Citrix Application Delivery Management

ボット

Citrix ADMビルドが 13.0-79.xより前の場合は、 [分析] > [セキュリティ] > [ボットインサイト] に移動してボットインサイトを表示できます13.0-79.x 以降のビルドでは[分析] > [セキュリティ] > [セキュリティ違反] > [アプリケーションの概要] に移動し、[アプリケーションの分類] の [ ボット ] をクリックすると、ボットの詳細を表示できます

ボットは、特定のアクションを人間よりもはるかに速い速度で何度も自動的に実行するソフトウェアプログラムです。ウェブトラフィックの 35% 以上がボットで構成されており、組織の 80% がボット攻撃を受けています。Web ページを操作したり、フォームを送信したり、リンクをクリックしたり、テキストをスキャンしたり、コンテンツをダウンロードしたりできます。ボットは、ソーシャルメディアプラットフォーム上で動画にアクセスし、コメントを投稿し、ツイートすることができます。一部のボットは、人間のユーザーとの基本的な会話さえできます。これらはチャットボットと呼ばれます。

このような顧客サービス、チャットボット、検索エンジンのクローラなどの必要または有用なサービスを実行するボットは、良いボットとして知られています。悪意のあるボットの中には、Web サイトからコンテンツを掻き集めたり、ダウンロードしたり、ユーザーの資格情報を盗んだり、スパムコンテンツを拡散したり、さまざまな種類のサイバー攻撃を実行したりするものがあります。これらの悪意のあるボットは、悪いボットとして知られています。不良ボットを特定し、高度なセキュリティ攻撃からアプライアンスを保護することが不可欠です。これは、ボット管理システムを使用して実現できます。 ボットの詳細については、「 ボット管理」を参照してください。

Citrix ADC でのボット検出技術の構成

Citrix ADC では、ボット検出技術を構成して、着信ボットトラフィックを検出できます。Citrix ADC インスタンスで構成するボットテクニックを次に示します。

  • 許可リスト。このルールには、Web リソースにアクセスできる適切なボットの特定のセットかどうかを評価するための URL とポリシー式のリストがあります。

  • ブロックリスト。このルールには、特定の不正なボットがウェブサイトにアクセスできるかどうかを評価する URL とポリシー式のリストがあります。

  • IP レピュテーション。このルールは、着信ボットトラフィックが悪意ある IP アドレスであるかどうかを検出します。

  • デバイスのフィンガープリント。このルールは、着信ボットトラフィックの着信要求ヘッダーおよび着信クライアントボットトラフィックのブラウザ属性にデバイスフィンガープリント ID があるかどうかを検出します。

  • レート制限。このルールは、同じクライアントから送信される複数の要求をレート制限します。

  • 署名。このルールは、シグニチャ検出に基づいてボットを検出し、ブロックします。また、ウェブサイトのスクレイプ、ログインの強制、脆弱性を調査するボットの不正な URL も防止します。

  • ボットトラップ。このルールは、Web ページで有効になっているスクリプトにアクセスするボットを検出します。

  • TPS。このルールは、最大リクエスト数とリクエストの増加率が設定された時間間隔を超えると、着信トラフィックをボットとして検出します。

Bot 管理の設定について詳しくは、 Bot 管理の構成を参照してください

Citrix ADM でのBot Insightの使用

Citrix ADC でボット管理を構成したら、仮想サーバーで Bot Insight を有効にして、Citrix ADM でインサイトを表示する必要があります。

Bot Insightを有効にするには:

  1. [ ネットワーク ] > [ インスタンス ] > [ Citrix ADC ] に移動し、インスタンスタイプを選択します。たとえば、VPX です。

  2. インスタンスを選択し、[ アクションの選択 ] リストから [ Analytics を設定] を選択します。

  3. 仮想サーバーを選択し、[ Analyticsの有効化] をクリックします。

  4. [ Analyticsの有効化 ] ウィンドウで、次の操作を行います。

    1. Bot Insightの選択

    2. [ 詳細オプション] で、[ ログストリーム] を選択します。

      Bot-insight

    3. [OK] をクリックします。

Bot Insightを有効にした後、[ Analytics ] > [ Bot Insight] に移動します。

Bot-insight

1 -ボットの詳細を表示するタイムリスト

2 — スライダをドラッグして特定の時間範囲を選択し、[ Go ] をクリックしてカスタマイズされた結果を表示します。

3 — ボットから影響を受けたインスタンスの合計

4 — 選択されたインスタンスの仮想サーバー (ボット攻撃合計)

