Citrix ADC

動的プロファイリング

ラーニング機能は、バックエンドサーバ上のアクティビティを観察して学習するパターンフィルタです。観察に基づいて、学習エンジンは、セキュリティチェックごとに最大 2000 個のルールまたは例外 (緩和) を生成します。プロセスを自動化し、緩和ルールを自動的に展開するために、Citrix ADCアプライアンスは動的プロファイリングを使用します。

動的プロファイリングでは、アプライアンスは事前に定義されたしきい値について学習したデータを記録し、SNMPアラートをユーザーに送信します。猶予期間内にユーザーがデータをスキップしない場合、アプライアンスはそのデータを緩和ルールとして自動的にデプロイします。以前は、ユーザーは緩和ルールを手動で展開する必要がありました。現在、動的プロファイリングは、次のセキュリティチェックでのみ使用できます。

  1. HTML SQL インジェクション
  2. HTML クロスサイトスクリプティング
  3. フィールドの書式
  4. 開始URL
  5. コンテンツタイプ
  6. フィールド書式
  7. CSRFフォームのタグ付け
  8. クッキーの整合性

たとえば、動的プロファイリングで有効化された HTML SQL Injection セキュリティチェックを考えます。ラーニング機能で推奨を生成する IP のリスト(信頼できるラーニングクライアントリストと呼ばれる)に対してラーニングを使用できます。信頼できるクライアントのリストを構成するには、「信頼できるクライアントを学習する」トピックを参照してください。着信トラフィックに違反がある場合、そのトラフィックは学習データとして記録されます。学習したデータが学習エンジンに記録されると、アプライアンスはユーザーに SNMP アラートを送信します。ユーザーが誤検知を認識せず、猶予期間内に学習したデータをスキップしない場合、アプライアンスはそのデータを緩和ルールとして自動的に展開します。

注:動的プロファイルを構成 したら、緩和ルールの自動展開についてアプライアンスの構成を定期的に確認し、アプライアンスに保存する必要があります。

Citrix ADCコマンドインターフェイスを使用して動的プロファイリングを構成する

動的プロファイリングは、開始 URL、HTML クロスサイトスクリプティング、フィールド形式、または HTML SQL インジェクションのセキュリティチェックで使用できます。動的プロファイリングを設定するには、次の手順を完了する必要があります。

  1. 動的学習の設定
  2. 自動展開の猶予期間の設定

動的学習の設定

最初のステップとして、アプライアンスに動的学習を設定する必要があります。コマンドプロンプトで、次のように入力します。

set appfw profile <profile_name> dynamicLearning <security_checks>

set appfw profile test1 dynamicLearning SQLInjection CrossSiteScripting fieldFormat startURL

自動展開の猶予期間の設定

特定のセキュリティチェックで機能を有効にしたら、自動展開の猶予期間を設定する必要があります。

set appfw learningsettings <profile name> -crossSiteScriptingAutoDeployGracePeriod <seconds>

set appfw learningsettings <profile name> fieldFormatAutoDeploymentGracePeriod <seconds>

set appfw learningsettings <profile name> SQLInjectionAutoDeploymentGracePeriod <seconds>

set appfw learningsettings <profile name> –startURLAutoDeployGracePeriod <seconds>

set appfw learningsettings test1 –crossSiteScriptingAutoDeployGracePeriod 30

set appfw learningsettings test1 –startURLAutoDeployGracePeriod 7

set appfw learningsettings test1 –fieldFormatAutoDeploymentGracePeriod 10

set appfw learning settings test1 –SQLInjectionAutoDeploymentGracePeriod 12

注:

ここでは、自動展開の猶予期間は分単位で表示されます。

Citrix ADC GUIを使用した動的プロファイリングの構成

  1. [セキュリティ] > [アプリケーションファイアウォール] > [プロファイル] に移動します。
  2. 詳細ペインでプロファイルを選択し、[編集] をクリックします。
  3. Citrix Web Appプロファイル]ページで、[詳細設定]の下の[動的プロファイル]をクリックします。

    動的プロファイル設定

  4. 動的プロファイリング 」セクションで、セキュリティーチェックを選択し、「 編集 」をクリックします。

    動的プロファイルセクション

  5. [動的プロファイリングおよび学習設定] ページで、セキュリティチェックの猶予期間を設定します。

    動的プロファイルセクション

  6. [OK] をクリックし、[完了] をクリックします。

緩和ルールのエクスポートとインポート

動的プロファイリングを有効にすると、学習したデータは緩和ルールとして自動的に展開されます。これに加えて、アプライアンスでは、動的プロファイリングベースの緩和ルールと通常の緩和ルールをエクスポートすることもできます。ステージング環境からルールをエクスポートし、本番環境にインポートできます。

注:

ルールを実稼働環境にインポートするときは、プロセスが加算され、既存の構成が上書きされないことを確認する必要があります。

緩和ルールをエクスポートおよびインポートする方法

緩和ルールをエクスポートおよびインポートするには、次の手順を完了する必要があります。

  1. まず、動的プロファイルベースのデータをエクスポートする必要があります。このためには、WAF プロファイルの緩和ルールでエクスポートオプションを使用できます。このオプションを選択すると、動的プロファイル緩和ルールと通常の緩和ルールがエクスポートされます。エクスポートオプションを使用すると、構成を圧縮バンドルとしてアプライアンス上にダウンロードできます。
  2. ステージング環境からデータをエクスポートしたら、別のCitrix ADCアプライアンスにインポートする必要があります。このためには、WAF プロファイルの緩和ルールで使用可能なインポートオプションを使用する必要があります。このオプションを選択すると、アプライアンスはバンドルされた指定された緩和ルールをインポートし、選択したアプライアンスの WAF プロファイルに復元します。

