Azure Web Application Firewall で機密データをマスクする方法
Web Application Firewall (WAF) のログ スクラブ ツールは、WAF ログから機密データを削除するのに役立ちます。 これは、機密データを含む要求の特定の部分を識別するカスタム ルールを作成できるルール エンジンを使用することで機能します。 情報が識別されると、ツールはその情報をログからスクラブし、******* で置き換えます。
Note
ログ スクラブ機能は、最新の WAF エンジンを実行している Web アプリケーション ファイアウォールでのみサポートされています。 マネージド ルール セットとして OWASP CRS 3.2 または既定のルール セット 2.1 を選択します。
Note
ログ スクラブ機能が有効にされても、Microsoft は重要なセキュリティ機能をサポートするために自社の内部ログに IP アドレスを引き続き保持します。
次の表は、機密データの保護に使用できるログ スクラブ ルールの例を示しています。
| 一致変数 | 演算子 | セレクター | スクラブされる内容 |
|---|---|---|---|
| 要求のヘッダー名 | 等しい | X-Forwarded-For | REQUEST_HEADERS:x-forwarded-for.","data":"******" |
| 要求の Cookie 名 | 等しい | cookie1 | "Matched Data: ****** found within REQUEST_COOKIES:cookie1: ******" |
| 要求の引数名 | 等しい | arg1 | "requestUri":"/?arg1=******" |
| 要求の Post 引数名 | 等しい | Post1 | "data":"Matched Data: ****** found within ARGS:post1: ******" |
| 要求の JSON 引数名 | 等しい | Jsonarg | "data":"Matched Data: ****** found within ARGS:jsonarg: ******" |
| 要求の IP アドレス* | Equals Any | NULL | "clientIp":"******" |
* 要求の IP アドレスのルールは、equals any 演算子のみをサポートし、WAF ログに表示される要求者の IP アドレスのすべてのインスタンスをスクラブします。
詳細については、「Azure Web Application Firewall の 機密データ保護とは」を参照してください
機密データ保護を有効にする
次の情報を使用して機密データ保護を有効にして構成します。
機密データ保護を有効にするには:
- 既存の Application Gateway WAF ポリシーを開きます。
- [設定] で、[機密データ] を選択します。
- [機密データ] ページで、[ログ スクラブの有効化] を選択します。
機密データ保護のログ スクラブ ルールを構成するには:
- [ログ スクラブ ルール] で、[一致変数] を選択します。
- [演算子] を選択します (該当する場合)。
- [セレクター] を入力します (該当する場合)。
- [保存] を選択します。
さらにルールを追加するには同じことを繰り返します。
機密データ保護を確認する
機密データ保護ルールを確認するには、Application Gateway のファイアウォール ログを開き、機密フィールドの代わりの ****** を検索します。