コンテンツにスキップ

始める

1. WAFコンテンツスキャンを有効にする

  1. Cloudflareダッシュボードにログインし、アカウントとドメインを選択します。
  2. セキュリティ > 設定に移動します。
  3. 受信トラフィック検出の下で、悪意のあるアップロードをオンにします。

2. コンテンツスキャンの動作を検証する

セキュリティ分析とHTTPログを使用して、悪意のあるコンテンツオブジェクトが正しく検出されていることを確認します。

EICARアンチマルウェアテストファイルを使用してコンテンツスキャンをテストできます(ZIP形式を選択)。

または、次のステップで説明するように、_Log_アクションを使用してWAFカスタムルールを作成します。これにより、構成を検証するためのセキュリティイベント(セキュリティ > イベントで利用可能)が生成されます。

3. WAFカスタムルールを作成する

アプリケーションにアップロードされた悪意のあるコンテンツオブジェクトをブロックするWAF カスタムルールを作成します。

例えば、_Block_アクションと次の式を持つカスタムルールを作成します:

フィールド演算子
悪意のあるコンテンツオブジェクトがあるequalsTrue

Expression Editorを使用する場合、次の式を入力します:

(cf.waf.content_scan.has_malicious_obj)

このルールは、WAFが疑わしいまたは悪意のあるコンテンツオブジェクトを検出したリクエストに一致します。WAFコンテンツスキャンによって提供されるフィールドのリストについては、コンテンツスキャンフィールドを参照してください。

オプション: 他のルール言語フィールドと組み合わせる

前の式を他のフィールド関数と組み合わせることができます。これにより、ルールのスコープをカスタマイズしたり、コンテンツスキャンを他のセキュリティ機能と組み合わせたりできます。例えば:

  • 次の式は、特定のエンドポイントにアップロードされた悪意のあるコンテンツオブジェクトを持つリクエストに一致します:

    フィールド演算子論理
    悪意のあるコンテンツオブジェクトがあるequalsTrueAnd
    URIパスcontainsupload.php

    エディタを使用する場合の式:

    (cf.waf.content_scan.has_malicious_obj and http.request.uri.path contains "upload.php")

  • 次の式は、コンテンツオブジェクトをアップロードするボットからのリクエストに一致します:

    フィールド演算子論理
    コンテンツオブジェクトがあるequalsTrueAnd
    ボットスコアless than10

    エディタを使用する場合の式:

    (cf.waf.content_scan.has_obj and cf.bot_management.score lt 10)

追加の例については、例ルールを参照してください。

4. (オプション) カスタムスキャン式を設定する

デフォルトの設定ではカバーされていない方法でアップロードされたコンテンツをチェックするには、カスタムスキャン式を追加します。

  1. Cloudflareダッシュボードにログインし、アカウントとドメインを選択します。

  2. セキュリティ > 設定に移動します。

  3. 受信トラフィック検出の下で、悪意のあるアップロードを選択します。

  4. コンテンツオブジェクトの場所を追加を選択します。

  5. コンテンツの場所にカスタムスキャン式を入力します。例えば:

    lookup_json_string(http.request.body.raw, "file")

  6. 保存を選択します。

カスタムスキャン式は、次のJSON文字列に見つかったHTTPボディ内の任意の文字列をスキャンします:

{ "file": "<BASE64_ENCODED_STRING>" }
Cloudflare DashboardDiscordCommunityLearning CenterSupport Portal
Cookie Settings