WAF攻撃スコア
WAF攻撃スコアは、WAF管理ルールを補完する機能です。
WAFの管理ルールセットには、悪意のあるペイロードをより良く検出するために継続的に更新されるルールが含まれています。これらは確立された攻撃ベクターの特定のパターンをターゲットにしており、非常に低い誤検知率を持っています。しかし、管理ルールセットは、例えばファジング技術によって導入された元のシグネチャのバリエーションに基づく攻撃には最適化されていません。
WAF攻撃スコアを使用すると、これらの攻撃のバリエーションとその悪意のあるペイロードを特定できます。リクエストを機械学習アルゴリズムを使用して分類し、リクエストが悪意のあるものである可能性に基づいて1から99の攻撃スコアを割り当てます。Bot管理と同様に、このスコアを使用して、WAF管理ルールのいずれかのルールに正確に一致しない可能性のある悪意のあるトラフィックを特定できます。
保護を最大化するために、Cloudflareは管理ルールとWAF攻撃スコアの両方を使用することを推奨しています。
Cloudflare WAFは以下の攻撃スコアを提供します:
| スコア | 必要な最小プラン | 攻撃ベクター | フィールド |
|---|---|---|---|
| WAF攻撃スコア | エンタープライズ | N/A(グローバルスコア) | cf.waf.score |
| WAF SQLi攻撃スコア | エンタープライズ | SQLインジェクション(SQLi) | cf.waf.score.sqli |
| WAF XSS攻撃スコア | エンタープライズ | クロスサイトスクリプティング(XSS) | cf.waf.score.xss |
| WAF RCE攻撃スコア | エンタープライズ | リモートコード実行(RCE) | cf.waf.score.rce |
| WAF攻撃スコアクラス | ビジネス | N/A(グローバル分類) | cf.waf.score.class |
これらのスコアのフィールドは、カスタムルールやレート制限ルールの式で使用できます:
- スコアが
1の場合、リクエストはほぼ確実に悪意があります。 - スコアが
99の場合、リクエストはクリーンである可能性が高いです。 - スコアが
100の場合、Cloudflare WAFはリクエストにスコアを付けていません。
利用可能なスコアは互いに独立しています。つまり、WAF攻撃スコアは他のスコアの合計ではありません。
WAF攻撃スコアクラスフィールドは、計算されたリクエスト攻撃スコアに応じて以下のいずれかの値を持つことができます:
| ダッシュボードラベル | フィールド値 | 説明 |
|---|---|---|
| 攻撃 | attack | 攻撃スコアが1から20の範囲。 |
| おそらく攻撃 | likely_attack | 攻撃スコアが21から50の範囲。 |
| おそらくクリーン | likely_clean | 攻撃スコアが51から80の範囲。 |
| クリーン | clean | 攻撃スコアが81から99の範囲。 |
攻撃スコアが100のリクエストは、Cloudflareダッシュボードでクラスが_未スコア_となりますが、このクラス値をルール式で使用することはできません。
攻撃スコアは、リクエストのURL、ヘッダー、ボディのどこにでもBase64、JavaScript(Unicodeエスケープシーケンス)、およびURLエンコードされたコンテンツを自動的に検出してデコードします。
エンタープライズ顧客の場合:
- WAF攻撃スコアが40未満のすべてのリクエストをログに記録するWAFカスタムルールを作成します(推奨初期閾値)。例えば、ルール式を
cf.waf.score lt 40に設定し、ルールアクションを_ログ_に設定します。
ビジネス顧客の場合:
- WAF攻撃スコアクラスが_攻撃_のリクエストに一致するWAFカスタムルールを作成します。例えば、ルール式を
cf.waf.score.class eq "attack"に設定し、ルールアクションをチャレンジアクション(_管理チャレンジ_など)または_ブロック_に設定します。
作成したルールを監視し、特に最初の数日間は、トラフィックに適切な閾値(またはクラス)を入力したことを確認します。必要に応じてルールを更新します。
エンタープライズ顧客で、_ログ_アクションのルールを作成した場合、ルールアクションを_管理チャレンジ_や_ブロック_などのより厳しいものに変更します。
WAF攻撃スコアは、脅威スコアやボットスコアとは異なります。WAF攻撃スコアは、WAF管理ルールがキャッチできない攻撃のバリエーションを特定します。ボットスコアはボットを特定し、脅威スコアはCloudflareサービス全体のIPの評判を測定します。