**の新しいコンソールエクスペリエンスの紹介 AWS WAF**
更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、[「コンソールの使用](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)」を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS WAF 保護のテストとチューニング
このセクションでは、 AWS WAF 保護パック (ウェブ ACLs)、ルール、ルールグループ、IP セット、正規表現パターンセットをテストおよびチューニングするためのガイダンスを提供します。
ウェブサイトまたはウェブアプリケーショントラフィックに適用する前に、 AWS WAF 保護パック (ウェブ ACL) の変更をテストして調整することをお勧めします。
**本番稼働トラフィックのリスク**
本番稼働トラフィックに保護パック (ウェブ ACL) 実装をデプロイする前に、トラフィックへの潜在的な影響に慣れるまで、ステージング環境またはテスト環境でテストおよびチューニングします。その後、ルールを有効にする前に、本番稼働用トラフィックでカウントモードでルールをテストしてチューニングします。
また、このセクションでは、他のユーザーによって管理されているルールグループの使用をテストするための一般的なガイダンスも提供します。これには、 AWS マネージドルールルールグループ、 AWS Marketplace マネージドルールグループ、および別のアカウントによって共有されるルールグループが含まれます。これらのルールグループについては、ルールグループプロバイダーから取得したガイダンスにも従ってください。
+ Bot Control AWS マネージドルールのルールグループについては、「」も参照してください[AWS WAF Bot Control のテストとデプロイ](waf-bot-control-deploying.md)。
+ アカウント乗っ取り防止 AWS マネージドルールのルールグループについては、「」も参照してください[ATP のテストとデプロイ](waf-atp-deploying.md)。
+ アカウント作成の不正防止 AWS マネージドルールのルールグループについては、「」も参照してください[ACFP のテストとデプロイ](waf-acfp-deploying.md)。
**更新中の一時的な不一致**
保護パック (ウェブ ACL) または他の AWS WAF リソースを作成または変更すると、リソースが保存されているすべての領域にその変更が反映されるまでに少し時間がかかります。伝播時間は、数秒から数分までかかります。
次の内容では、変更伝播中に直面する一時的な不整合性の例を紹介します。
+ 保護パック (ウェブ ACL) を作成した後、それをリソースに関連付けようとすると、保護パック (ウェブ ACL) が利用できないことを示す例外が表示される場合があります。
+ ルールグループを保護パック (ウェブ ACL) に追加した後、新しいルールグループのルールは、保護パック (ウェブ ACL) が使用されるエリアで有効になり、別のエリアでは有効にならない場合があります。
+ ルールのアクション設定を変更した後、古いアクションを一部のエリアで確認され、新しいアクションを別のエリアで確認される場合があります。
+ ブロックルールで使用されている IP セットに IP アドレスを追加した後、新しいアドレスはあるエリアではブロックされ、別のエリアでは許可される場合があります。
# ハイレベルステップのテストとチューニング
このセクションでは、ウェブ ACL が使用するルールまたはルールグループなど、ウェブ ACL に対する変更をテストするための手順のチェックリストを示します。
**注記**
このセクションのガイダンスに従うには、保護パック (ウェブ ACL)、ルール、ルールグループなどの AWS WAF 保護の作成および管理方法を理解する必要があります。この情報は、このガイドの前のセクションで説明しています。
**保護パック (ウェブ ACL) をテストおよび調整するには**
これらのステップを最初にテスト環境で実行し、次に本番環境で実行します。
1.
**テストの準備**
モニタリング環境を準備し、新しい AWS WAF 保護をテスト用のカウントモードに切り替え、必要なリソースの関連付けを作成します。
「[AWS WAF 保護のテストの準備](web-acl-testing-prep.md)」を参照してください。
1.
**テスト環境および本番環境での監視とチューニング**
最初にテスト環境またはステージング環境で、次に本番環境で、必要に応じてトラフィックを処理できることを確認するまで、 AWS WAF 保護を監視および調整します。
「[AWS WAF 保護のモニタリングと調整](web-acl-testing-activities.md)」を参照してください。
1.
**本番環境で保護を有効にする**
テスト保護に納得できたら、それらを本番モードに切り替え、不要なテストアーティファクトをクリーンアップして、監視を続行します。
「[本番環境で保護の有効化](web-acl-testing-enable-production.md)」を参照してください。
変更の実装が完了したら、本番環境でウェブトラフィックと保護を監視し、必要に応じて動作していることを確認します。Web トラフィックパターンは時間の経過とともに変化することがあるため、時々保護を調整する必要がある場合があります。
# AWS WAF 保護のテストの準備
このセクションでは、 をセットアップして AWS WAF 保護をテストおよび調整する方法について説明します。
**注記**
このセクションのガイダンスに従うには、 AWS WAF 保護パック (ウェブ ACLs)、ルール、ルールグループなどの保護を作成および管理する方法を一般的に理解する必要があります。この情報は、このガイドの前のセクションで説明しています。
**テストを準備するには**
1.
**保護パック (ウェブ ACL) のログ記録、Amazon CloudWatch メトリクス、および保護パック (ウェブ ACL) のウェブリクエストサンプリングを有効にする**
ログ記録、メトリクス、およびサンプリングを使用して、保護パック (ウェブ ACL) ルールとウェブトラフィックとの相互作用を監視します。
+ **ログ記録** – 保護パック (ウェブ ACL) が評価するウェブリクエストをログ AWS WAF に記録するように を設定できます。ログを、CloudWatch ログ、Amazon S3 バケット、または Amazon Data Firehose 配信ストリームに送信できます。フィールドの修正やフィルタリングの適用も可能です。詳細については、「[ログ記録 AWS WAF 保護パック (ウェブ ACL) トラフィック](logging.md)」を参照してください。
+ **Amazon Security Lake** – Security Lake を設定して、保護パック (ウェブ ACL) データを収集できます。Security Lake は、正規化、分析、管理のためにさまざまな ソースからログとイベントデータを収集します。このオプションの詳細については、[「Amazon Security Lake ユーザーガイド」の「Amazon Security Lake とは](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html)[」および「 AWS のサービスからデータを収集](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html)する」を参照してください。 **
+ **Amazon CloudWatch メトリクス** — 保護パック (ウェブ ACL) 設定で、監視するすべてのメトリック仕様を指定します。および AWS WAF CloudWatch コンソールを使用してメトリクスを表示できます。詳細については、「[Amazon CloudWatch によるモニタリング](monitoring-cloudwatch.md)」を参照してください。
+ **ウェブリクエストサンプリング** — 保護パック (ウェブ ACL) が評価するすべてのウェブリクエストのサンプルを表示できます。ウェブリクエストサンプリングの詳細については、「[ウェブリクエストのサンプルの表示](web-acl-testing-view-sample.md)」を参照してください。
1.