注:

WAF プロファイルで緩和ルールをインポートする場合、次の 2 種類のアクションがあります。 補強 — このアクションにより、インポートが付加的になり、既存の設定が上書きされないようになります。 Overwrite — このアクションは、圧縮エクスポートバンドルに存在する構成で既存の構成を上書きします。

CLIを使用してアーカイブされた緩和ルール・ファイルをインポートする

緩和ルールをインポートするには、アーカイブをCitrix ADCアプライアンスにインポートしてから、restoreコマンドを実行して構成を抽出する必要があります。次の CLI コマンドのセットは、設定のエクスポート、インポート、および管理に使用できます。

アーカイブファイルを特定の場所からインポートして復元するには、コマンドプロンプトで次のように入力します。

import appfw archive <src> <name> [-comment <string>]

ここで、 「src」:形式でtarアーカイブファイルのソースを示し、<protocol>://<host>[:<port>][/<path>] 「name」:アーカイブ名を示します。 「comment」: このアーカイブに関連するコメント。

restore appfw profile <archivename> [-relaxationRules] [-importProfileName <string>] [-matchUrlString <string>] [-replaceUrlString <string>] [-overwrite] [-augment]

ここで、 「archivename」: tar アーカイブのソースを示します。これは必須の引数です。 「RelaxationRules」: すべてのappfw緩和ルールをインポートするオプション 「ImportProFileName」: 復元操作中に緩和ルールを関連付けるために作成または更新されたプロファイル名を示します。 「MatchurlString」: アーカイブされた緩和ルールで照合するアクション URL 文字列を示します。 「replaceUrlString」: 緩和ルールの復元中にアクションURLで置換する文字列を示します。 「overwrite」: 既存の緩和ルールをパージし、インポート時に置換する既存のルール・アクション 「augment」: インポート時に緩和ルールを補強する既存のルール・アクション

例: import appfw archive local: dutA_test_pr.tgz demo restore appfw profile dutA_test_pr

CLIを使用してアーカイブされたファイルを選択したアプライアンスにエクスポートする

CLI を使用して appfw 緩和ルールをエクスポートする場合は、構成をアーカイブしてからエクスポートする必要があります。 アーカイブされたファイルをアーカイブおよびエクスポートするには、コマンドプロンプトで次のように入力します。

archive appfw profile <name> <archivename> [-comment <string>]

ここで、 「archivename」: tar アーカイブのソースを示します。これは必須の引数です。 「name」: エクスポートする緩和ルールを含むappfwプロファイル名を示します

export appfw archive <name> <target>

どこで、 名前。tar アーカイブの名前。これは必須の引数です。最大長さ:31 ターゲット。エクスポートするファイルへのパス。これは必須の引数です。最大の長さ:2047

例:

アーカイブ appfw プロファイル test_pr アーカイブ_test_pr エクスポート appfw アーカイブアーカイブ_test_pr ローカル:duta_test_pr

Citrix ADC GUI を使用して緩和ルールをエクスポートするには

緩和ルールをエクスポートするには、以下の手順に従ってください。

  1. セキュリティ]>[Citrix Web App Firewall]に移動します。
  2. 詳細ページで、[構成の概要]セクション Citrix Web App Firewall プロファイル]リンクをクリックします。
  3. Citrix Web App Firewall プロファイル]ページで、[詳細設定]セクションの[緩和ルール]リンクをクリックします。
  4. [緩和ルール] セクションで、[すべての緩和ルールを書き出し] をクリックします。アクションは、すべてのセキュリティチェックと、そのプロファイルで動的学習が有効になっているセキュリティチェックに適用されます。

    エクスポート緩和ルール

Citrix ADC GUI を使用して緩和ルールをインポートするには

緩和ルールをインポートするには、以下の手順に従ってください。

  1. セキュリティ]>[Citrix Web App Firewall]に移動します。
  2. 詳細ページで、[構成の概要]セクション Citrix Web App Firewall プロファイル]リンクをクリックします。
  3. Citrix Web App Firewall プロファイル]ページで、[詳細設定]セクションの[緩和ルール]リンクをクリックします。
  4. [緩和ルール] セクションで、[すべての緩和ルールを読み込む] をクリックします。
  5. [Citrix Web App Firewallプロファイルの構成] ページで、次のパラメーターを設定します。
    1. ローカルファイル。緩和ルールを含む圧縮アーカイブされたファイルの名前。
    2. プロファイル名。緩和ルールがバインドされているプロファイルの名前。
    3. URL 文字列に一致します。一致する URL の部分。
    4. URL 文字列を置換します。URL 文字列を置き換える URL の部分。
    5. 既存のルール処理ルールで既存のルールを上書きするか、既存のルールを補強するかを選択します。
  6. [OK] をクリックします。

    緩和ルールのインポート

動的プロファイリング