最大長:2047
例:
> archive appfw profile test_pr archived_test_pr
> export appfw archive archived_test_pr local:dutA_test_pr
Citrix ADC GUI を使用して緩和ルールをエクスポートするには
緩和ルールをエクスポートするには、以下の手順に従ってください。
- [セキュリティ]>[Citrix Web App Firewall]に移動します。
- 詳細ページで、[構成の概要]セクション Citrix Web App Firewall プロファイル]リンクをクリックします。
- [Citrix Web App Firewall プロファイル]ページで、[詳細設定]セクションの[緩和ルール]リンクをクリックします。
-
[緩和ルール] セクションで、[すべての緩和ルールを書き出し] をクリックします。アクションは、すべてのセキュリティチェックと、そのプロファイルで動的学習が有効になっているセキュリティチェックに適用されます。
Citrix ADC GUI を使用して緩和ルールをインポートするには
緩和ルールをインポートする手順を完了します。
- [セキュリティ]>[Citrix Web App Firewall]に移動します。
- 詳細ページで、[構成の概要]セクション Citrix Web App Firewall プロファイル]リンクをクリックします。
- [Citrix Web App Firewall プロファイル]ページで、[詳細設定]セクションの[緩和ルール]リンクをクリックします。
- [緩和ルール] セクションで、[すべての緩和ルールを読み込む] をクリックします。
-
[Citrix Web App Firewallプロファイルの構成] ページで、次のパラメーターを設定します。
- ローカルファイル。緩和ルールを含む圧縮アーカイブファイルの名前。
- プロファイル名。緩和ルールがバインドされているプロファイルの名前。
- URL 文字列に一致します。一致する URL の部分。
- URL 文字列を置換します。URL 文字列を置き換える URL の部分。
- 既存のルール処理ルールで既存のルールを上書きするか、既存のルールを補強するかを選択します。
-
[OK] をクリックします。
