WAF(Exploit Protection) 완화 제어
이 완화 제어 범주는 Web Application Firewall 형태로 사용할 수 있는 완화를 포함합니다.
익스플로잇 보호(WAF)
보안 태세 통제 은 필요한 경우 ITOM IP 기반 검색의 (F5) 및 네트워크 트래픽 데이터와 같은 WAF 도구 F5 BIG-IP 와의 API 통합을 사용하여 WAF(웹 애플리케이션 방화벽) 뒤에서 실행되는 서버를 탐지합니다.
완화 제어는 웹 ACL 규칙과 관련된 모든 부하 분산 장치를 임포트하여 검색 및 서비스 매핑 패턴의 도움을 받아 가상 머신을 보호하는 규칙을 결정합니다.
필요한 역할: SPC 관리자 그룹 및 SPC 분석가 그룹.
다음을 사용한 악용 방지(WAF)의 필요 조건 F5 BIG-IP
- F5 WAF 및 관련 애플리케이션 서버가 설정된 환경에서 F5 BIG-IP ITOM IP 기반 검색을 활성화했는지 확인합니다.
- F5에 대한 F5 BIG-IP API 통합이 작업 공간에서 보안 태세 통제 활성화되어 있는지 확인합니다.
Amazon Web Services AWS를 사용한 Exploit Protection(WAF)의 필수 구성요소
이 통합에 대한 데이터는 검색 및 서비스 매핑 패턴[sn_itom_pattern]과 완화 통제 모니터링[sn_sec_mit_ctrl] 애플리케이션에서 임포트됩니다. 두 애플리케이션 모두 필요합니다. 가상 머신이 보호되고 있는지 확인하는 데 필요한 모든 웹 ACL, 웹 ACL 규칙 및 완화 데이터를 임포트할 수 있도록 아래 단계를 나열된 순서대로 따르십시오. 검색 패턴에 대한 AWS 자세한 내용은 을 참조하십시오AWS discovery using patterns.
- 사용하려는 서비스 계정에서 웹 ACL 및 규칙을 AWS 정의합니다. 자세한 내용은 AWS WAF에서 웹 ACL 사용 섹션을 참조하세요.주:자체 웹 ACL 규칙을 생성할 수 있지만 웹 ACL과 함께 작동하도록 특별히 설계된 관리형 규칙을 사용하는 AWS 것이 더 나을 수 있습니다. 웹 ACL에 대한 자체 사용자 지정 규칙을 생성하기로 선택한 경우 WAF와의 AWS 통합은 Contains SQL 삽입 공격 및 Contains XSS(교차 사이트 스크립팅) 삽입 공격과 일치하는 공격 유형만 지원합니다. 부하 분산 장치는 이 통합에서 지원하는 자산(자원)입니다.
- 1단계에서 정의한 웹 ACL의 이름과 기본 작업을 검색할 수 있도록 인스턴스에 검색 및 서비스 매핑 패턴[sn_itom_pattern] 애플리케이션을 설치하고 활성화합니다. 자세한 내용은 보안 태세 통제에 지원되는 애플리케이션 설치 문서를 참조하십시오.
- sn_itom_pattern.discover_aws_app_pool_members MID 서버 시스템 속성이 true로 설정되어 있는지 확인합니다. 이 속성을 활성화하려면 다음으로 이동합니다. .
- 완화 통제 모니터링 [sn_sec_mit_ctrl] 애플리케이션을 설치하고 활성화했는지 확인하십시오. 이 애플리케이션에는 패턴 확장, 웹 ACL 규칙 및 관련 자원이 포함되어 있습니다. 이 패턴 확장을 사용하면 실제 웹 ACL 규칙 및 자원(자산)에 대한 연결(관계)을 인스턴스로 임포트할 수 있습니다.