Citrix Application Delivery Managementサービス

ボット

ボットは、特定のアクションを人間よりもはるかに速い速度で何度も自動的に実行するソフトウェアプログラムです。ウェブトラフィックの 35% 以上がボットで、80% の組織がボット攻撃に苦しんでいます。Web ページを操作したり、フォームを送信したり、リンクをクリックしたり、テキストをスキャンしたり、コンテンツをダウンロードしたりできます。ボットは、ソーシャルメディアプラットフォーム上で動画にアクセスしたり、コメントを投稿したり、ツイートしたりすることもできます。一部のボットは、人間のユーザーとの基本的な会話さえできます。これらのボットはチャットボットとして知られています。

このような顧客サービス、チャットボット、検索エンジンのクローラなどの必要または有用なサービスを実行するボットは、良いボットとして知られています。悪意のあるボットの中には、Webサイトからコンテンツをスクレイピングまたはダウンロードしたり、ユーザーの資格情報を盗んだり、スパムコンテンツを拡散させたり、さまざまな種類のサイバー攻撃を実行したりすることがあります。これらの悪意のあるボットは、悪いボットとして知られています。悪質なボットを特定し、高度なセキュリティ攻撃からアプライアンスを保護することは不可欠です。これは、ボット管理システムを使用して実現できます。

ボットの詳細については、「 ボット管理」を参照してください。

Citrix ADC でのボット検出技術の構成

Citrix ADCでは、受信するボットトラフィックを検出するようにボット検出技術を構成できます。Citrix ADC インスタンスで構成するボットテクニックを次に示します。

  • 許可リスト。このルールには、Web リソースにアクセスできる適切なボットの特定のセットかどうかを評価するための URL とポリシー式のリストがあります。

  • ブロックリスト。このルールには、特定の不正なボットがウェブサイトにアクセスできるかどうかを評価する URL とポリシー式のリストがあります。

  • IP レピュテーション。このルールは、受信ボットトラフィックが悪意のある IP アドレスかどうかを検出します。

  • デバイスフィンガープリント。このルールは、受信ボットトラフィックの受信リクエストヘッダーと受信クライアントボットトラフィックのブラウザ属性にデバイスフィンガープリントIDが含まれているかどうかを検出します。

  • レート制限。このルールは、同じクライアントから送信される複数の要求をレート制限します。

  • 署名。このルールは、シグネチャ検出に基づいてボットを検出してブロックします。また、ウェブサイトのスクレイプ、ログインの強制、脆弱性を調査するボットの不正な URL も防止します。

  • ボットトラップ。このルールは、Web ページで有効になっているスクリプトにアクセスするボットを検出します。

  • TPS。このルールは、最大リクエスト数とリクエストの増加率が設定された時間間隔を超えると、着信トラフィックをボットとして検出します。

詳細については、「 ボット管理の設定」を参照してください。

Citrix ADM でのボット検出テクニックの設定

Citrix ADM では、次のことができます。

  • ボット検出技術を設定し、プレミアムライセンスでビルド13.0 36.27以降の ADC インスタンスにデプロイします。

  • StyleBookを通じて、 またはADCインスタンスから直接ボット検出技術で構成された既存の仮想サーバーのボットセキュリティ違反オプションを有効にして 、ボット分析を表示します。

既存のStyleBook構成に加えて、この拡張により、ボット検出技術を構成してADCインスタンスにデプロイするプロセスがさらに簡略化されます。

  1. [ 設定] > [ライセンスと分析の設定]に移動します。

  2. 仮想サーバー分析の概要」で、「 分析の設定」をクリックします。

  3. 仮想サーバーを選択し、「 セキュリティと分析を有効にする」をクリックします。

    セキュリティと分析を有効にする

  4. セキュリティと分析を有効にする 」ページの「 セキュリティ」で、「 ボット保護」をクリックします。

    構成

  5. ボットオプションを選択して設定し、「 Deploy on ADC (s)」をクリックします。

    展開

    選択したアプリケーションの既存の構成が現在の構成に置き換わるダイアログボックスが表示されます。[ はい、続行] をクリックします。

    構成が正常に展開されると、「 すべての仮想サーバー 」ページに構成の詳細が表示されます。

    構成の詳細

    ボット保護をクリックすると 、設定が読み取り専用モードで表示されます。

    読み取り専用モード

    さらに、次のようなグローバルボット構成の詳細をカスタマイズすることもできます。

    • シグネチャの自動更新を有効または無効にして、良質なボットと悪いボットの両方からの保護とトラフィック管理を強化する最新のシグネチャを入手してください。

    • 自動ボットからの攻撃をブロックするのに効果的なトラップ URL を設定します。

  6. [ 詳細設定 (オプション)] で、[ グローバル BOT 設定] をクリックして設定をカスタマイズし、[ ADC に展開] をクリックします。

    グローバルボット

    選択したアプリケーションの既存の構成が現在の構成に置き換わるダイアログボックスが表示されます。[ はい、続行] をクリックします。

すべての仮想サーバーページから仮想サーバーを選択し 、「 セキュリティと分析の編集 」オプションをクリックして構成を編集することもできます。

構成を編集

注意すべき点:

