典型的なWAAPレポートは「今月12,483件の攻撃をブロック」で始まり、地理的な円グラフとトップ10攻撃者IPリストで続きます。それはCISOをヘッドラインレベルで満足させるかもしれませんが、アーキテクチャや規制機関レベルの質問には答えません:「攻撃ボリュームの何パーセントがOWASP A03 Injectionに当たりますか?」「OWASP API Top 10のどのカテゴリが最も大きなプレッシャー下にありますか?」「CWE-89 SQLi試みはどの国から、どの時間帯に、どの引数で来ていますか?」
これらの質問は標準的なWAAPアナリティクスパネル以上のものを必要とします。回答するには攻撃IDがソースでOWASPカテゴリ、CWEコード、リスクレベルに紐づけられている必要があります。一般的なWAAPプロダクトは攻撃IDを英数字コードとして扱い、キュレートされたタクソノミーに紐づけません。レポートには「attack id 942100」と表示されますが、「OWASP A03」ではありません。
2つ目のギャップはコンテキスト相関です。攻撃がどの引数(フォームフィールド、クエリパラメータ、JSONボディフィールド)を通じて来たか、どのHTTPメソッド、どのボディサイズ、どのuser-agent、何時に — これらは通常別々のパネルに存在します。オペレーターはそれらを頭の中でつなぎ合わせます。「OWASP A03 × JSONボディスコープ × 特定のASN」のような複合質問はレポートで直接回答されません。
3つ目のギャップは経営陣と規制機関向けビューです。監査員が「OWASP Top 10カテゴリで過去6ヶ月で最も多かった攻撃タイプは?」と尋ねるとき、オペレーターは手動で攻撃IDをOWASPカテゴリにマッピングし、列の合計を手作業で集計しなければなりません。
TR7 WAAP報告はこの3つのギャップを埋めます:ルールと攻撃IDがOWASP Web Top 10、OWASP API Top 10、CWEタクソノミーにファーストクラスのレポート軸として事前ラベル付けされ、意味のある相関の組み合わせがレポート構造に組み込まれ、カテゴリ別ビューが経営陣と監査レポート用の標準スライドになります。
TR7は、カテゴリタクソノミー、相関軸、リスクレベル、地理的強度が一つの文書に収束するエンタープライズレポートサーフェスとしてWAAP攻撃レポートを設計します。
3000+ルールのTR7 WAAPルールセットはOWASP Top 10 (2021) Web、OWASP API Security Top 10 (2023)、適用可能なCWEコードに事前マッピングされています。攻撃IDが到着すると、システムはすでにどのカテゴリが適用されるかを知っています — オペレーターは手動でマッピングしません。
攻撃は14の相関軸全体で個別のbar / pie + トップNテーブルセクションとしてレンダリングされます。「カテゴリX × 引数Y × 国Z」のような複合質問は、オペレーターの頭の中でパネルをつなぎ合わせるのではなく、レポートセクション間を読むことで回答されます。
主要軸に加えて、意味のある組み合わせ(OWASP A03 × JSONボディスコープ、OWASP A01 × 特定のhostヘッダー、CWE-89 × ASN分布、API4 × HTTPメソッド)が標準レポートスライドとして提供されます。監査と経営陣の質問のほとんどがこれらの組み合わせで直接回答されます。
TR7 WAAPレポートはトラフィックを提供するのと同じアプライアンス内で動作します。攻撃ログからPDF生成までのフルパイプラインはデバイス上に存在します。一般的なWAAPプロダクトは独自のライセンス、容量、オペレーションコストを持つ別の管理プラットフォームを必要とします。
14の相関軸、OWASP / API / CWEタクソノミー、6ティアのリスクヒストグラム、ホストグループ詳細、ブランド付きエンタープライズPDFを備えたWAAP攻撃レポート。
レポートはOWASP Top 10 (2021) Webカテゴリ別に攻撃をグループ化します:A01 Broken Access Control、A02 Cryptographic Failures、A03 Injection、A04 Insecure Design、A05 Security Misconfiguration、A06 Vulnerable Components、A07 Authentication Failures、A08 Software & Data Integrity、A09 Logging Failures、A10 SSRF。各カテゴリについて、攻撃件数、リスクレベル分布、トップNパス、トップN国が個別セクションとしてレンダリングされます。
API攻撃はOWASP API Security Top 10 (2023)に対してレンダリングされます:API1 Broken Object Level Authorization、API2 Broken Authentication、API3 Broken Object Property Level Authorization、API4 Unrestricted Resource Consumption、API5 Broken Function Level Authorization、API6 Unrestricted Access to Sensitive Business Flows、API7 Server-Side Request Forgery、API8 Security Misconfiguration、API9 Improper Inventory Management、API10 Unsafe Consumption of APIs。
