よくある質問(ECL2.0)
Enterprise Cloudをご利用中のお客様から寄せられる質問を掲載しています。
Managed Firewall/UTM/WAFのよくある質問
- Managed Firewall version2を作成したが、ネットワーク構成図に表示されません。ECL2.0, Managed Firewall/UTM/WAF
セキュリティサービス Version2とVersion1ではAPIのエンドポイントが異なります。
ログインしているユーザーに割り当てられているIAMロールにVersion2に対する設定を追加して、事象が解消するかご確認いただけますでしょうか。■セキュリティサービス Version2のbasePath
---------------------------------------
(Order API) :/ecl-security-order
(Operation API) :/ecl-security-operation
---------------------------------------※各サービスのAPIエンドポイントについては下記ドキュメントを参照ください
▼APIリファレンス
https://ecl.ntt.com/documents/api-references/※IAMロールの設定については下記ドキュメントを参照ください
▼IAMロールの作成
https://ecl.ntt.com/documents/tutorials/rsts/CustomerPortal/IAM/API_Restrictions/Setting/api/create_iam_role.html - クラウドコンピューティングコントロールパネル内のManaged Firewallの画面でエラーが発生するのですが解消方法を教えてください エラー:Unable to retrieve managed firewalls. Forbidden(HTTP 403)ECL2.0, Managed Firewall/UTM/WAF
セキュリティサービス Version2とVersion1ではAPIのエンドポイントが異なります。
ログインしているユーザーに割り当てられているIAMロールにVersion2に対する設定を追加して、事象が解消するかご確認いただけますでしょうか。■セキュリティサービス Version2のbasePath
---------------------------------------
(Order API) :/ecl-security-order
(Operation API) :/ecl-security-operation
---------------------------------------※各サービスのAPIエンドポイントについては下記ドキュメントを参照ください
▼APIリファレンス
https://ecl.ntt.com/documents/api-references/※IAMロールの設定については下記ドキュメントを参照ください
▼IAMロールの作成
https://ecl.ntt.com/documents/tutorials/rsts/CustomerPortal/IAM/API_Restrictions/Setting/api/create_iam_role.html - Managed WAFのセッション保持時間は何分ですか?ECL2.0, Managed Firewall/UTM/WAF
- Managed FirewallからManaged UTM(またはその逆)へメニュー変更することはできますか?ECL2.0, Managed Firewall/UTM/WAF
Managed FirewallからManaged UTMへのメニュー変更については、可能です。デバイスの再起動をすることなく、メニュー変更いただけます。
一方、Managed UTMからManaged Firewallへメニュー変更することはできません。チュートリアル - セキュリティメニューのご利用方法 - Managed Firewall / Managed UTM - メニュー変更/プラン変更(シングル構成)
チュートリアル - セキュリティメニューのご利用方法 - Managed Firewall / Managed UTM - メニュー変更/プラン変更(HA構成) - Managed UTMのFirewall PolicyによるAntivirus機能と、Managed WAFのFile Upload Restriction PolicyによるAntivirus Scan機能との違いを教えてください。ECL2.0, Managed Firewall/UTM/WAF
Managed UTM のアンチウイルス機能は、シグネチャベースで通信を検査し、ウイルスと判定された通信を検知/防御する機能であり、Managed WAF のファイルアップロード制限機能は、お客さまの WebServer へのファイルアップロード時に制限を設ける機能となります。
付加機能であるアンチウイルス機能は添付ファイルの Virus Scan を行う機能でございます。また、主な違いは以下となります。
対応するプロトコルが異なります。
Managed UTM は HTTP、FTP、SMTP、POP3、IMAP、MAPI、NNTP に対応いたします。
Managed WAF は HTTP、HTTPSに対応いたします。閾値を設けたファイルサイズに対する挙動が異なります。
Managed UTM はファイルサイズの閾値を超えた通信は検知せずそのまま通過させます。
Managed WAF は閾値を設けた通信を検査(検知/ブロック)させることが可能です。そのほかの違いに関しましては以下URLをご参照ください。
参考:
Managed UTM - 利用できる機能 - 各機能の説明 - セキュリティ機能 - アンチウイルス機能
Managed WAF - 利用できる機能 - 各機能の説明 - セキュリティ機能 - アンチウイルス機能 - Managed WAFにのログ解析において、閲覧/検索可能なログの期間を教えてください。ECL2.0, Managed Firewall/UTM/WAF
ファイアウォール機能で取得したログ(トラフィックログ):7日
セキュリティ機能で取得したログ(セキュリティ検知ログ):90日
ただし、取得ログの完全性を保証するものではありません。なお、長期間のログを保存したい場合は、お客さま管理のsyslogサーバーへ送信してください。
参考:サービス説明書 - Managed WAF - コントロールパネル機能 - Managed UTMのログ解析において、閲覧/検索可能なログの期間を教えてください。ECL2.0, Managed Firewall/UTM/WAF
ファイアウォール機能で取得したログ(トラフィックログ):7日