**保護を Count モードに設定します。**
保護パック (ウェブ ACL) 設定で、テストするものをカウントモードに切り替えます。これにより、テスト保護は、リクエストの処理方法を変更することなく、ウェブリクエストに対する一致を記録します。メトリクス、ログ、およびサンプリングされたリクエストで一致を確認し、一致条件を検証し、ウェブトラフィックにどのような影響があるかを理解することができます。一致するリクエストにラベルを追加するルールは、ルールのアクションに関係なくラベルを追加します。
+ **保護パック (ウェブ ACL) で定義されているルール** — 保護パック (ウェブ ACL) のルールを編集し、アクションを Count に設定します。
+ **ルールグループ** — 保護パック (ウェブ ACL) 設定で、ルールグループのルールステートメントを編集し、**[Rules]** (ルール) ペインで **[Override all rule actions]** (すべてのルールアクションをオーバーライド) ドロップダウンを開いて **[Count]** 選択します。JSON で保護パック (ウェブ ACL) を管理する場合、ルールグループ参照ステートメントで `RuleActionOverrides` 設定にリールを追加し、`ActionToUse` を Count に設定します。次のリスト例は、`AWSManagedRulesAnonymousIpList` AWS マネージドルールルールグループの 2 つのルールのオーバーライドを示しています。
```
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesAnonymousIpList",
"RuleActionOverrides": [
{
"ActionToUse": {
"Count": {}
},
"Name": "AnonymousIPList"
},
{
"ActionToUse": {
"Count": {}
},
"Name": "HostingProviderIPList"
}
],
"ExcludedRules": []
}
},
```
ルールアクションのオーバーライドの詳細については、「[ルールグループ内のルールアクションのオーバーライド](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override)」を参照してください。
独自のルールグループについては、ルールグループ自体のルールアクションを変更しないでください。ルールグループルールCountアクションは、テストに必要なメトリクスやその他のアーティファクトを生成しません。さらに、ルールグループを変更すると、それを使用するすべての保護パック (ウェブ ACL) に影響しますが、保護パック (ウェブ ACL) 設定内の変更は単一の保護パック (ウェブ ACL) にのみ影響します。
+ **保護パック (ウェブ ACL)** — 新しい保護パック (ウェブ ACL) をテストする場合は、リクエストを許可する保護パック (ウェブ ACL) のデフォルトのアクションを設定します。これにより、トラフィックに影響を与えずにウェブ ACL を試すことができます。
一般的に、カウントモードは本番稼働よりも多くの一致が生成されます。これは、リクエストをカウントするルールが保護パック (ウェブ ACL) によるリクエストの評価を停止しないため、保護パック (ウェブ ACL) で後で実行されるルールもリクエストと一致する場合があるためです。ルールアクションを本番設定に変更すると、リクエストを許可またはブロックするルールは、一致するリクエストの評価を終了します。その結果、一致するリクエストは通常、保護パック (ウェブ ACL) 内のより少ないルールで検査されます。ウェブリクエストの全体的な評価に対するルールアクションの影響の詳細については、「[でのルールアクションの使用 AWS WAF](waf-rule-action.md)」を参照してください。。
これらの設定を使用すると、新しい保護によってウェブトラフィックは変更されませんが、メトリクス、保護パック (ウェブ ACL) ログ、およびリクエストサンプルで一致情報が生成されます。
1.
**保護パック (ウェブ ACL) をリソースに関連付ける**
保護パック (ウェブ ACL) がリソースに関連付けられていない場合は、関連付けます。
「[AWS リソースとの保護の関連付けまたは関連付け解除](web-acl-associating-aws-resource.md)」を参照してください。
これで、保護パック (ウェブ ACL) を監視してチューニングする準備ができました。
# AWS WAF 保護のモニタリングと調整
AWS WAF 保護を監視および調整します。
**注記**
このセクションのガイダンスに従うには、 AWS WAF 保護パック (ウェブ ACLs)、ルール、ルールグループなどの保護を作成および管理する方法を一般的に理解する必要があります。この情報は、このガイドの前のセクションで説明しています。
ウェブトラフィックとルールの一致をモニタリングして、保護パック (ウェブ ACL) の動作を確認します。問題が見つかった場合は、ルールを調整して修正し、モニタリングして調整を確認します。
保護パック (ウェブ ACL) が必要に応じてウェブトラフィックを管理するまで、次の手順を繰り返します。
**モニタリングおよびチューニング**
1.