  • また、 ボットセキュリティ違反を有効にして 、ボット検出技術ですでに設定されている仮想サーバーのボット分析を表示することもできます。

  • いずれかの構成を編集すると、同じ構成が既存の構成に置き換えられ、すべてのアプリケーションに適用されます。

  • 構成は削除できます。[ すべての仮想サーバー ] ページで、[ Appsec 保護] 列の [ **ボット保護** ] をクリックし、[ 設定の削除] をクリックします。

    構成を削除

  • 構成を削除すると、その構成を使用しているすべての仮想サーバーからもすぐに削除されます。

Citrix ADM でのボットセキュリティ違反の設定

また、 ボット検出技術ですでに構成されている既存の仮想サーバーで、StyleBookを介して、またはADCインスタンスから直接ボットセキュリティ違反を引き続き有効にして 、Citrix ADM でボットインサイトを表示することもできます。

ボットセキュリティ違反を有効にするには:

  1. インフラストラクチャ]>[インスタンス]>[Citrix ADC ]に移動し、インスタンスタイプを選択します。たとえば、VPX です。

  2. インスタンスを選択し、[ アクションの選択 ] リストから [ Analytics を設定] を選択します。

  3. 仮想サーバーを選択し、「 アナリティクスを有効にする」をクリックします。

  4. [ Analyticsの有効化 ] ウィンドウで、次の操作を行います。

    1. ボットセキュリティ違反を選択

    2. [ 詳細オプション] で [ ログストリーム] を選択します。

      ボットインサイト

    3. [OK] をクリックします。

ボットセキュリティ違反を有効にしたら、[セキュリティ] > [ **セキュリティ違反] に移動します。[ **ボット] で、アプリケーションを選択し、詳細を表示します。詳細については、「 アプリケーションの概要」を参照してください。

イベント履歴の表示

ボットシグネチャの更新は、 次の場合にイベント履歴で確認できます

  • 新しいボットシグネチャがCitrix ADC インスタンスに追加されます。

  • 既存のボットシグネチャは、Citrix ADC インスタンスで更新されます。

ボットインサイトページで時間を選択してイベント履歴を表示できます。

イベント履歴

次の図は、AWS クラウドからボット署名を取得し、Citrix ADC で更新し、Citrix ADM で署名更新の概要を表示する方法を示しています。

イベントスケジューラー

  1. ボット署名の自動更新スケジューラは、AWS URI からマッピングファイルを取得します。

  2. マッピングファイル内の最新のシグネチャを、ADCアプライアンス内の既存のシグネチャと照合します。

  3. AWS から新しい署名をダウンロードし、署名の整合性を検証します。

  4. 既存のボット署名を、ボット署名ファイル内の新しい署名で更新します。

  5. SNMPアラートを生成し、署名の更新の概要をCitrix ADM に送信します。

高度な検索

検索テキストボックスと期間リストを使用して、要件に応じてボットの詳細を表示することもできます。検索ボックスをクリックすると、検索ボックスに次の検索候補のリストが表示されます。

  • インスタンス IP — Citrix ADC インスタンスの IP アドレス

  • クライアント IP — クライアント IP アドレス

  • ボットタイプ — 良し悪しなどのボットタイプ

  • 重要度 — ボット攻撃の重大度

  • アクション撮影 — ボット攻撃後に実行されるアクション(ドロップ、アクションなし、リダイレクトなど)

  • Bot-Category :ブロックリスト、許可リスト、指紋などのボット攻撃のカテゴリ。カテゴリに基づいて、ボットアクションをそのカテゴリに関連付けることができます

  • ボット検出 — Citrix ADCインスタンスで構成したボット検出タイプ(ブロックリスト、許可リストなど)

  • 場所 — ボット攻撃が発生した地域/国

  • リクエスト URL — ボット攻撃の可能性がある URL

検索クエリで演算子を使用して、検索の焦点を絞り込むこともできます。たとえば、すべての不良ボットを表示したい場合:

  1. 検索ボックスをクリックし、 ボットタイプを選択します

  2. 検索ボックスをもう一度クリックし、演算子 =を選択します

  3. 検索ボックスをもう一度クリックし、「 Bad」を選択します

  4. [ 検索 ] をクリックして結果を表示します

    ボットサーチ

ボット