セキュリティ機能で取得したログ(セキュリティ検知ログ):90日
ただし、取得ログの完全性を保証するものではありません。なお、長期間のログを保存したい場合は、お客さま管理のsyslogサーバーへ送信してください。
参考:サービス説明書 - Managed UTM - コントロールパネル機能 - Managed Firewallのログ解析において、閲覧/検索可能なログの期間を教えてください。ECL2.0, Managed Firewall/UTM/WAF
ファイアウォール機能で取得したログ(トラフィックログ):7日
ただし、取得ログの完全性を保証するものではありません。なお、長期間のログを保存したい場合は、お客さま管理のsyslogサーバーへ送信してください。
参考:サービス説明書 - Managed Firewall - コントロールパネル機能 - Managed WAFが保護する対象のWebサーバーは、Managed WAFと別のセグメントに存在していても問題ないですか?ECL2.0, Managed Firewall/UTM/WAF
- Managed WAFのログ解析機能において、Rawログのフィールドに表示される各項目の意味を教えてください。ECL2.0, Managed Firewall/UTM/WAF
Managed WAFのログ解析機能における、Rawログの主な項目とその意味は、以下の通りです。
参考:チュートリアル - Managed WAF - ログ解析
1.Traffic関連のログの場合
項目 意味 date= 日付が表示されます。 time= 時刻が表示されます。 log_id= 内部的に使用するIDが表示されます。 msg_id= 内部的に使用するIDが表示されます。 vd= 内部的に使用するIDが表示されます。 timezone= Managed WAFのタイムゾーンが表示されます。 type= ログの種類を表します。Traffic関連のLogの場合【traffic】と出力されます subtype= ログの種類を表します。Traffic関連のLogの場合【http】と出力されます
※HTTPS通信の場合も【http】となりますpri= ログのpriorityが表示されます。 proto= IPヘッダに記載されるプロトコルが表示されます。 service= 【http】もしくは【https】が表示されます。 status= トラフィックログ関連の出力で通信が成功した場合【success】、失敗した場合【failure】と出力されます。 reason= ステータスの理由が表示されます。 policy= Server Policyが表示されます。 src= 通信の送信元のIPアドレスが表示されます。 src_port= 通信の送信元のPort番号が表示されます。 dst= 通信の宛先のIPアドレスが表示されます。 dst_port= 通信の宛先のPort番号が表示されます。 http_request_time= リクエストを処理するのに要した時間(ms)が表示されます。 http_response_time= レスポンスを処理するのに要した時間(ms)が表示されます。 http_request_bytes= リクエストのバイト数が表示されます。 http_response_bytes= レスポンスのバイト数が表示されます。 http_method= HTTPメソッドが表示されます。 http_url= URLが表示されます。 http_agent= User Agentが表示されます。 http_retcode= HTTPリターンコードが表示されます。 msg= メッセージが表示されます。 srccountry= 通信の送信元の国が表示されます。 server_pool_name= Real Server Nameが表示されます。 http_host= hostが表示されます。 2.セキュリティ検知ログ関連のログの場合
項目 意味 date= 日付が表示されます。 time= 時刻が表示されます。 log_id= 内部的に使用するIDが表示されます。 msg_id= 内部的に使用するIDが表示されます。 vd= 内部的に使用するIDが表示されます。 timezone= Managed WAFのタイムゾーンが表示されます。 type= ログの種類を表します。WAFでの検知関連のLogの場合【attack】と出力されます subtype= ログの種類を表します。セキュリティ検知ログの場合は【subtype=waf_signature_detection】など検知した機能が表示されます。 pri= ログのpriorityが表示されます。 trigger_policy= 攻撃を検知したポリシー名が表示されます。 severtity_level= ログのseverity levelが表示されます。 proto= IPヘッダに記載されるプロトコルが表示されます。 service= 【http】もしくは【https】が表示されます。 action= セキュリティ検知ログ関連の出力で検知時の以下いずれかの挙動を表します。 Alert_Deny・・・通信をブロック
Alert・・・通信はブロックしません(シグネチャをAlert Onlyに設定した場合に出力されます)
Erace・・・HTTPレスポンスから一部情報を消去して通信を行います※尚、Monitorモードの場合は、Actionの出力に変化はありませんが動作は以下の通りになります。
Alert_Deny・・・通信はブロックしません
Alert・・・通信はブロックしません
Erace・・・情報を消去せず通信を行いますpolicy= Managed WAFで通信にマッチしたServerPolicyが表示されます。 src= 通信の送信元のIPアドレスが表示されます。 src_port= 通信の送信元のPort番号が表示されます。 dst= 通信の宛先のIPアドレスが表示されます。 dst_port= 通信の宛先のPort番号が表示されます。 http_method= HTTPメソッドが表示されます。 http_url= URLが表示されます。 http_host= hostが表示されます。 http_agent= User Agentが表示されます。 http_session_id= Session IDが表示されます。 msg= 検知時の内容が表示されます。 signature_subclass= シグネチャのサブクラス名が表示されます。 signature_id= シグネチャのIDが表示されます。 srccountry= 通信の送信元の国が表示されます。 server_pool_name= 適用されたServer Poolが表示されます。 false_positive_mitigation= SQLインジェクションについて、シグネチャに加え構文検査を行うかどうかを表します