**トラフィックとルールの一致をモニタリングする**
トラフィックがフローしていることと、テストルールで一致するリクエストが検出されていることを確認します。
テストしている保護については、次の情報を参照してください。
+ **ログ** — 以下はウェブリクエストに一致するルールに関するアクセス情報です。
+ **ルール** - Count アクションがある保護パック (ウェブ ACL) のルールは、`nonTerminatingMatchingRules` にリストされます。Allow または Block を持つルールは、`terminatingRule` として一覧表示されます。CAPTCHA または Challenge を持つルールは、終了する場合と終了しない場合があり、そのためにルール一致の結果に応じて、2 つのカテゴリのいずれかに一覧表示されます。
+ **ルールグループ** - ルールグループは `ruleGroupId` フィールドで識別され、そのルールに一致するルールはスタンドアロンルールと同様に分類されます。
+ **ラベル** - ルールがリクエストに適用したラベルが `Labels` フィールドに一覧表示されます。
詳細については、「[保護パック (ウェブ ACL) トラフィックのログフィールド](logging-fields.md)」を参照してください。
+ **Amazon CloudWatch メトリクス** – 保護パック (ウェブ ACL) リクエスト評価の次のメトリクスにアクセスできます。
+ **ルール** – メトリクスはルールアクションによってグループ化されます。例えば、Count モードでルールをテストする場合、一致したルールが保護パック (ウェブ ACL) の `Count` メトリクスとして一覧表示されます。
+ **ルールグループ** – ルールグループのメトリクスは、ルールグループメトリクスの下に一覧表示されます。
+ **別のアカウントが所有するルールグループ** – ルールグループメトリクスは、通常、ルールグループの所有者にのみ表示されます。ただし、ルールのルールアクションを上書きすると、そのルールのメトリクスが保護パック (ウェブ ACL) メトリクスの下に一覧表示されます。さらに、ルールグループによって追加されたラベルは、保護パック (ウェブ ACL) メトリクスに一覧表示されます。
ルールグループのカウントアクションルールは、ウェブ ACL ディメンションメトリクスを出力しません - Rule、RuleGroup、およびリージョンディメンションのみ。これは、ルールグループがウェブ ACL で参照されている場合でも適用されます。
このカテゴリにあるルールグループは [AWS の マネージドルール AWS WAF](aws-managed-rule-groups.md)、[AWS Marketplace ルールグループ](marketplace-rule-groups.md)、[他のサービスによって提供されるルールグループを識別する](waf-service-owned-rule-groups.md)、また、他のアカウントから共有されたルールグループも含まれます。Firewall Manager を介して保護パック (ウェブ ACL) がデプロイされると、カウントアクションを持つ WebACL 内のルールはメンバーアカウントにメトリクスを表示しません。
+ **ラベル** – 評価中にウェブリクエストに追加されたラベルは、保護パック (ウェブ ACL) のラベルメトリクスに一覧表示されます。自分のルールやルールグループによって追加されたか、他のアカウントが所有するルールグループのルールによって追加されたかにかかわらず、すべてのラベルのメトリクスにアクセスできます。
詳細については、「[ウェブ ACL のメトリクスの表示](web-acl-testing-view-metrics.md)」を参照してください。
+ **保護パック (ウェブ ACL) トラフィック概要ダッシュボード** – AWS WAF コンソールで保護パック (ウェブ ACL) のページに移動し、トラフィック**概要タブを開いて、保護パック (ウェブ ACL) が評価したウェブトラフィック**の概要にアクセスします。
トラフィック概要ダッシュボードには、アプリケーションのウェブトラフィックを評価するときに が AWS WAF 収集する Amazon CloudWatch メトリクスのほぼリアルタイムの概要が表示されます。
詳細については、「[保護パック (ウェブ ACL) のトラフィック概要ダッシュボード](web-acl-dashboards.md)」を参照してください。
+ **ウェブリクエストのサンプル** — ウェブリクエストのサンプルと一致するルールのアクセス情報。サンプル情報では、保護パック (ウェブ ACL) 内のルールのメトリクス名で一致するルールを識別します。ルールグループの場合、メトリックはルールグループ参照ステートメントを識別します。ルールグループ内のルールの場合、サンプルは `RuleWithinRuleGroup` の一致ルール名をリストします。
詳細については、「[ウェブリクエストのサンプルの表示](web-acl-testing-view-sample.md)」を参照してください。
1.
**誤検知に対処するための緩和を構成する**
ルールが、本来は一致しないはずのウェブリクエストに一致して、誤検出を発生させていると判断した場合、次のオプションを使用して保護パック (ウェブ ACL) 保護を調整して緩和できます。
**ルールの検査基準の修正**
自分のルールについては、多くの場合、ウェブリクエストを検査するために使用する設定を調整する必要があります。例としては、正規表現パターンセット内の仕様の変更、検査前にリクエストコンポーネントに適用するテキスト変換の調整、転送 IP アドレスへの切り替えなどがあります。「[でのルールステートメントの使用 AWS WAF](waf-rule-statements.md)」にある問題の原因となっているルールタイプのガイダンスを参照してください。
**より複雑な問題の修正**
制御しない検査基準や複雑なルールについては、要求を明示的に許可またはブロックするルールを追加したり、問題のあるルールによる評価から要求を排除したりするなど、その他の変更が必要になることがあります。管理ルールグループでは、通常、このタイプの緩和策が必要ですが、他のルールも可能です。例としては、レートベースのルールステートメントと SQL インジェクション攻撃ルールステートメントなどがあります。
誤検出を軽減するために行う方法は、ユースケースによって異なります。一般的なアプローチは以下のとおりです。
+ **緩和ルールの追加**:新しいルールの前に実行され、誤検出の原因となっているリクエストを明示的に許可するルールを追加します。ウェブ ACL でのルールの評価順序の詳細については、「[ルールの優先度を設定する](web-acl-processing-order.md)」を参照してください。
この方法では、許可されたリクエストは保護されたリソースに送信されるため、評価のために新しいルールに到達することはありません。新しいルールが有料管理ルールグループである場合、このアプローチはルールグループの使用コストを抑えるのにも役立ちます。
+ **緩和ルールで論理ルールを追加する**:論理ルールステートメントを使用して、新しいルールと誤検出を除外するルールを組み合わせます。詳細については、「[での論理ルールステートメントの使用 AWS WAF](waf-rule-statements-logical.md)」を参照してください。