  • Total Bots — 仮想サーバーに対して検出されたボット攻撃(すべてのボットカテゴリを含む)の合計を示します。

  • ヒューマンブラウザの 合計」— 仮想サーバーにアクセスするヒューマンユーザーの合計を示します。

  • Bot Human Ratio — 仮想サーバーにアクセスする人間のユーザーとボットの比率を示します。

  • 署名ボット指紋ボットレートベースのボットIP レピュテーションボット許可リストボットブロックリストボット — 設定されたボットカテゴリに基づいて発生したボット攻撃の総数を示します。ボットカテゴリについて詳しくは、「 Citrix ADCでのボット検出手法の構成」を参照してください。

5 -[ > ] をクリックして、ボットの詳細をグラフ形式で表示します。

ボット・グラフ

イベント履歴の表示

ボットシグニチャの更新は、次の場合に イベント履歴に表示できます。

  • 新しいボットシグネチャがCitrix ADC インスタンスに追加されます。

  • 既存のボットシグネチャは、Citrix ADC インスタンスで更新されます。

Bot Insightページで期間を選択して、イベント履歴を表示できます。

イベント履歴

次の図は、AWS クラウドからボット署名を取得し、Citrix ADC で更新し、Citrix ADM で署名更新の概要を表示する方法を示しています。

イベントスケジューラ

  1. ボット署名の自動更新スケジューラは、AWS URI からマッピングファイルを取得します。

  2. マッピングファイル内の最新のシグニチャと、ADC アプライアンスの既存のシグニチャをチェックします。

  3. AWS から新しい署名をダウンロードし、署名の整合性を検証します。

  4. 既存のボット署名を、ボット署名ファイル内の新しい署名で更新します。

  5. SNMPアラートを生成し、署名の更新の概要をCitrix ADM に送信します。

ボットの表示

仮想サーバをクリックして、 アプリケーションの概要を表示します。

Bot-application-summary

1 :次のようなアプリケーション・サマリーの詳細を提供します。

  • 平均 RPS — 仮想サーバーで受信された 1 秒あたりの平均ボットトランザクション要求 (RPS) を示します。

  • 重大度ごとのボット — 重大度 に基づいて発生したボットのトランザクションの最大数を示します。重大度は、「重 」、「 」、「 」、「 」に基づいて分類されます。

    たとえば、仮想サーバーの重大度が高いボットが11770、重大度の高いボットが1550個ある場合、Citrix ADM は[重大度 ごとのボット]に[重大度1.55 K]と表示されます。

  • 最大ボットカテゴリ — ボットカテゴリ に基づいて発生したボット攻撃の最大数を示します。

    たとえば、仮想サーバーに 8000 ブロック一覧ボット、リストされたボットを5000許可する、および10000レート制限超過ボットがある場合、Citrix ADMでは、[ 最大ボットカテゴリ ] に [ レート制限が10 Kを超えました] と表示されます。

  • 最大地域ソース — リージョンに基づいて発生したボット攻撃の最大数を示します。

    たとえば、仮想サーバーのサンタクララでボット攻撃が5000件、ロンドンでボット攻撃が7000件、バンガロールでボット攻撃が9000件の場合、Citrix ADM では、「 最大地理ソース 」に「 バンガロール 9 K」と表示されます。

  • 平均% ボットトラフィック — 人間のボットの比率を示します。

2 — マップビュー内の場所に基づいて、ボット攻撃の重大度を表示します。

3 — ボット攻撃のタイプ(良好、悪い、すべて)を表示します。

4 — ボット攻撃の合計と、対応する設定済みアクションを表示します。たとえば、次の設定があるとします。

  • IP アドレスの範囲 (192.140.14.9 ~ 192.140.14.254) をブロックリストボットとして選択し、これらの IP アドレス範囲のアクションとして [ドロップ] を選択します。

  • IP 範囲 (192.140.15.4 ~ 192.140.15.254) をブロックリストボットとして設定し、これらの IP 範囲のアクションとしてログメッセージを作成するように選択されました

    このシナリオでは、Citrix ADM には次の情報が表示されます。

    • ブロックリストされたボットの総数

    • ドロップされた下のボットの合計

    • ログの下のボットの合計

CAPTCHA ボットを表示する

ウェブページでは、CaptCha は、着信トラフィックが人間か自動化されたボットからのものかを識別するように設計されています。Citrix ADMでCAPTCHAアクティビティを表示するには、Citrix ADCインスタンスでIPレピュテーションとデバイスフィンガープリント検出技術のボットアクションとしてCAPTCHAを構成する必要があります。詳しくは、「 ボット管理」を参照してください。

