Citrix Application Delivery Managementサービス

ボット違反の詳細

違反が観察されていない場合でも、トラフィックパターン分析を表示することもできます。詳しくは、「違反のない動作チェック」を参照してください。

過剰なクライアント接続

クライアントがWebアプリケーションにアクセスしようとすると、クライアント要求はサーバーに直接接続するのではなく、Citrix ADCアプライアンスで処理されます。一部のシナリオでは、攻撃者は自動ボットを使用してアプリケーションにアクセスしたり、高い接続を送信してアプリケーションを応答させたりします。

[ 過剰なクライアント接続] インジケータを使用すると、アプリケーションがボットを通じて異常に高いクライアント接続を受信した場合のシナリオを分析できます。

過剰なクライアント接続

[ イベントの詳細] では、次の項目を表示できます。

  • 影響を受けるアプリケーション。複数のアプリケーションが違反の影響を受けている場合は、リストからアプリケーションを選択することもできます。

  • 感度レベルを変更し、低、中、または高に変更します。[ Edit Sensitivity ] オプションを使用すると、既存の動作確認プロファイルを表示および編集したり、新しいプロファイルを作成できます。詳しくは、「動作確認プロファイルの設定」を参照してください。

  • すべての違反を示すグラフ

  • 違反の発生時刻

  • 違反の検出メッセージ。アプリケーションをトランザクションしている IP アドレスの合計

  • アプリケーションが受信できる受け入れられた IP アドレスの範囲

アカウント乗っ取り

高度なセキュリティ分析を有効にしてください。詳しくは、「セットアップする」を参照してください。

一部の悪意のあるボットは、ユーザーの資格情報を盗み、さまざまな種類のサイバー攻撃を実行する可能性があります。これらの悪意のあるボットは、悪いボットとして知られています。不正なボットを特定し、高度なセキュリティ攻撃からアプライアンスを保護することが重要です。

前提条件

Citrix ADMでアカウント乗っ取り設定を構成する必要があります

  1. [ 分析 ] > [ セキュリティ ] > [ セキュリティ違反]

  2. 時間リストの横にある設定アイコンをクリックします。

  3. アカウント乗っ取り 」タブから「 追加」をクリックします

    アカウントの乗っ取り

  4. [ アプリケーションの追加 ] ページで、次のパラメータを指定します。

    1. アプリケーション :リストから仮想サーバーを選択します。

    2. メソッド -リストから HTTP メソッドタイプを選択します。使用可能なオプションは、GETPUSHPOSTUPDATEです。

    3. ログインURLと成功レスポンスコード -WebアプリケーションのURLを指定し、Citrix ADMが不良ボットからのアカウントテイクオーバー違反を報告するHTTPステータスコード(たとえば、200)を指定します。

    4. [追加] をクリックします。

      アカウントの乗っ取り

設定を構成した後、 アカウント乗っ取りインジケータを使用して 、複数のリクエストを認証情報とともに与えることで、不正なボットがアカウントを引き継ぐことを試みたかどうかを分析できます。

アカウント乗っ取り1

[ イベントの詳細] では、次の項目を表示できます。

  • 影響を受けるアプリケーション。複数のアプリケーションが違反の影響を受けている場合は、リストからアプリケーションを選択することもできます。

  • すべての違反を示すグラフ

  • 違反の発生時刻

  • 違反の検出メッセージ。異常なログインアクティビティ、成功したログイン、失敗したログインの合計を示します。

  • 不正なボットの IP アドレス。クリックすると、時刻、IP アドレス、成功したログインの合計数、失敗したログインの合計数、その IP アドレスから行われた要求の合計などの詳細が表示されます。

    アカウント乗っ取り1

Citrix Gateway のアカウント乗っ取り

多くのユーザーは、VPN経由でリモートアクセスしたり、Citrix Virtual Apps and Desktopsにアクセスしたりするために、Citrix Gatewayにアクセスできます。これらのユーザーのCitrix Gatewayログオンページには、インターネット経由でアクセスできます。このログインページの可用性は、アカウント乗っ取りの容易なターゲットになります。一部の悪意のあるボットは、ユーザーの資格情報を盗み、資格情報の詰め込みやパスワードスプレーなどのさまざまな種類のサイバー攻撃を実行する可能性があります。

