正常な通信がブロックされた時(誤検知)、どうすれば?
こんにちは。Scutumサポートデスクです。
今回は「正常な通信がブロックされた時(※以降誤検知と表記します)、どうすればいいのか?」について紹介します。
誤検知の判断について
誤検知かどうかの判断はお客様で!
まず前提としてScutumはScutum経由の通信を、都度、機械的に攻撃と判定した場合に、検知・ブロックする仕組みです。
一律に機械的に検知・ブロックしている仕組み上、Scutumが攻撃と判定した通信が誤検知であったかについてはScutumでは判断することができません。
また「正常な通信」かの判断基準は各サイト毎に大きく変わってくるところでもあると思います。
そのため、誤検知かどうかについては、お客様側で確認・判断が必要になってくるとご理解ください。
例えば「サイトを利用されるお客様からブロック画面が表示され、サイトが見られない!!」といったお問い合わせを受けられた際には、まずは検知状況を確認してみてください。
では検知状況はどこで確認できるのか
管理画面の「防御ログの閲覧」から確認することができます。
防御ログにはリアルタイムでブロック・検知状況が反映されます。
防御ログを確認し、誤検知と判断できる該当のアクセスを見つけましたら、以下4点の情報とともにメールでお問い合わせください。
(※代理店様経由でご契約されている場合には代理店様にお問い合わせください。)
<お問い合わせ時必要情報>
※該当の検知ログの下図枠線内で以下情報は確認できます。
1.FQDN名
2.対象URL
3.検知分類
4.検知が発生している対象の防御ログID

※「防御ログの閲覧」の操作方法等は、こちらをご確認ください。
誤検知調整の流れについて
お客様側で誤検知を発見された後の簡単な誤検知調整完了までの流れを紹介します。
お客様からのご連絡をもって、誤検知調整はスタートしますので、誤検知が発生した際にはご連絡ください。
1.お客様:Scutumサポートデスクに誤検知発生のご連絡
※先にご案内した4点の情報<お問い合わせ時必要情報>をご連絡ください。
↓
2.Scutumサポートデスク:ご連絡内容にて検知状況確認、誤検知調整方法検討
(翌営業日起算で3営業日程度~)
↓
3.Scutumサポートデスク:誤検知調整方法を提示
↓
4.お客様:Scutumサポートデスクからの提示内容を確認後、誤検知調整実施の正式依頼
↓
5.Scutumサポートデスク:誤検知調整実施・完了
(翌営業日起算で3営業日程度~)
誤検知調整完了までの検知回避方法について
最後に誤検知調整が完了するまでの間、暫定的に検知を回避する3つの方法を紹介します。
ただし、紹介する各方法においては注意点がありますので、ご活用の際にはご注意ください。
なお、ご紹介する方法はすべてお客様側で管理画面から設定可能であり、設定は即時反映されます。
1.特定のURLに対して誤検知が発生している場合
・除外URLの設定 に対象URLを設定する
本機能に設定したURLへのアクセスは全ての攻撃分類※について、Scutumの攻撃の検知対象から除外されます。そのため、検知除外したURLへのアクセスへ実際に攻撃が行われた場合に攻撃が成功する可能性がある点はご注意ください。(※一部除外できない検知分類有り)
■「除外URLの設定」の具体的な操作方法等は、こちらをご確認ください。




2.特定のIPアドレスに対して誤検知が発生している場合
・脆弱性検査用IPアドレスの管理 に対象IPアドレスを設定する
設定したIPアドレスからのアクセスは全ての攻撃分類※についてScutumの攻撃の検知対象から除外されます。そのため検知除外した対象へ攻撃が行われた場合に攻撃が成功する可能性がある点はご注意ください。(※一部除外できない検知分類有り)
■「脆弱性検査用IPアドレスの管理」の具体的な設定操作方法等は、こちらをご確認ください。




3.FQDN全体で誤検知が発生している場合
・WAF防御機能ON/OFF機能で防御機能をOFFにする
防御機能をOFFにする設定とした場合、Scutum全防御機能において実際のブロックは行わず検知のみの運用に変更されます。そのため、実際のブロックを行わない運用となり、攻撃が行われた場合に攻撃が成功する可能性がある点はご注意ください。
■「WAF防御機能ON/OFF機能」の具体的な操作方法等は、こちらをご確認ください。




ご不明な点等がありましたら、お気軽にScutumサポートデスクまでお問い合わせください。