新登場 TR7 ZeroLeak:ビジュアル分離 — ユーザーに届くのはピクセルだけ、データは届かない
攻撃を受けていますか? サポート パートナーポータル
無料ライブデモ
DE DeutschEN EnglishES EspañolFR FrançaisJA 日本語PT PortuguêsTR Türkçe
機能

Custom WAAP Rules

組み込みシグネチャセットの横に独自のWAAPロジックを追加 — 同じスコアリングエンジン、同じログ、同じポリシーパイプライン。

TR7 Custom WAAP Rulesを使用すると、組み込みWAAPシグネチャセットの横に組織・アプリケーション・インシデント固有のルールを追加できます。オペレーターは正規表現パターンを記述し、どのトラフィックセクションを検査するかを選択し、スコアを割り当て、ルールをenabled、monitor、またはdisabledに設定します。 カスタムルールは別のスクリプト、外部プラグイン、またはサイドメカニズムではありません。TR7のコアWAAPシグネチャエンジンに入り、組み込みルールと同じレベルで評価され、同じスコアリングシステムに参加し、同じログとSIEMストリームに表示されます。 既存の組み込みルールが過剰なノイズを生成する場合、コピーして壊す必要はありません。上書きシステムにより状態、スコア、マッチスコープを変更できます — グローバル層が組織全体のベースラインを提供し、プール層がアプリケーション固有の例外を処理します。 結果として:一時的なゼロデイ緩和、アプリケーション固有の検証、誤検知低減、コンプライアンスフォーマットチェックがベンダーの更新を待つことなく稼働します。

2
層:グローバル(1M〜5M)とプール(5M〜10M) — 競合しないID範囲
4
スコアレベル:2 / 4 / 6 / 8 — それぞれがWAAPスコアリングモデルに組み込まれる
3
ルール状態:enabled、disabled、monitor

組み込みWAAPルールは不可欠です — しかし同じ動作をするアプリケーションは2つとありません。

組み込みWAAPシグネチャはSQL injection、XSS、path traversal、SSRF、既知のCVE、一般的な攻撃技術に対するベースライン保護を提供します。しかし実際の本番環境では、すべてのアプリケーションが異なります。一部のAPIは特定のヘッダー形式を必要とし、一部のアプリケーションはレガシーなパラメーター構造に依存し、あるサービスでは完全に正常なトラフィックが組み込みシグネチャセットには疑わしく見えることがあります。

これから2つの要件が生じます。1つ目は組み込みルールセットを壊さずにアプリケーション固有のWAAPルールを追加すること。2つ目は特定のサービスに対して既存の組み込みルールの動作を変更すること — 無効化、monitorモードに置く、スコアを下げる、特定のトラフィックセクションに限定するなど。

従来のアプローチでは、カスタムルールの記述は重作業であることが多いです。オペレーターは独自のスクリプト言語を習得し、ルール構文が複雑になり、ずさんに書かれた正規表現は本番トラフィックを遮断し、ルールのデプロイはサービス中断のリスクをもたらします。その結果、チームは過度に広いルールを書くか、リスクのあるトラフィックを一時的に無視するかのどちらかになります。

IDの管理、上書き処理、層の分離が別の次元を加えます。組み込みルール、組織全体のカスタムルール、アプリケーション固有のルールが同じネームスペースを共有すると、保守が困難になります。同じルールがアプリケーションによって異なる動作をする必要がある場合、コピーして編集するアプローチはすぐに持続不可能になります。

TR7 Custom WAAP Rulesモデルはこの複雑さを単純化します。カスタムルールは正規表現・スコープ・スコア・状態で定義され、既存ルールは上書きで調整され、グローバルとプール層は競合しないID範囲で管理されます。

私たちのアプローチ

TR7はカスタムWAAPルールの作成を、コアWAAPエンジンにネイティブな検証可能で層構造のポリシーフローへと変換します。

カスタムシグネチャをウィザードまたはローJSONモデルで定義

オペレーターはカスタムWAAPルールを名前、説明、正規表現、マッチスコープ、スコア、状態フィールドで定義します。ウィザードモードは日常使用に十分であり、より細かい管理を望むチームは同じ構造をローJSONで管理できます。

新しいルールと上書きフローを分離して管理

組織またはアプリケーション固有のニーズに対して新しい正規表現パターンを追加できます。既存の組み込みルールに対しては、変更が必要な特定の動作 — 状態、スコア、またはマッチスコープ — のみを上書きし、組み込みルールセットはフォークされません。

グローバルとプール層が競合なく共存

グローバル層はすべてのサービスに対して組織全体のベースラインを提供し、プール層は特定のアプリケーションまたはサービスに対してより絞り込まれた設定を適用します。ID範囲がパーティション化されているため、組み込みルール、グローバルカスタムルール、サービス固有のルールが衝突することはありません。