  • クレデンシャルスタッフィング — サービスから取得したデータ漏洩認証情報を別のサービスで使用してアクセスするサイバー攻撃。

  • パスワードスプレー — 攻撃者/ボットが短期間で認証情報を繰り返し推測することにより、サービスへの不正アクセスを試みるサイバー攻撃。

これらの悪意のあるボットは、悪いボットとして知られています。Citrix ADMでは、Citrix Gatewayのこのような異常なログオンアクティビティを分析できます。 Citrix Gatewayのアカウント乗っ取りインジケータを使用して 、管理者として、複数のリクエストと資格情報を指定して、不正なボットがCitrix Gatewayアカウントを引き継ぐことを試みたかどうかを分析できます。

あと

[ イベントの詳細] では、次の項目を表示できます。

  • 影響を受けるアプリケーション。複数のアプリケーションが違反の影響を受けている場合は、リストからアプリケーションを選択することもできます。

  • リクエスト合計、成功したログイン、失敗したログインなどの詳細を示すグラフ。

  • 違反の発生時刻

  • 違反の検出メッセージ。異常なログインアクティビティ、成功したログイン、失敗したログインの合計を示します。

  • 不正なボットの IP アドレス。クリックすると、時刻、クライアント IP アドレス、成功したログインの合計数、失敗したログインの合計数、その IP アドレスから行われた要求の合計などの詳細が表示されます。

    ゲートウェイクライアント

異常に高いアップロードボリューム

ウェブトラフィックは、アップロードのために処理されるデータで構成されます。たとえば、1 日あたりの平均アップロードデータが 500 MB で、2 GB のデータをアップロードする場合、これは異常に高いアップロードデータ量と見なすことができます。ボットは、アップロードデータを人間よりも速く処理することもできます。

異常に高いアップロードボリューム 」インジケータを使用すると、ボットを通じてアプリケーションにデータをアップロードする異常なシナリオを分析できます。

異常に大きいアップロードボリューム

[ イベントの詳細] では、次の項目を表示できます。

  • 影響を受けるアプリケーション。複数のアプリケーションが違反の影響を受けている場合は、リストからアプリケーションを選択することもできます。

  • すべての違反を示すグラフ

  • 違反の発生時刻

  • 違反の検出メッセージ。処理されたアップロードデータ量の合計を示します。

  • アプリケーションへのアップロードデータの受け入れ範囲

ダウンロードボリュームが異常に高い

アップロード量が多い場合と同様に、ボットは人間よりも速くダウンロードを実行できます。

異常に高いダウンロードボリュームインジケータを使用すると 、ボットを通じてアプリケーションからのダウンロードデータの異常なシナリオを分析できます。

異常に大きいダウンロード

[ イベントの詳細] では、次の項目を表示できます。

  • 影響を受けるアプリケーション。複数のアプリケーションが違反の影響を受けている場合は、リストからアプリケーションを選択することもできます。

  • すべての違反を示すグラフ

  • 違反の発生時刻

  • 違反の検出メッセージ。処理されたダウンロードデータ量の合計を示します。

  • アプリケーションからのダウンロードデータの受け入れ範囲

異常に高いリクエスト率

アプリケーションとの間で送受信されるトラフィックを制御できます。ボット攻撃は、異常な高いリクエストレートを実行する可能性があります。たとえば、100 リクエスト/分を許可するようにアプリケーションを構成し、350 リクエストが発生した場合、ボット攻撃の可能性もあります。

異常に高い要求率インジケータを使用すると 、アプリケーションに受信した異常なリクエスト率を分析できます。

高いリクエスト率

[ イベントの詳細] では、次の項目を表示できます。

  • 影響を受けるアプリケーション。複数のアプリケーションが違反の影響を受けている場合は、リストからアプリケーションを選択することもできます。

  • すべての違反を示すグラフ

  • 違反の発生時刻

  • 違反の検出メッセージ。受信した要求の合計と、予想された要求よりも受信した過剰な要求の割合を示します。

  • アプリケーションからの期待リクエストレートの範囲の受け入れ範囲

ウェブサイトスキャナ

ウェブクローラ、スパイダー、検索エンジンボットは、インターネットからコンテンツをダウンロードしてインデックスを作成できます。これらのボットの目的は、インターネット上でウェブサイトの内容を索引付けし、それらのウェブサイトを検索エンジンの結果に表示することです。ウェブクローラボットは、既知のソースの特定のセットから開始し、ページから別のページへ、別のページからより多くのページへのハイパーリンクを追跡します。良いボットは、ルールに従い、検索エンジンに表示する必要があるページのみをインデックスします。悪いボットは、ウェブサイトから可能なすべてのコンテンツにアクセスし、ウェブサイトをプロファイルしようとします。これは、後でさまざまな目的のためにサイトをターゲティングするために使用することができます。

