Analysis - Evaluation Modeの画面構成¶
Evaluation Modeのレポート画面では、セキュリティ設定でEvaluation Modeが有効な場合にEvaluation Modeでの検知状況を確認できます。
Evaluation Modeは新規WAFルールが公開された際に、そのルールを実環境に影響しない形で事前検証する機能です。
検証しながら本稿で解説するレポートを確認することで、新規WAFルールへ移行した場合の影響について確認することができます。
Evaluation Modeのいずれかをクリックすると、以下の検証結果一覧画面に遷移します。
レポート対象について表になっており項目が左から、ポリシー名、Evaluation開始時期、Evaluationの完了状況、の順で並んでいます。
レポートを確認したい対象の「View Report」からレポートを確認できます。
Evaluation Modeのレポート画面は以下のようになっています。
① Current Only
現行ルールにおける検知数です。
② Evaluation Only
Evaluation Modeで評価中の新ルールにおける検知数です。
※この検知数はあくまで現実のトラフィックを活用した検証としての数値であり、現実のトラフィックに遮断などのアクションはこの数値としては一切行っておりません
③ Both
①と②の両方で検知している検知数です。
上記は図解すると以下のようになります。
上記の項目に従って、適用されたアクションやアタックグループなどの検知種別、宛先FQDNごとでそれぞれ表として検知数を確認することができます。
Evaluation Modeのレポートを開始するには、前述の通りセキュリティ設定でEvaluation Modeが有効になっている必要があります。
Evaluation Modeの有効化は、新規WAFルールの公開後にWAFレビュー等を経て実施されますので、ご利用になりたい場合はWAFレビュー時にご相談ください。