たとえば、リクエストのカテゴリに対して誤検出を生成する SQL インジェクションアタック match ステートメントを追加するとします。これらの要求に一致するルールを作成し、論理ルールステートメントを使用してルールを組み合わせて、両方が誤検出条件に一致せず、SQL インジェクション攻撃条件に一致するリクエストに対してのみ一致するようにします。
+ **スコープダウンステートメントを追加する**:レートベースのステートメントおよび管理ルールグループ参照ステートメントの場合、メインステートメント内にスコープダウンステートメントを追加して、誤検出の原因となるリクエストを評価から除外します。
スコープダウンステートメントと一致しないリクエストは、ルールグループまたはレートベースの評価に到達することはありません。スコープダウンステートメントの詳細については、「[でのスコープダウンステートメントの使用 AWS WAF](waf-rule-scope-down-statements.md)」を参照してください。例については、[ボット管理からの IP 範囲を除外する](waf-bot-control-example-scope-down-ip.md)を参照してください。
+ **ラベルマッチルールを追加する**— ラベリングを使用するルールグループでは、問題のあるルールがリクエストに適用されているラベルを特定します。ルールグループのルールをまだカウントモードに設定していない場合は、最初にカウントモードに設定する必要がある場合があります。問題のあるルールによって追加されているラベルと一致するラベル一致ルールを、ルールグループの後に実行するように追加します。ラベル一致ルールでは、ブロックするリクエストから許可するリクエストをフィルタリングできます。
この方法を使用する場合、テストが終了したら、問題のあるルールをルールグループ内でカウントモードで保持し、カスタムラベルマッチルールをそのまま維持します。ラベル一致ステートメントの詳細については、「[ラベル一致ルールステートメント](waf-rule-statement-type-label-match.md)」を参照してください。例については、「[特定のブロックされたボットを許可する](waf-bot-control-example-allow-blocked-bot.md)」および「[ATP の例: 認証情報の不足および侵害された認証情報のカスタム処理](waf-atp-control-example-user-agent-exception.md)」を参照してください。
+ **マネージドルールグループのバージョンの変更**— バージョン対応管理ルールグループの場合、使用しているバージョンを変更します。たとえば、正常に使用していた最後の静的バージョンに戻すことができます。
これは通常、一時的な修正です。テスト環境またはステージング環境で最新バージョンのテストを継続している間、またはプロバイダーから互換性が高いバージョンを待っている間に、本番トラフィックのバージョンを変更する場合があるかもしれません。マネージドルールグループの詳細については、「[でのマネージドルールグループの使用 AWS WAF](waf-managed-rule-groups.md)」を参照してください。
新しいルールが必要なリクエストと一致していることに納得できたら、テストの次の段階に進み、この手順を繰り返します。テストと調整の最終段階は、本番稼働環境で実行します。
# ウェブ ACL のメトリクスの表示
このセクションでは、保護パック (ウェブ ACL) のメトリクスを表示する方法について説明します。
保護パック (ウェブ ACL) を 1 つ以上の AWS リソースに関連付けると、関連付けの結果メトリクスを Amazon CloudWatch グラフで表示できます。
AWS WAF メトリクスの詳細については、「」を参照してください[AWS WAF メトリクスとディメンション](waf-metrics.md)。Amazon CloudWatch メトリクスの詳細については、「[Amazon CloudWatch ユーザーガイド](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html)」を参照してください。
保護パック (ウェブ ACL) の各ルールと、関連付けられたリソースが保護パック (ウェブ ACL) AWS WAF の に転送するすべてのリクエストについて、CloudWatch では以下を実行できます。
+ 1 時間前または 3 時間前のデータを表示する
+ データポイント間の間隔を変更する
+ CloudWatch がデータに対して実行する計算 (最大、最小、平均、合計など) を変更する
**注記**
AWS WAF CloudFront を使用した はグローバルサービスであり、メトリクスは で**米国東部 (バージニア北部)** リージョンを選択した場合にのみ使用できます AWS マネジメントコンソール。別のリージョンを選択した場合、 AWS WAF メトリクスは CloudWatch コンソールに表示されません。
**保護パック (ウェブ ACL) でルールのデータを表示するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) で CloudWatch コンソールを開きます。
1. 必要に応じて、リージョンを AWS リソースがあるリージョンに変更します。CloudFront の場合、米国東部 (バージニア北部) リージョンを選択する必要があります。
1. ナビゲーションペインの **[Metrics]** (メトリクス) で、**[All metrics]** (すべてのメトリクス) を選択し、**[Browse]** (参照) タブで `AWS::WAFV2` メトリクスを検索します。
1. データを表示する保護パック (ウェブ ACL) のチェックボックスをオンにします。
1. 該当する設定を変更します。
**[Statistic] (統計)**
CloudWatch がデータに対して実行する計算内容を選択します。
**[Time range] (時間範囲)**
前の 1 時間のデータを表示するか、前の 3 時間のデータを表示するかを選択します。
**[Period] (期間)**
グラフでのデータポイント間の間隔を変更します。
**[Rules] (ルール)**
データを表示するルールを選択します。
ルールの名前を変更し、ルールのメトリクス名に変更を反映する場合は、メトリクス名も更新する必要があります。ルール名を変更しても、ルールのメトリクス名は自動的に更新 AWS WAF されません。ルールの JSON エディターを使用して、コンソールでルールを編集するときに、メトリック名を変更できます。API や、保護パック (ウェブ ACL) またはルールグループの定義に使用する JSON リストを使用して、両方の名前を変更することもできます。
次の点に注意してください。
+ 最近保護パック (ウェブ ACL) を AWS リソースに関連付けた場合、データがグラフに表示され、保護パック (ウェブ ACL) のメトリクスが使用可能なメトリクスのリストに表示されるまで数分待つ必要がある場合があります。
+ 複数のリソースを保護パック (ウェブ ACL) に関連付けると、CloudWatch データにはそれらすべてのリクエストが含まれます。
+ データポイントの上にマウスカーソルを置くと、詳細情報が表示されます。