前提条件

Citrix ADMでWebサイトスキャナーの設定を構成する必要があります

  1. [ 分析 ] > [ セキュリティ] > [ セキュリティ違反] に移動します。

  2. 時間リストの横にある設定アイコンをクリックします。

  3. ウェブサイトのスキャンとスクレイピング ] タブから、[ 追加] をクリックします。

    ウェブサイトスキャンの設定

  4. Web サイトのスキャンとスクレイピング設定の追加 ] ページで、次の操作を行います。

    1. セッショントラッキング方法 :[ クライアントIP]、[Citrix Webアプリケーションファイアウォール]、[バックエンドアプリケーション]、[ URL]のいずれかで追跡方法を選択します。

      [ バックエンドアプリケーション] を選択した場合は、高度なセキュリティ分析を有効にするときに [ Cookie ヘッダーを有効にする ] オプションを選択してください。

      クッキーヘッダーを有効にする

    2. アプリケーション -リストからアプリケーションを選択します。

  5. [追加] をクリックします。

    セッショントラッキング方法

設定を構成したら、 Web サイトスキャナーインジケータを使用して 、クライアントセッション (良いボットまたは悪いボット) が Web サイト全体をスキャンまたはクロールしようとしているかどうかを分析できます。

ウェブサイトスキャナ

[ イベントの詳細] では、次の項目を表示できます。

  • 影響を受けるアプリケーション。2 つ以上のアプリケーションがこの違反の影響を受ける場合は、リストからアプリケーションを選択することもできます。

  • 感度レベルを変更し、低、中、または高に変更します。[ Edit Sensitivity ] オプションを使用すると、既存の動作確認プロファイルを表示および編集したり、新しいプロファイルを作成できます。詳しくは、「動作確認プロファイルの設定」を参照してください。

  • 潜在的なスキャンの詳細を示すグラフ。

  • 検出メッセージ。検出された可能性のあるスキャナーセッションを示します。[ 潜在的なスキャナーセッションの表示 ] の下の数をクリックして、クライアントの詳細を表示します。

    潜在的なセッション

コンテンツスクレーパー

コンテンツスクレイピングは、ボットを使用してターゲットソースからビジネスクリティカルな情報を抽出するプロセスです。これらの悪いボットは、画像、テキスト、HTMLコードなどのコンテンツを短時間で数千ページからスクラップする可能性があります。コンテンツスクレイピングの影響により、コンテンツの盗用、SEOランキングの喪失、著作権の免責事項などが生じることがあります。

Citrix ADMでは、管理者として、不正なボットがWebサイトのコンテンツをスクラップしようとしているかどうかを分析できます。Citrix ADMで詳細を表示するには、次の前提条件を構成する必要があります。

前提条件

Citrix ADMでコンテンツスクレイピング設定を構成する必要があります

  1. [ 分析 ] > [ セキュリティ] > [ セキュリティ違反] に移動します。

  2. 時間リストの横にある設定アイコンをクリックします。

  3. ウェブサイトのスキャンとスクレイピング ] タブから、[ 追加] をクリックします。

    ウェブサイトスキャンの設定

  4. Web サイトのスキャンとスクレイピング設定の追加 ] ページで、次の操作を行います。

    1. セッショントラッキング方法 :[ クライアントIP]、[Citrix Webアプリケーションファイアウォール]、[バックエンドアプリケーション]、[ URL]のいずれかで追跡方法を選択します。

      [ バックエンドアプリケーション] を選択した場合は、高度なセキュリティ分析を有効にするときに [ Cookie ヘッダーを有効にする ] オプションを選択してください。

      クッキーヘッダーを有効にする

    2. アプリケーション -リストからアプリケーションを選択します。

  5. [追加] をクリックします。

    セッショントラッキング方法

設定を構成した後、 コンテンツスクレーパーインジケータを使用して 、クライアントセッション(良いボットまたは悪いボット)がコンテンツをスクラップしようとしているかどうかを分析できます。