検証とホットロードモデルが本番リスクを低減

ルールが稼働する前に、名前、スコア、スコープ、正規表現フィールドが検証されます。ルールが有効であれば、対象のシグネチャシャードが再コンパイルされ、エンジンの変更されていない部分は影響を受けません。

機能一覧

Custom WAAP Rulesはコアのスコアリングシステムと同じレベルでカスタムセキュリティロジックを実行します。

カスタムWAAPルールを正規表現・スコープ・スコア・状態で作成

すべてのカスタムルールは名前、説明、正規表現、マッチスコープ、スコア、状態で定義されます。正規表現は攻撃パターンまたは許可されていない形式を指定し、スコープはそのパターンをpath、query、header、form、json、xml、またはrawコンテンツのどこで検索するかを決定します。スコア値は脅威の重みをWAAPスコアリングモデルに持ち込みます。状態フィールドによりルールがenabled、monitor、またはdisabledかどうかを制御します。

7つの検査スコープによりルールが正しいトラフィックセクションで実行

カスタムルールはリクエスト全体に盲目的に適用されません。検索する正確なトラフィックセクションを明示的に選択します。path、query、header、form、json、xml、rawスコープオプションによりルールが動作する場所を絞り込みます。これにより誤検知リスクが低減し、正規表現が意味のある場所でのみ実行されます。同じパターンを異なるスコープで異なる効果で使用できます。

4つのスコアレベルが脅威の重みをWAAPモデルに持ち込む

カスタムルールには2、4、6、8の4つのスコアレベルのいずれかが割り当てられます。低スコアは監視または弱いシグナルに適切であり、高スコアは強い攻撃指標を示します。スコアはコアのWAAP判定メカニズムに参加し、他のシグネチャと共に評価されます。カスタムルールは孤立したブロックスイッチではなく、複合リスク計算の一部です。

monitorモードによりブロックなしで本番トラフィックでルールをテスト

新しいカスタムルールはすぐにブロックモードに移行する必要はありません。monitorモードでは、ルールマッチはログに記録されますがトラフィックは中断されません。運用チームは実際のトラフィックでの誤検知率を確認し、正規表現とスコープを絞り込み、動作が理解されたら自信を持ってルールをenabledに移動します。このモデルは本番環境での制御されたロールアウトを提供します。

組み込みWAAPルールをコピーせずに上書き可能

既存の組み込みルールが特定のアプリケーションで過剰なノイズを生成する場合、ルールセットをコピーして修正する必要はありません。上書きにより状態、スコア、またはマッチスコープの動作を変更します。同じ組み込みルールがグローバルでは有効のまま、特定のプールではmonitorモードに置かれたり、より小さなスコープに絞り込まれたりすることができます。これにより保守負担が低減し、現在のシグネチャセットからのドリフトが防止されます。

グローバルとプールのカスタムルールが別個のID範囲に保持

グローバルカスタムルールIDは1,000,000〜4,999,999の範囲で生成され、プールカスタムルールIDは5,000,000〜9,999,999の範囲です。この分離により組み込みルール、組織全体のルール、アプリケーション固有のルールの競合が防止されます。運用チームはIDだけでルールのスコープを識別できます。大規模な環境ではルールインベントリの管理がより整理されます。

影響を受けたシグネチャシャードのみが再コンパイル — エンジン全体ではなく

カスタムルールが変更されると、対象のシグネチャシャードのみが再コンパイルされます。変更されていないルールセット全体を停止して再起動するアプローチは使用されません。これによりルール操作が速く低リスクになります。この動作は頻繁に変更される一時的な保護ルールに特に価値があります。

カスタムルールが組み込みルールと同様にログとSIEMに表示

カスタムルールのマッチは別の切断されたログ形式に保存されません。ルールID、名前、状態、スコア値、マッチしたスコープがメインのWAAPイベントストリームに含まれます。SIEM側では、カスタムルールと組み込みルールを同じイベントモデルで調べることができます。この可視性はインシデント対応とコンプライアンスレポートの一貫性を提供します。

運用上の深み

カスタムWAAPルール管理は検証・競合コントロール・ホットロード・監査・ロールバック手順と合わせて考慮されます。

01

ルール検証

ルールが稼働する前に、正規表現が空でないこと、スコアが許可された値の一つであること、スコープリストが有効であることを確認するチェックが行われます。名前の一意性とID範囲も検証プロセスの一部です。無効なルールはWAAPエンジンに受け入れられません。

02

層の優先順位

グローバル層は組織全体のベースラインを提供し、プール層は特定のサービスまたはアプリケーションに対してより具体的な動作を定義します。同じロジックが異なる層で異なる結果を必要とする場合は上書きメカニズムが使用されます。このモデルは重複ルールの代わりに管理可能でスコープされた例外を提供します。