+ グラフは自動的には更新されません。表示を更新するには、更新 (![\[Icon to refresh the CloudWatch graph\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/images/cloudwatch-refresh-icon.png)) アイコンを選択します。
CloudWatch のメトリクスの詳細については、「[Amazon CloudWatch によるモニタリング](monitoring-cloudwatch.md)」を参照してください。
# 保護パック (ウェブ ACL) のトラフィック概要ダッシュボード
このセクションでは、 AWS WAF コンソールの保護パック (ウェブ ACL) トラフィック概要ダッシュボードについて説明します。保護パック (ウェブ ACL) を 1 つ以上の AWS リソースに関連付け、保護パック (ウェブ ACL) のメトリクスを有効にすると、 AWS WAF コンソールの 保護パック (ウェブ ACL) の**トラフィック概要**タブに移動して、保護パック (ウェブ ACL) が評価するウェブトラフィックの概要にアクセスできます。ダッシュボードには、特殊な AI ボットやエージェントのアクティビティ分析など、アプリケーションのウェブトラフィックを評価するときに が AWS WAF 収集する Amazon CloudWatch メトリクスのほぼリアルタイムの概要が含まれています。
**注記**
ダッシュボードに何も表示されない場合は、保護パック (ウェブ ACL) でメトリクスが有効になっていることを確認してください。
保護パック (ウェブ ACL) の **[トラフィック概要]** タブには、次のカテゴリの情報を含むタブ付きダッシュボードがあります。
+ **トップセキュリティインサイト** – Amazon CloudWatch logsを直接クエリすることで が AWS WAF 取得する AWS WAF 保護に関するインサイト。ダッシュボードの残りの部分では、CloudWatch メトリクスを使用します。これらのインサイトはより豊富な情報を提供しますが、CloudWatch ログのクエリに追加のコストが発生します。追加コストの詳細については、「[Amazon CloudWatch Logs の料金](https://aws.amazon.com/cloudwatch/pricing/)」を参照してください。
+ **AI トラフィック分析** – ボットの識別、インテント分類、アクセスパターン、一時的な傾向など、AI ボットとエージェントのアクティビティについて分析されたウェブリクエスト。このタブは、保護パック (ウェブ ACL) が AI ボットトラフィックを受信したときに使用できます。
+ **[すべてのトラフィック]** — 保護パック (ウェブ ACL) で評価されるすべてのウェブリクエスト。
ダッシュボードではアクションの終了に重点が置かれていますが、以下の場所でカウントルールに一致するものを確認できます。
+ このダッシュボードの **[上位 10 件のルール]** ペイン。**[カウントアクションに切り替える]** をオンにすると、一致するカウントルールが表示されます。
+ 保護パック (ウェブ ACL) ページの **[サンプルリクエスト]** タブ。この新しいタブには、ルールに一致したすべてのグラフが含まれています。詳細については、「[ウェブリクエストのサンプルの表示](web-acl-testing-view-sample.md)」を参照してください。
+ **DDoS 対策** – `AntiDDoSRuleSet` DDoS 対策マネージドルールグループを使用して保護パック (ウェブ ACL) が評価するウェブリクエスト。
このタブは、保護パック (ウェブ ACL) 内のこのルールグループを使用している場合にのみ使用できます。
+ **[Bot Control]** — Bot Control マネージドルールグループを使用して保護パック (ウェブ ACL) で評価されるウェブリクエスト。
+ 保護パック (ウェブ ACL) でこのルールグループを使用していない場合、このタブにはウェブトラフィックのサンプリングを Bot Control ルールと照合して評価した結果が表示されます。これにより、アプリケーションが受信するボットトラフィックがわかり、この機能は無料でご利用いただけます。
このルールグループは、 AWS WAF が提供するインテリジェントな脅威軽減オプションの一部です。詳細については、「[AWS WAF ボットコントロール](waf-bot-control.md)」および「[AWS WAF Bot Control ルールグループ](aws-managed-rule-groups-bot.md)」を参照してください。
+ **アカウント乗っ取り防止** – AWS WAF Fraud Control アカウント乗っ取り防止 (ATP) マネージドルールグループを使用して保護パック (ウェブ ACL) が評価するウェブリクエスト。このタブは、保護パック (ウェブ ACL) 内のこのルールグループを使用している場合にのみ使用できます。
ATP ルールグループは、 AWS WAF インテリジェントな脅威の軽減保護の一部です。詳細については、「[AWS WAF Fraud Control アカウント乗っ取り防止 (ATP)](waf-atp.md)」および「[AWS WAF Fraud Control アカウント乗っ取り防止 (ATP) ルールグループ](aws-managed-rule-groups-atp.md)」を参照してください。
+ **アカウント作成不正防止** – Fraud Control Account Creation AWS WAF Fraud Prevention (ACFP) マネージドルールグループを使用して保護パック (ウェブ ACL) が評価するウェブリクエスト。このタブは、保護パック (ウェブ ACL) 内のこのルールグループを使用している場合にのみ使用できます。
ACFP ルールグループは、 AWS WAF のインテリジェントな脅威の緩和保護機能の一部です。詳細については、「[AWS WAF Fraud Control アカウント作成不正防止 (ACFP)](waf-acfp.md)」および「[AWS WAF Fraud Control アカウント作成不正防止 (ACFP) ルールグループ](aws-managed-rule-groups-acfp.md)」を参照してください。
ダッシュボードは保護パック (ウェブ ACL) の CloudWatch メトリクスに基づいており、グラフが CloudWatch の対応するメトリクスへのアクセスを提供します。Bot Control のようなインテリジェントな脅威軽減ダッシュボードでは、使用されるメトリクスは主にラベルメトリクスです。
+ AWS WAF が提供するメトリクスのリストについては、「」を参照してください[AWS WAF メトリクスとディメンション](waf-metrics.md)。
+ Amazon CloudWatch メトリクスの詳細については、「[Amazon CloudWatch ユーザーガイド](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html)」を参照してください。