すべての攻撃が適用可能なCWEコードにタグ付けされます;CWE-89 (SQL Injection)、CWE-79 (XSS)、CWE-77 (Command Injection)、CWE-22 (Path Traversal)、CWE-352 (CSRF)、CWE-918 (SSRF)などがレポートセクションとして表示されます。セキュリティ研究者と監査チームは標準タクソノミーで会話できます。
攻撃は次の各軸で個別セクションとしてレンダリングされます:送信元IP、国、都市、user-agent、訪問者(IP + UA)、ボディサイズ、WAAP検査時間(wafTime)、時間帯、攻撃ID、攻撃スコープ(form / header / query / json / xml / path / raw / cookie)、リスクスコア、引数変数名(arg)、hostヘッダー、path、HTTPメソッド。各軸:bar / pieチャートとトップNテーブルのペア。
攻撃は6つのリスクティアに分けられます:structural(構造的)、very high(非常に高)、high(高)、medium(中)、low(低)、very low(非常に低)。structuralティアはOWASP CRSルール範囲外のTR7固有の構造的異常検出(HTTPプロトコル乱用、ボット動作、DDoS-IPシグネチャ)をカバーします。
vServiceが複数のホストグループを持つ場合、ホストグループごとに専用の攻撃レポートセクションが開き、クロスグループサマリーセクションがホストグループを並べて表示します。オペレーターは組織全体のプレッシャーとホストグループごとのビューの両方を同じレポートで確認できます。
PDFレポートは組織ロゴ、vService名、日付範囲を含むブランド付きカバーで始まります。サマリーセクションはフルSVG世界ヒートマップで攻撃強度を、続いてトータルリクエスト対ブロックリクエストのミニ時系列チャートを表示します。
主要軸に加えて、カテゴリの組み合わせ(OWASP A03 × JSONボディスコープ、API4 × HTTPメソッド、CWE-89 × ASN、structural × 国)が標準レポートセクションとして自動的に生成されます。監査と規制機関の質問のほとんどがこれらの組み合わせで直接回答されます。
WAAPレポートは、生ログ処理、タクソノミータグ付け、ホストグループ分布、マルチフォーマット生成、クラスター動作と合わせて設計されます。
WAAPログはWafLogReporterエンジンによって各時間の終わりに時間別集計に集約されます。オンデマンドおよびスケジュールされたレポートはこれらの事前処理されたサマリーをつなぎ合わせ、長い範囲でもレポート生成時間を抑えます。
OWASP Top 10、OWASP API Top 10、CWEタグはルール自体に付けられているため、攻撃がレポートに到達するとカテゴリ分類はすでに既知です。OWASPが新しいリビジョンを公開するとタグはルールセットとともに更新されます。
レポートは番号付き階層に従います:1. サマリー、2. [ホストグループ名] WAAPレポート、2.1、2.2の各ディメンションのサブセクション。複数のホストグループは3.、4.と続きます。セクションの順序は引数 → 国 → pathを優先し、次にアルファベット順です。
PDF(A4、ブランド付きカバー、カテゴリと軸セクション、世界ヒートマップ)、XLSX(セクションごとに1タブ)、HTML(オペレーターコンソールから開く)。同じエンジンが3つのフォーマットを並行して生成し、フォーマットの選択はレポートのコンテンツを変えません。
高可用性クラスターでは、スケジュールされたWAAPレポートはアクティブノードからのみ一度生成・送信されます。重複配信なし;アドホックレポートはオペレーターが接続しているノードのデータに対して実行されます。
レポートの攻撃IDまたはpathからオペレーターは発火したWAAPルール、関連する学習提案、ライブトラフィックビューに直接ジャンプできます。レポートは静的な文書ではなく、オペレーショナルワークフローの出発点として機能します。
CISO室は「今月OWASP Top 10カテゴリで最もプレッシャーが大きかったのはどれか、どのpathが対象だったか?」をレポートから直接回答できます。カテゴリ別攻撃件数、リスク分布、地理的強度がブランド付きPDFとして取締役会に提供されます。
銀行、政府、重要インフラの監査では、監査員がOWASPカテゴリとCWEコードで分割された攻撃履歴を求めます。TR7のレポートはこれらを標準セクションとして提示するため、監査ドシエは手作業で準備されません。
セキュリティ研究者が特定の攻撃タイプ(例:SQLi試み)がどの引数、どのASN、どの時間帯に当たるかを調査します。クロス軸の組み合わせセクション(CWE-89 × 引数 × ASN × 時間)がレポートに直接含まれます。
サービスプロバイダーはエンドカスタマーごとに別個のvServiceを実行し、各テナントの月次WAAP攻撃レポートを独自のロゴ、日付範囲、言語で配信します。同じエンジンが数十のテナント向けレポートを並行して生成します。
3000+ルールタクソノミー、14の相関軸、6つのリスクティア、意味のあるカテゴリの組み合わせ、ブランド付きPDFカバー。お客様自身のWAAPプロファイルでライブデモをご案内します。