03

正規表現の安全性

不注意に書かれた正規表現パターンはパフォーマンスリスクをもたらす可能性があります。過度に広い、バックトラッキングの多い、または不必要に大きなスコープに適用されたパターンは本番トラフィックでコストを生み出す可能性があります。したがって正規表現はできるだけ狭いスコープと精確なパターンで定義すべきです。

04

monitorからenabledへの遷移

新しいカスタムルールの安全なワークフローは、まずmonitorモードで実際のトラフィックを観察することです。ログ結果を確認し、誤検知を生み出すパス、ヘッダー、パラメーターを評価します。ルールの動作が明確になったら、ルールをenabledモードに移動します。

05

監査と変更証跡

カスタムルールの追加、更新、無効化、上書きは監査レコードに紐付けるべきです。誰がどのルールのスコア、スコープ、状態をいつ変更したかは、インシデント後のレビューに重要な情報です。変更履歴はブロック効果を持つルールの運用上の安全性に特に重要です。

06

ロールバック管理

カスタムルールが予期しない効果を生み出した場合、すぐにmonitorまたはdisabled状態に移動できます。上書きの変更も元に戻して組み込みルールの動作を復元できます。これにより本番トラフィックを中断することなくルール操作が可能になります。

利用シナリオ

一時的なゼロデイ保護ルールの追加

セキュリティチームは公式シグネチャの更新を待つことなく、新たに開示された脆弱性に対して一時的な正規表現ベースのルールを追加できます。まずmonitorモードでテストし、攻撃パターンが確認されたらenabledに移動します。

誤検知を生み出す組み込みルールの絞り込み

組み込みWAAPルールが特定のアプリケーションの通常トラフィックに影響している場合、完全に無効化するのではなく上書きします。スコープを絞り込み、スコアを下げ、または該当するプールのみでmonitorモードに置きます。

エッジでのコンプライアンスフォーマットチェックの適用

金融または医療アプリケーションはカスタムルールを使用して特定のヘッダー、フォームフィールド、JSONフィールドの期待されるフォーマットを検証できます。準拠していないリクエストはアプリケーションコードに到達する前にスコアリングまたはブロックされます。

アプリケーション固有のAPIの悪用をブロック

SaaSチームは自社のAPI動作に固有の悪用パターンをpath、query、header、またはJSONスコープでキャプチャできます。組み込みシグネチャセットではカバーされないビジネスロジックの違反はTR7 WAAP内でカスタムルールとして管理されます。

参照元

この機能を扱う記事、分析、ガイド。

1

よくある質問

カスタムWAAPルールは組み込みシグネチャエンジンから独立して動作しますか?
いいえ。カスタムルールはTR7のコアWAAPシグネチャエンジンに入り、組み込みルールと同じレベルで評価されます。同じスコアリングシステムに参加し、同じログとSIEMストリームに表示されます。別のスクリプトエンジンやサイドメカニズムではありません。
上書きにより既存ルールのどのプロパティを変更できますか?
上書きシステムでは3つのフィールドを変更できます。状態(enabled/disabled/monitor)、スコア(2/4/6/8)、マッチスコープ。3つのフィールドすべてがnullに設定された場合、上書きは削除され、組み込みルールが元の動作に戻ります。組み込みルールセットがフォークされることはありません。
monitorモードの目的は何ですか?
monitorモードでは、ルールマッチはログに記録されますがトラフィックは中断されません。運用チームは実際の本番トラフィックでの誤検知率を確認し、正規表現とスコープを精製し、動作が理解されたら自信を持ってルールをenabledモードに移動します。
グローバルとプール層は同じカスタムルールをどのように管理しますか?
グローバルカスタムルールIDは1,000,000〜4,999,999の範囲にあり、プールカスタムルールIDは5,000,000〜9,999,999の範囲です。グローバル層は組織全体のベースラインを提供し、プール層は特定のアプリケーションまたはサービスに対してより絞り込まれた設定を適用します。ID範囲がパーティション化されているため、組み込みルール、グローバルカスタムルール、サービス固有のルールが衝突することはありません。
7つのスコープオプションとは何ですか?なぜ重要ですか?
サポートされているスコープは:path、query、header、form、json、xml、rawです。意味のあるトラフィックセクションでのみ正規表現パターンを実行することで誤検知リスクが低減し、パフォーマンスコストが下がります。同じパターンを異なるスコープで異なる効果で使用できます。
ルールの変更はWAAPエンジン全体を再起動しますか?
いいえ。カスタムルールが変更されると、対象のシグネチャシャードのみが再コンパイルされます。変更されていないルールセットは影響を受けません。これによりルール操作が速く低リスクになり、頻繁に変更される一時的な保護ルールに特に価値があります。

組織のWAAPロジックをコアシグネチャエンジンにバインド

正規表現・スコープ・スコア・上書きによるカスタムセキュリティルール。お客様自身の環境でのライブセットアップをご案内します。