ダッシュボードには、選択した終了アクションと日付範囲のトラフィックパターンの概要が表示されます。インテリジェント脅威軽減ダッシュボードには、マネージドルールグループ自体が終了アクションを適用したかどうかに関係なく、対応するマネージドルールグループが評価したリクエストが含まれます。たとえば、Block が選択されている場合、**[Account Takeover Prevention]** ダッシュボードには、ATP マネージドルールグループによって評価されたものと、保護パック (ウェブ ACL) 評価中のある時点でブロックされたものの両方のすべてのウェブリクエストの情報が表示されます。リクエストは ATP マネージドルールグループ、保護パック (ウェブ ACL) のルールグループの後に実行されたルール、または保護パック (ウェブ ACL) のデフォルトアクションによってブロックされる場合があります。
# 保護パック (ウェブ ACL) のダッシュボードを表示する
保護パック (ウェブ ACL) ダッシュボードにアクセスし、データフィルタリング条件を設定するには、このセクションの手順に従います。最近 AWS リソースに保護パック (ウェブ ACL) を関連付けた場合、ダッシュボードでデータが利用可能になるまで数分かかることがあります。
ダッシュボードには、保護パック (ウェブ ACL) に関連付けたすべてのリソースのリクエストが含まれます。
**保護パック (ウェブ ACL) の **[トラフィックの概要]** ダッシュボードを表示するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) で AWS WAF コンソールを開きます。
1. ナビゲーションペインで、**[保護パック (ウェブ ACL)]** を選択し、目的のウェブ ACL を検索します。
1. 保護パック (ウェブ ACL) を選択します。コンソールで保護パック (ウェブ ACL) のページが表示されます。**[トラフィックの概要]** タブがデフォルトで選択されています。
1. **[データフィルター]** の設定を必要に応じて変更します。
+ **[終了ルールアクション]** — ダッシュボードに含める終了アクションを選択します。保護パック (ウェブ ACL) 評価によって選択されたアクションが適用されたウェブリクエストのメトリクスがダッシュボードに要約されます。実行可能なアクションをすべて選択すると、ダッシュボードには評価されたウェブリクエストがすべて含まれます。アクションの詳細については、「[がルールとルールグループのアクション AWS WAF を処理する方法](web-acl-rule-actions.md)」を参照してください。
+ **[時間範囲]** — ダッシュボードに表示する時間間隔を選択します。過去 3 時間や過去 1 週間など、現在を基準にした時間枠を表示したり、カレンダーから絶対的な時間範囲を選択したりできます。
+ **[タイムゾーン]** — この設定は、絶対時間で範囲を指定した場合に適用されます。ブラウザのローカルタイムゾーンまたは UTC (協定世界時) を使用できます。
関心があるタブの情報を確認します。データフィルターの選択は、すべてのダッシュボードに適用されます。グラフペインでは、データポイントまたは領域の上にカーソルを置くと、その他の詳細が表示されます。
**Count アクションルール**
カウントアクションの一致に関する情報は、2 つの場所のいずれかで表示できます。
+ この **[トラフィック概要]** タブの **[すべてのトラフィック]** ダッシュボードで、**[トップ 10 ルール]** ペインを見つけ、**[カウントアクションに切り替え]** をオンにします。このトグルをオンにすると、ペインには一致したルールだけでなく、一致したルールも表示されます。
+ 保護パック (ウェブ ACL) の **[サンプルリクエスト]** タブで、**[トラフィック概要]** で設定した期間のルールの一致とアクションの全グラフを参照します。**[サンプルリクエスト]** タブについて詳細は、「[ウェブリクエストのサンプルの表示](web-acl-testing-view-sample.md)」を参照してください。
**Amazon CloudWatch メトリクス**
ダッシュボードのグラフペインでは、グラフ化されたデータの CloudWatch メトリクスにアクセスできます。グラフペインの上部またはペイン右上の **[⋮]** (垂直省略記号) ドロップダウンメニューからオプションを選択します。
**ダッシュボードの更新**
ダッシュボードは自動的には更新されません。表示を更新するには、更新 ![\[Icon to refresh the dashboard graph\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/images/cloudwatch-refresh-icon.png) アイコンを選択します。
# 保護パック (ウェブ ACL) のトラフィックの概要ダッシュボード例
このセクションでは、保護パック (ウェブ ACL) のトラフィック概要ダッシュボードの画面例を示しています。
**注記**
すでに AWS WAF を使用してアプリケーションリソースを保護している場合は、 AWS WAF コンソールのページで任意の保護パック (ウェブ ACLs) のダッシュボードを表示できます。詳細については、「[保護パック (ウェブ ACL) のダッシュボードを表示する](web-acl-dashboards-accessing.md)」を参照してください。
**画面例: データフィルターと **[すべてのトラフィック]** ダッシュボードのアクション数**
次のスクリーンショットは、**[すべてのトラフィック]** タブが選択された状態で、保護パック (ウェブ ACL) のトラフィック概要を示しています。データフィルターはデフォルトに設定されており、過去 3 時間のすべての終了アクションを示しています。
すべてのトラフィックダッシュボードには、さまざまな終了アクションのアクション合計が表示されます。各ペインにはリクエスト数が一覧表示され、過去 3 時間の時間範囲からの変化を示す上向き/下向きの矢印が表示されます。
![\[AWS WAF コンソールには、デフォルトのデータフィルターが選択された保護パック (ウェブ ACL) ページのトラフィック概要タブが表示されます。終了ルールアクションのオプションは Block、Allow、CAPTCHA、および Challenge です。データフィルターセクションの下には、すべてのトラフィック、Bot Control、アカウント乗っ取り防止のタブがあります。\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/images/web-acl-dashboard-data-filters-default-top-actions.png)
**画面の例: **[Bot Control]** ダッシュボードのアクション数**
次のスクリーンショットは、Bot Control ダッシュボードのアクション数を示しています。これは時間範囲で同じ合計ペインを表示していますが、この数は Bot Control ルールグループが評価したリクエストのみを対象としています。さらに下の **[アクション合計]** ペインには、指定した 3 時間の時間範囲におけるアクション数が表示されます。この時間範囲では、ルールグループが評価したどのリクエストにも CAPTCHA アクションは適用されませんでした。
