署名を編集してルールを追加または変更する
ユーザー定義の署名を編集して、ルールを追加または変更できます。ローカル署名ルールは、Citrix のデフォルトシグニチャルールと同じ属性を持ち、同じように機能します。デフォルトシグニチャの場合と同様に、有効または無効にし、シグニチャアクションを設定します。
既存のシグネチャが一致しない既知の攻撃からウェブサイトやサービスを保護する必要がある場合は、ローカルルールを追加してください。たとえば、Web サーバーのログを調べて新しいタイプの攻撃を発見し、その特徴を判断したり、新しいタイプの攻撃に関するサードパーティの情報を入手したりすることができます。
シグニチャルールの中心となるのはルールパターンです。ルールが一致するように設計されている攻撃の特性をまとめて記述します。各パターンは、単純な文字列、PCRE 形式の正規表現、組み込みの SQL インジェクションまたはクロスサイトスクリプティングパターンで構成できます。
新しいパターンを追加したり、攻撃に合わせて既存のパターンを変更したりして、シグニチャルールを変更したい場合があります。たとえば、攻撃の変化について知ったり、ウェブサーバーのログを調べたり、サードパーティの情報からより良いパターンを判断したりできます。
ローカル署名ルールを追加または変更する
-
Security > NetScaler Web App Firewall > Signaturesに移動します。
-
詳細ペインで、編集するユーザー定義の署名を選択し、「 編集」をクリックします。
-
「 署名ルール 」セクションで、「 追加」をクリックします。「 署名規則 」ウィンドウが表示されます。
-
適切なチェックボックスを選択して、署名のアクションを設定します。
- 有効。新しいシグニチャルールを有効にします。これを選択しない場合、この新しいシグニチャルールは設定に追加されますが、非アクティブになります。
- ブロック。このシグニチャルールに違反する接続をブロックします。
- ログ。この署名ルールの違反をNetScalerログに記録します。
- スタット。このシグネチャルールの違反を統計に含めます。
- Remove- 応答から署名ルールに一致する情報を削除します。(応答ルールにのみ適用されます。)
- X-Out。署名ルールに一致する情報を文字 X でマスクします(応答ルールにのみ適用)。
- 重複を許可。このシグニチャオブジェクトでこのシグニチャルールの複製を許可します。
-
[Category] ドロップダウンリストから、新しいシグニチャルールのカテゴリを選択します。
カテゴリを作成する場合は、[ 追加] をクリックします。詳細については、「 署名ルールカテゴリの追加」を参照してください。
-
[LogString] テキストボックスに、ログで使用するシグニチャルールの簡単な説明を入力します。
-
「 コメント 」テキストボックスに、コメントを入力します。(オプション)
-
詳細オプションを変更するには 、[詳細] をクリックします。
- このシグニチャルールを適用する前に HTML コメントを削除するには、[Strip Comments] ドロップダウンリストで [All] または [Exclude Script Tag] を選択します。
- CSRF リファラーヘッダーチェックを設定するには、「CSRF リファラーヘッダーチェック」ラジオボタン配列で、「存在する場合」または「常に」ラジオボタンのいずれかを選択します。
- このローカルシグニチャルールに割り当てられたルール ID を手動で変更するには、[Rule ID] テキストボックスで番号を変更します。ID は、ローカルシグニチャルールにまだ割り当てられていない 1000000 から 1999999 までの正の整数でなければなりません。
- 新しいシグニチャルールにバージョン番号を割り当てるには、バージョン番号テキストボックスで番号を変更します。
- ソース ID を割り当てるには、ソース ID テキストボックスの文字列を変更します。
- ソースを指定するには、「ソース」ドロップダウンリストから「ローカル」または「Snort」を選択するか、リストの右にある「追加」アイコンをクリックして新しいソースを追加します。
- このローカルシグニチャルールの違反にハームスコアを割り当てるには、ハームスコアテキストボックスに 1 ~ 10 の数字を入力します。
- このローカルシグニチャルールに重要度評価を割り当てるには、「重要度」ドロップダウンリストで「高」、「中」、または「低」を選択するか、リストの右にある「追加」アイコンをクリックして新しい重要度評価を追加します。
- このローカルシグニチャルールに違反タイプを割り当てるには、[Type] ドロップダウンリストで [Vulnerable] または [Warning] を選択するか、リストの右側にある [Add] アイコンをクリックして新しい違反タイプを追加します。
-
「 ルールパターン」で、「 追加 」をクリックしてパターンを追加します。既存のパターンを編集して編集することもできます。[ 編集] をクリックします。
パターンの追加または編集の詳細については、「 シグニチャルールパターン」を参照してください。
-
[OK] をクリックします。
シグネチャルールカテゴリの追加
シグニチャルールをカテゴリに配置すると、個々のシグニチャではなく、シグニチャグループのアクションを設定できます。次のような理由からそうしたいと思うかもしれません。
- 選択の容易さ。たとえば、特定のグループのすべてのシグネチャルールが、特定の種類の Web サーバソフトウェアまたはテクノロジに対する攻撃を防ぐと仮定します。保護されている Web サイトがそのソフトウェアやテクノロジーを使用している場合は、それらすべてを有効にする必要があります。有効になっていない場合は、いずれも有効にしないほうがよいでしょう。
- 初期設定のしやすさ。シグニチャのグループのデフォルトを 1 つずつではなく、カテゴリとして設定するのが最も簡単です。その後、必要に応じて個々の署名に変更を加えることができます。
- 継続的な構成の容易さ。特定のカテゴリに属するなど、特定の基準を満たすシグニチャだけを表示できる場合は、シグニチャの設定が簡単です。