コンテンツスクレーパー

[ イベントの詳細] では、次の項目を表示できます。

  • 影響を受けるアプリケーション。2 つ以上のアプリケーションがこの違反の影響を受ける場合は、リストからアプリケーションを選択することもできます。

  • 潜在的なスクラップの詳細を示すグラフ。

  • 検出メッセージ。検出された潜在的なスクレーパーセッションを示します。[潜在的なスクレーパーセッションの表示] の下の数字をクリックして、クライアントの詳細を表示します。

API 乱用

サーバーリソースにアクセスしているユーザー ID を認証するプロセスは、API 認証と呼ばれます。API 認証は、以下を通じて実行できます。

  • API キー

  • JWTトークン

  • 証明書

不正なボットは、これらの認証を使用または盗み、クレデンシャルスタッフィングやパスワードスプレーなどのさまざまな種類のサイバー攻撃を実行できます。Citrix ADMでは、APIのこのような異常なログオンアクティビティを分析できます。

API 不正使用インジケータを使用して 、管理者として API 認証を使用して、不正なボットがターゲットリソースを引き継ぐことを試みたかどうかを分析できます。

API 乱用

[ イベントの詳細] では、次の項目を表示できます。

  • 影響を受けるアプリケーション。複数のアプリケーションが違反の影響を受けている場合は、リストからアプリケーションを選択することもできます。

  • リクエスト合計、成功したログイン、失敗したログイン、API 不正使用違反などの詳細を示すグラフ。

  • 違反の発生時刻

  • API 認証の成功と失敗を示す違反の検出メッセージ。

  • 悪いボットの詳細。クリックすると、時刻、クライアント IP アドレス、成功したログインの合計数、失敗したログインの合計数、その IP アドレスから行われた要求の合計などの詳細が表示されます。

    ボットクライアントセッションが不正です

キーストロークとマウスダイナミクスに基づくボット検出

ウェブトラフィックの 35% 以上がボットで構成されており、これらのボットは人間よりも速い速度でさまざまなタスクを実行できます。シナリオによっては、キーボードとマウスからの入力が必要なタスクにもボットが関与します。

たとえば、セキュリティで保護されたリソースにアクセスするためのパスワードを入力する必要があるのは人間だけです。ボットは、認証情報を自動的に提供し、複数の組み合わせを人間よりも速く試みることによって、アカウントの乗っ取りなどの攻撃に関与することができます。違反(アカウントの乗っ取り、過剰なクライアント接続など)とは別に、Citrix ADMでは、キーストロークとマウスの動態に基づいてボットを検出して洞察を得ることができます。

前提条件

  • ボットの洞察を有効にします。

  • Citrix ADCインスタンスで以下を構成します。

     add/set bot profile <name> -KMDetection ( ON | OFF )
    
     bind bot profile <name> -KMDetectionExpr -name <string> -expression <expression> -enabled ( ON | OFF ) –comment <string>
    
     add/set bot profile <name> -KMJavaScriptName  <string>
    
     set bot profile <profile_name> -KMEventsPostBodyLimit 8192K
     <!--NeedCopy-->
    
  • ボットポリシーの追加およびボットポリシーを仮想サーバーにバインドするを実行します。

  • 動作確認プロファイルで、キーストロークとマウスの動的ボット検出オプションが選択されていることを確認します。詳しくは、「動作確認プロファイルの設定」を参照してください。

前提条件を構成すると、Citrix ADM キーストロークとマウスの動的ベースのボット検出インジケータを使用して 、キーストロークとマウスのダイナミクスに関連するボットを表示できます。

キーストロークとマウスボット

[ イベントの詳細] では、次の項目を表示できます。

  • 影響を受けるアプリケーション。2 つ以上のアプリケーションがこの違反の影響を受ける場合は、リストからアプリケーションを選択することもできます。

  • 潜在的なボットの詳細を示すグラフ。

  • 検出された可能性のあるボットセッションを示す検出メッセージ。ボットタイプやボットカテゴリなどの詳細を表示するには、[潜在的なボットセッションを表示] の下の数をクリックします。詳しくは、「ボットの検出」を参照してください。

    潜在的なボット