![\[AWS WAF コンソールには Bot Control ダッシュボードの上部が表示され、時間範囲のアクション合計と時間範囲全体のアクション合計が表示されます。\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/images/web-acl-dashboard-bot-action-totals.png)
**画面の例: **AI トラフィック分析ダッシュボード**のアクション数**
次のスクリーンショットは、保護パック (ウェブ ACL) の AI トラフィック分析ダッシュボードを示しています。ダッシュボードには、ボットの組織、インテントタイプ、検証ステータスのフィルターを使用して、選択した時間範囲における AI ボットアクティビティが表示されます。
![\[AWS WAF コンソールには、AI トラフィック分析ダッシュボードの上部に、時間範囲の上位クローラと上位パス、および時間範囲全体のアクション合計が表示されます。\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/images/waf-phantom-edge-dashboard.png)
ダッシュボードには以下が含まれます。
+ **Bot Identity パネル** – 検出された AI ボットを名前と組織で一覧表示します
+ **目的分類** – ボットの目的 (クローリング、インデックス作成、調査など) を分類します。
+ **アクセスパターン** – リクエスト数で AI エージェントによってアクセスされた上位 URLs
+ **時間分析** – 14 日間の履歴ビューを含む時間単位および日単位のアクティビティの傾向
+ **組織の内訳** — ボット所有者組織別のトラフィック量
**画面の例: **[Bot Control]** ダッシュボードのトークンステータスの概要グラフ**
次のスクリーンショットは、Bot Control ダッシュボードに表示される 2 つの概要グラフィックを示しています。**[トークンステータス]** ペインには、さまざまなトークンステータスラベルの数と、リクエストに適用されたルールアクションが表示されます。**[IP トークン不在しきい値]** ペインには、トークンなしで大量のリクエストを送信していた IP からのリクエストのデータが表示されます。
グラフの任意の領域にカーソルを合わせると、利用可能な情報の詳細が表示されます。このスクリーンショットの **[トークンステータス]** ペインでは、マウスはグラフの線上にない特定の時点にカーソルを合わせているので、コンソールにはその時点のすべての線のデータが表示されます。
![\[AWS WAF コンソールには、トークンステータスと IP トークンにしきい値がない 2 つのペインが表示され、ブロックされたリクエストとチャレンジされたリクエストのグラフ行は各ペインに似ています。[トークンステータス] ペインには、許可されたリクエストのグラフもあります。\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/images/web-acl-dashboard-bot-token-panes.png)
このセクションには、保護パック (ウェブ ACL) トラフィック概要ダッシュボードに表示されるトラフィックの概要の一部だけが表示されます。保護パック (ウェブ ACL) のダッシュボードを表示するには、コンソールで保護パック (ウェブ ACL) のページを開きます。これを行う方法については、「[保護パック (ウェブ ACL) のダッシュボードを表示する](web-acl-dashboards-accessing.md)」でガイダンスを参照してください。
# ウェブリクエストのサンプルの表示
このセクションでは、 AWS WAF コンソールの保護パック (ウェブ ACL) **のサンプルリクエスト**タブについて説明します。このタブでは、 AWS WAF が検査したウェブリクエストのすべてのルール一致のグラフを表示できます。さらに、保護パック (ウェブ ACL) に対してリクエストサンプリングが有効になっている場合は、 AWS WAF が検査したウェブリクエストのサンプルのテーブルビューが表示されます。また、API コールを通じてサンプルリクエスト情報を取得することもできます `GetSampledRequests`。
リクエストのサンプルには、保護パック (ウェブ ACL) のルールの基準に一致した最大 100 件のリクエストと、いずれのルールにも一致せず、保護パック (ウェブ ACL) のデフォルトアクションが適用されたリクエストの別の 100 件のリクエストが含まれます。サンプルのリクエストは、過去 3 時間にコンテンツについてのリクエストを受け取ったすべての保護されたリソースからのものです。
ウェブリクエストがルールの基準に一致し、そのルールのアクションがリクエスト評価を終了しない場合、 は保護パック (ウェブ ACL) の後続のルールを使用してウェブリクエストの検査を AWS WAF 続行します。このため、ウェブリクエストが複数回表示される可能性があります。ルールアクションの動作については、「[でのルールアクションの使用 AWS WAF](waf-rule-action.md)」を参照してください。
**すべてのルールグラフとサンプルされたリクエストを表示するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) で AWS WAF コンソールを開きます。
1. ナビゲーションペインで、**[保護パック (ウェブ ACL)]** を選択します。
1. リクエストを表示する保護パック (ウェブ ACL) の名前を選択します。コンソールで保護パック (ウェブ ACL) の説明が表示され、そこで編集できます。
1. **[サンプルリクエスト]** タブには、次の内容が表示されます。
+ [**すべてのルールグラフ**] — このグラフには、指定した期間中に実行されたすべての Web リクエスト評価の一致ルールとルールアクションが表示されます。
**注記**
このグラフの時間範囲は、保護パック (ウェブ ACL) の **[トラフィック概要]** タブの **[データフィルター]** セクションで設定されます。詳細については、「[保護パック (ウェブ ACL) のダッシュボードを表示する](web-acl-dashboards-accessing.md)」を参照してください。
+ **サンプルリクエストテーブル** — このテーブルには、過去 3 時間のサンプルリクエストデータが表示されます。
**注記**
マネージドルールグループで期待されるサンプルが表示されない場合は、この手順の下のセクションを参照してください。
この表には、エントリごとに以下のデータが表示されます。
**メトリクス名**
リクエストに一致した保護パック (ウェブ ACL) 内のルールの CloudWatch メトリクス名。ウェブリクエストが保護パック (ウェブ ACL) のルールと一致しない場合、この値は**デフォルト**。
ルールの名前を変更し、ルールのメトリクス名に変更を反映する場合は、メトリクス名も更新する必要があります。ルール名を変更しても、ルールのメトリクス名は自動的に更新 AWS WAF されません。ルールの JSON エディターを使用して、コンソールでルールを編集するときに、メトリック名を変更できます。API や、保護パック (ウェブ ACL) またはルールグループの定義に使用する JSON リストを使用して、両方の名前を変更することもできます。
