Analysis - Web Security Analytics(Statistics)の画面構成

Web Security AnalyticsのStatisticsでは、グラフや表で検知状況の推移を確認したり、多様な各種指標に基づいた検知傾向を並べてより詳細に確認したりできます。
Web Security Analyticsをクリックすると以下の画面に遷移します。

overall

① 表示選択
画面表示を「Statistics」か「Samples」かタブで選択できます。
デフォルトでは「Statistics」表示になっており、この表示ではグラフや表で検知状況の推移を確認できます。
「Samples」表示では、検知したトラフィックのヘッダー等詳細を確認できます。

② フィルタ
アクセス元IPアドレス等、表示させるトラフィックの条件を指定して条件に合致したトラフィックに表示を絞ることができます。

③ 指標選択
グラフの下に表示する指標を選択して増やすことが出来ます。
例えばデフォルトでは画像の例のように攻撃種別(WAFなのかBotなのか等)の表が表示されています。
他にもアクセス元の地域やアクセス先FQDNといった指標を、グラフや表の形式を選択して表示することができます。
指標を表示しすぎた場合は、表示された指標の右上「・・・」から、Removeを選択することで表示を削除できます。

④ グラフ
検知状況のグラフが表示されます。
このグラフの指標も変更が可能で、デフォルトでは「攻撃種別」になっており、青字の「by ~」の部分をクリックすると他の指標を選択できます。
変更すると、グラフすぐ下の表の指標も変更されます。

⑤ AI Assistant
AIと対話しながら所望のグラフ表示にすることができます。
例えば「過去12時間のボットによる検知のグラフを表示して」といったチャットを送ることで、フィルタ条件を変更したり指標を増やして表示してくれたりといったことが可能です。
 ※日本語でこちらからチャットしても受け付けてくれますが、AIの返答は英語になります。

上記②等で選択できる指標について、よく使われるものとして以下のようなものがございます。
特によく使う指標は斜体で記載しています。
以下は抜粋となりますので、最新の指標については Akamai社のTechDocs をご参照ください。

指標

説明

Attack Type

検知したトラフィックの検知内容をボット(Bot)、カスタムルール(Custom Rule)、DDoS攻撃(DoS)、アプリケーション攻撃(WAF)、悪性IP(Network Firewall)、それ以外(Unclassified) のいずれかで表記します。

Common - IP Address

検知したトラフィックのリクエスト元のIPアドレスを表記します。

Common - Hostname

検知したトラフィックのリクエスト先のFQDNを表記します。

Common - AS Number

検知したトラフィックのリクエスト元の属するAS番号を表記します。

Common - IP Subnet

検知したトラフィックのリクエスト元のIPアドレスのサブネットワークを表記します。

Common - Country/Area

検知したトラフィックのリクエスト元の国や地域を表記します。

Common - Path

検知したトラフィックのリクエスト先のパス(URLの一部)を表記します。

Common - Query

検知したトラフィックのリクエストに含まれるクエリ文字列を表記します。

Common - Referer

検知したトラフィックのリクエストに含まれるリファラを表記します。

Common - URL

検知したトラフィックのリクエスト先のURL(FQDN+パス)を表記します。

Common - User-Agent

検知したトラフィックのリクエストに含まれるUser-Agentを表記します。

Common - Action

検知したトラフィックに対しセキュリティで発動したアクションを表記します。

Common - API ID

API Protectionをご利用の場合に検知したトラフィックについてAPI IDを表記します。

Common - API Key

API Protectionをご利用の場合に検知したトラフィックについてAPI Keyを表記します。

Common - Policy

検知したトラフィックについて、どのポリシーで検知したか表記します。

Common - Status Code

検知したトラフィックのレスポンスについてどのステータスコードを返したか表記します。

IP Geo Firewall - Network List

検知したトラフィックについてネットワークリストで検知している場合にどのリストで検知したか表記します。

DoS Protection - DoS Category

検知したトラフィックがDoSでの検知の場合、検知したDoS攻撃のカテゴリをDoS Anomaly、Rate、Slow Post、Otherのいずれかで表記します。

DoS Protection - Rule

検知したトラフィックがDoSでの検知の場合、検知したDoS攻撃のDoSルールIDを表記します。

Custom Rule - Rule

検知したトラフィックがカスタムルールでの検知の場合、検知したカスタムルールのルールIDを表記します。

Custom Rule - Selector

検知したトラフィックがカスタムルールでの検知の場合、リクエストヘッダ、User-Agent、URIなど、いずれが検知対象かを表記します。

Custom Rule - Match

検知したトラフィックがカスタムルールでの検知の場合、検知対象の文字列など追加情報を表記します。

Custom Rule - Message

検知したトラフィックがカスタムルールでの検知の場合、設定したメッセージがあれば表記します。

Custom Rule - Tag

検知したトラフィックがカスタムルールでの検知の場合、設定したタグがあれば表記します。

Web Application Firewall - WAF Category

検知したトラフィックがWAFでの検知の場合、どのリスクグループで検知したか表記します。

Web Application Firewall - Rule Combination

検知したトラフィックがWAFでの検知の場合、どのルールの組み合わせで検知したか表記します。

Web Application Firewall - Rule

検知したトラフィックがWAFでの検知の場合、どのルールで検知したか表記します。

Web Application Firewall - Selector

検知したトラフィックがWAFでの検知の場合、リクエストヘッダ、User-Agent、URIなど、いずれが検知対象かを表記します。

Web Application Firewall - Match

検知したトラフィックがWAFでの検知の場合、検知対象の文字列など追加情報を表記します。


Analysis - Evaluation Modeの画面構成
Domain Ownership Management ご対応方法