Web Application Firewall (WAF) のログ スクラブ ツールは、WAF ログから機密データを削除するのに役立ちます。 これは、機密データを含む要求の特定の部分を識別するカスタム ルールを作成できるルール エンジンを使用することで機能します。 情報が識別されると、ツールはその情報をログからスクラブし、******* で置き換えます。
注
ログ スクラブ機能が有効にされても、Microsoft は重要なセキュリティ機能をサポートするために自社の内部ログに IP アドレスを引き続き保持します。
次の表は、機密データの保護に使用できるログ スクラブ ルールの例を示しています。
| 変数を一致させる | 演算子 | セレクター | スクラブされる内容 |
|---|---|---|---|
| 要求のヘッダー名 | 等しい | keytoblock | {"matchVariableName":"HeaderValue:keytoblock","matchVariableValue":"****"} |
| 要求の Cookie 名 | 等しい | cookietoblock | {"matchVariableName":"CookieValue:cookietoblock","matchVariableValue":"****"} |
| 要求本文の POST 引数名 1 | 等しい | var | {"matchVariableName":"PostParamValue:var","matchVariableValue":"****"} |
| 要求本文の JSON 引数名 1 | 等しい | JsonValue | {"matchVariableName":"JsonValue:key","matchVariableValue":"****"} |
| クエリ文字列の引数名 | 等しい | foo | {"matchVariableName":"QueryParamValue:foo","matchVariableValue":"****"} |
| 要求 IP アドレス 2 | いずれかと等しい | ヌル | {"matchVariableName":"ClientIP","matchVariableValue":"****"} |
| 要求 URI | いずれかと等しい | ヌル | {"matchVariableName":"URI","matchVariableValue":"****"} |
1 要求が要求本文をスキャンするルールをトリガーし、コンテンツ タイプが application/x-www-form-urlencoded または application/jsonの場合、WAF は PII の潜在的なストレージを防ぐために、ログからすべての要求の詳細をスクラブします。
2 要求 IP アドレスと要求 URI ルールは、任意のオペレーターと 等しい 操作のみをサポートし、WAF ログに表示される要求者の IP アドレスのすべてのインスタンスをスクラブします。
詳しくは、Azure Front Door の機密データ保護での Azure Web Application Firewall に関する記事をご覧ください
機密データ保護を有効にする
次の情報を使用して機密データ保護を有効にして構成します。
機密データ保護を有効にするには:
- 既存の Front Door WAF ポリシーを開きます。
- [設定] で、[機密データ] を選択します。
- [機密データ] ページで、[ログ スクラブの有効化] を選択します。
機密データ保護のログ スクラブ ルールを構成するには:
- [ログ スクラブ ルール] で、[一致変数] を選択します。
- [演算子] を選択します (該当する場合)。
- [セレクター] を入力します (該当する場合)。
- [保存] を選択します。
さらにルールを追加するには同じことを繰り返します。
機密データ保護を確認する
機密データ保護ルールを確認するには、Front Door ファイアウォールのログを開き、機密フィールドの代わりに ****** を検索します。