**[Source IP] (送信元 IP)**
リクエストの発生元の IP アドレス (ビューワーが HTTP プロキシまたは Application Load Balancer を使用してリクエストを送信した場合は、そのプロキシまたは Application Load Balancer の IP アドレス)。
**[URI]**
URL 内でリソースを識別する部分 (`/images/daily-ad.jpg` など)。
**ルールグループ内のルール**
メトリック名がルールグループ参照ステートメントを識別する場合、これにより、リクエストに一致するルールグループ内のルールが識別されます。
**Action**
対応するルールのアクションを示します。取りうるルールアクションの情報については、「[でのルールアクションの使用 AWS WAF](waf-rule-action.md)」を参照してください。
ルールグループでカウントアクションを使用するルールのサンプルリクエストは、ウェブ ACL ビューでは使用できません。ルールグループルールのカウントメトリクスとサンプリングされたリクエストは、ルールグループの所有者にのみ表示されます。
**Time**
が保護されたリソースからリクエストを AWS WAF 受信した時間。
ウェブリクエストのコンポーネントに関する追加情報を表示するには、リクエストの行にある URI の名前を選択します。
**マネージドルールグループのルールのサンプリングされたリクエスト**
コンソールには、トリガーされたルールを指定する「ルールグループ内のルール」を含むルールグループのメトリクスが表示されます。最新の`RuleActionOverrides`設定を使用して、デフォルトのアクションルールセットとルールのメトリクスを表示できます。古い`ExcludedRules`設定を使用するルールの場合、**Sampled Requests** メトリクスルールドロップダウンからルールセット内から特定のルールを選択します。
古い設定が表示された場合は、それらを新しい設定に置き換えて、サンプルリクエストをコンソールで使用可能にします。これを行うには、保護パック (ウェブ ACL) のマネージドルールグループを編集して保存します。 AWS WAF は古い設定を自動的に `RuleActionOverrides` 設定に置き換え、ルールアクションオーバーライドを Count に設定します。これらの 2 つの設定の詳細については、「[JSON リスト: `RuleActionOverrides` を `ExcludedRules` に置き換えます](web-acl-rule-group-override-options.md#web-acl-rule-group-override-replaces-exclude)」を参照してください。
AWS WAF REST API、SDKs、またはコマンドラインを使用して、古いオーバーライドが設定されているルールのサンプルリクエストにアクセスできます。詳細については、「*AWS WAF API リファレンス*」の [GetSampledRequests](https://docs.aws.amazon.com/waf/latest/APIReference/API_GetSampledRequests.html) を参照してください。
コマンドラインリクエストの構文を次に示します。
```
aws wafv2 get-sampled-requests \
--web-acl-arn webACL ARN \
--rule-metric-name Metric name of the rule in the managed rule group \
--scope=REGIONAL or CLOUDFRONT \
--time-window StartTime=UTC timestamp,EndTime=UTC timestamp \
--max-items 100
```
# 本番環境で保護の有効化
このセクションでは、本番稼働でチューニングされた保護を有効にする手順について説明します。
本番環境でのテストとチューニングの最終段階が終了したら、本番モードで保護を有効にします。
**本番稼働トラフィックのリスク**
本番稼働トラフィックに保護パック (ウェブ ACL) 実装をデプロイする前に、トラフィックへの潜在的な影響に慣れるまで、テスト環境でテストおよびチューニングします。また、本番稼働用トラフィックの保護を有効にする前に、本番稼働用トラフィックでカウントモードでテストおよびチューニングします。
**注記**
このセクションのガイダンスに従うには、 AWS WAF 保護パック (ウェブ ACLs)、ルール、ルールグループなどの保護を作成および管理する方法を一般的に理解する必要があります。この情報は、このガイドの前のセクションで説明しています。
これらのステップを最初にテスト環境で実行し、次に本番環境で実行します。
**本番環境で AWS WAF 保護を有効にする**
1.
**本番環境保護に切り替える**
保護パック (ウェブ ACL) を更新し、本番環境の設定を切り替えます。
1.
**不要なテストルールをすべて削除する**
本番環境では必要ないテストルールを追加した場合は、それらを削除します。ラベル一致ルールを使用して管理ルールグループルールの結果をフィルタリングする場合は、必ずそれらのルールをそのままにしておいてください。
1.
**本番用アクションに切り替える**
新しいルールのアクション設定を、意図したプロダクション設定に変更します。
+ **保護パック (ウェブ ACL) で定義されているルール** — 保護パック (ウェブ ACL) のルールを編集し、Count からのそれらのアクションを本番環境のアクションに変更します。
+ **ルールグループ** — ルールグループの保護パック (ウェブ ACL) 設定で、独自のアクションを使用するようにルールを切り替えるか、テストおよびチューニングのアクティビティの結果に応じて、Count アクションオーバーライドがあるままにします。ラベル一致ルールを使用してルールグループルールの結果をフィルタリングする場合は、必ずそのルールのオーバーライドをそのまま残してください。
ルールのアクションの使用に切り替えるには、保護パック (ウェブ ACL) 設定で、ルールグループのルールステートメントを編集し、ルールの Count オーバーライドを削除します。JSON で保護パック (ウェブ ACL) を管理する場合、ルールグループ参照ステートメントで `RuleActionOverrides` リストからルールのエントリを削除します。
+ **保護パック (ウェブ ACL)** — 保護パック (ウェブ ACL) のデフォルトアクションをテスト用に変更した場合は、本番用の設定に切り替えます。
これらの設定により、意図したとおりに新しい保護がウェブトラフィックを管理します。
保護パック (ウェブ ACL) を保存すると、それが関連付けられているリソースは本番設定を使用します。
1.
**モニタリングおよびチューニング**
ウェブリクエストが希望どおりに処理されていることを確認するには、新しい機能を有効にした後、トラフィックを注意深く監視します。チューニング作業で監視していたカウントアクションではなく、本番ルールアクションのメトリクスとログを監視します。ウェブトラフィックの変化に適応するために、必要に応じて動作を監視し、調整してください。