Citrix ADM がBot Insightに表示するCAPTCHAアクティビティを次に示します。

  • CAPTCHA 試行回数を超過しました — ログイン失敗後に行われたCAPTCHA 試行の最大数を示します。

  • Captcha client muted — CAPTCHA チャレンジでこれらの要求が不良ボットとして検出されたため、ドロップまたはリダイレクトされたクライアント要求の数を示します。

  • Human — ヒューマン ユーザーから実行された captcha エントリを示します。

  • 無効なキャプチャ応答 — Citrix ADCがCAPTCHAチャレンジを送信したときに、ボットまたは人間から受信した不正なCAPTCHA応答の数を示します

    ボット・キャプチャ

ボットトラップボットの表示

Citrix ADMでボットトラップを表示するには、Citrix ADCインスタンスでボットトラップを構成する必要があります。詳しくは、「 ボット管理」を参照してください。

ボットトラップ

ボットトラップを識別するために、ウェブページでスクリプトが有効になり、このスクリプトは人間からは見えますが、ボットには表示されません。このスクリプトがボットによってアクセスされると、Citrix ADMはボットトラップを識別してレポートします。

仮想サーバーをクリックし、[ ゼロピクセル要求] を選択します。

ボットトラップ

TPS ボットの表示

Citrix ADMで表示できるTPSボットのカテゴリを次に示します。

  • 接続元IP

  • 地理的位置

  • ホスト

  • URL

仮想サーバーをクリックして TPS ボットを表示します。

TPSボット

[ TPS ボット] カテゴリをクリックして 、ボットの詳細を表示します。

TPSボットカテゴリ

詳細ページが表示されます。

TPSボットの詳細

モバイル(Android)アプリケーションのボットカテゴリを表示する

モバイル(Android)アプリケーションのボットを表示するには、Citrix ADCで指紋検出技術を構成する必要があります。詳しくは、「 モバイルアプリケーション用のデバイスフィンガープリント手法の構成」を参照してください。

Citrix ADCで設定を構成すると、Citrix ADMで次のボットカテゴリを表示できます。

  • Webクライアントレート制限

  • Android レート制限

  • Webクライアントデバイス

  • Android端末

仮想サーバーをクリックして、モバイルアプリケーションに適用可能なボットカテゴリを表示します。

Androidボット

ボットの詳細の表示

詳細をドリルダウンするには、[ボット カテゴリ] の下のボット攻撃タイプをクリックします。たとえば、ブロックリストされたボット攻撃の詳細を表示する場合は、[ ボットカテゴリ ] の [ ブロックリスト] をクリックします。

攻撃時間、ボット攻撃の総数などの詳細が表示されます。

ボット・ドリルダウン

棒グラフをドラッグして、ボット攻撃で表示される特定の時間範囲を選択することもできます。

ボット時間

ボット攻撃の追加情報を取得するには、をクリックして展開します。

ボット展開

  • インスタンスIP — Citrix ADC インスタンスのIPアドレスを示します。

  • Total Bots — 特定の時間に発生したボット攻撃の総数を示します。

  • HTTP 要求 URL 」— ブロック一覧に構成された URL を示します。

  • 国コード — ボット攻撃が発生した国を示します。

  • Region — ボット攻撃が発生したリージョンを示します。

  • 「プロファイル名」 (Profile Name) — 構成中に指定したプロファイル名を示します。

高度な検索

また、検索テキストボックスと時間リストを使用して、要件に従ってボットの詳細を表示することもできます。検索ボックスをクリックすると、検索ボックスに次の検索候補のリストが表示されます。

  • インスタンスIP — Citrix ADC インスタンスのIPアドレス

  • クライアントIP :クライアントIPアドレス

  • ボットタイプ — 良いまたは悪いなどのボットのタイプ

  • 重大度 :ボット攻撃の重大度

  • アクション撮影 — ボット攻撃後に実行されるアクション(ドロップ、アクションなし、リダイレクトなど)

  • Bot-Category :ブロックリスト、許可リスト、指紋などのボット攻撃のカテゴリ。カテゴリに基づいて、ボットアクションをそのカテゴリに関連付けることができます

  • ボット検出 — Citrix ADCインスタンスで構成したボット検出タイプ(ブロックリスト、許可リストなど)

  • 場所 — ボット攻撃が発生した地域/国

  • Request-URL — ボット攻撃の可能性がある URL

検索クエリで演算子を使用して、検索の焦点を絞り込むこともできます。たとえば、すべての不良ボットを表示する場合は、次のようにします。

  1. 検索ボックスをクリックし、[ ボットタイプ] を選択します。

  2. 検索ボックスをもう一度クリックし、演算子を選択します =

  3. 検索ボックスをもう一度クリックし、[ 不良] を選択します。

  4. [ 検索 ] をクリックして結果を表示します。

    ボットサーチ

ボット