アプリ内 WAF ルール

Docs > Datadog Security > Application Security Management > Application Threat Monitoring and Protection > アプリ内 WAF ルール

概要

Application Security Management (ASM) を有効にすると、Datadog のトレーシングライブラリは、すべての Web サービスや API リクエストを積極的に監視し、疑わしいセキュリティアクティビティがないかどうかを確認します。

_アプリ内 WAF ルール_は、受信するリクエストの条件を指定し、ライブラリが何を疑わしいとみなすかを定義します。Datadog トレーシングライブラリは、何百ものすぐに使える ASM アプリ内 WAF ルールを含んでおり、それらはトレースエクスプローラーやデフォルトシグナルルールで疑わしいリクエストを表示するために使用されます。

トレーシングライブラリをアップグレードすることなく、アプリ内 WAF ルールに追加することができます。

ASM アプリ内 WAF ルールの構造

アプリ内 WAF ルールは、カテゴリー、名前、タグ、条件からなる JSON オブジェクトです。不審なリクエストを検出すると、ルールのタグが不審なリクエストに伝搬され、検出ルールを構築するのに利用されます。

条件

条件は、ルールが受信リクエストにタグ付けするタイミングを定義します。条件は、_入力_と_演算子_で構成されます。

入力

入力は、リクエストのどの部分に演算子が適用されるかを表します。アプリ内 WAF ルールでは、以下の入力が使用されます。

名前	説明	例
`server.request.uri.raw`	アプリケーションサービスが受信した完全なリクエスト URI	`https://my.api.com/users/1234/roles?clientId=234`
`server.request.path_params`	パースされたパスパラメーター (キー/値マップ)	`userId => 1234`
`server.request.query`	パースされたクエリパラメーター (キー/値マップ)	`clientId => 234`
`server.request.headers.no_cookies`	Cookie ヘッダー (キー/値マップ) を除いた、受信する http リクエストのヘッダー	`user-agent => Zgrab, referer => google.com`
`grpc.server.request.message`	パースされた gRPC メッセージ (キー/値マップ)	`data.items[0] => value0, data.items[1] => value1`
`server.request.body`	パースされた HTTP 本文 (キー/値マップ)	`data.items[0] => value0, data.items[1] => value1`
`server.response.status`	http ステータスコード	`200`

演算子

name	説明
`match_regex`	入力に対して正規表現によるマッチングを実行する
`phrase_match`	キーワードリストマッチングを高速に実行する
`is_xss`	クロスサイトスクリプティング (XSS) ペイロードをチェックするための特別な演算子
`is_sqli`	SQL インジェクション (SQLI) ペイロードをチェックするための特別な演算子

カスタムアプリ内 WAF ルール

注: この機能はベータ版です。

カスタムアプリ内 WAF ルールにより、ユーザーはアプリケーションへの特定のタイプのリクエストを記録することができます。たとえば、カスタムルールを使用して、ログインの成功または失敗を監視することができます。開始するには、Security -> Application Security -> Configuration -> In-App WAF -> Custom Rules へ移動します。

注: アプリ内 WAF のデフォルトのルールは読み取り専用です。アプリ内 WAF の動作を微調整するために、アプリ内 WAF のルールを変更する必要がある場合があります。デフォルトのルールを変更することはできませんが、デフォルトのルールの 1 つに基づいてカスタムルールを作成し、必要に応じて一致条件を変更することができます。同じリクエストを評価する 2 つの非常によく似たルールが存在することにならないように、デフォルトのルールは必ず無効にしてください。

サービスに ASM アプリ内 WAF ルールを構成する

Datadog で、ASM 構成のアプリ内 WAF ページに移動します。
Download Configuration をクリックすると、コンフィギュレーションファイル appsec-rules.json がローカルマシンにダウンロードされます。

上記の仕様に従って、新しいルールの JSON 定義を含むようにファイルを更新します。例:

    {
        "id": "id-123",
        "name": "My In-App WAF rule",
        "tags": {
            "category": "attack_attempt",
            "crs_id": "920260",
            "type": "http_protocol_violation"
        },
        "conditions": [
            {
                "operator": "match_regex",
                "parameters": {
                    "inputs": [
                        {
                            "address": "server.request.uri.raw"
                        }
                    ],
                    "options": {
                        "case_sensitive": true,
                        "min_length": 6
                    },
                    "regex": "\\%u[fF]{2}[0-9a-fA-F]{2}"
                }
            }
        ],
        "transformers": []
    },
   

SCP や FTP などのユーティリティを使用して、appsec-rules.json ファイルを /home/asm/appsec-rules.json などのアプリケーションサーバーにコピーします。
ASM の有効化にある、環境にアプリケーション変数を追加する方法に従って、DD_APPSEC_RULES 環境変数をファイルにフルパスでサービスに追加します。
```
DD_APPSEC_RULES=/home/asm/appsec-rules.json
```
サービスを再起動します。