シグネチャオブジェクトの更新
Web App Firewallが現在の脅威に対する保護を提供していることを確認するには、署名オブジェクトを頻繁に更新する必要があります。デフォルトのWebApp Firewallシグニチャと、サポートされている脆弱性スキャンツールからインポートしたシグニチャの両方を定期的に更新する必要があります。
Citrix は、Web App Firewall デフォルトの署名を定期的に更新します。デフォルトのシグニチャは、手動または自動で更新できます。いずれの場合も、Citrix担当者またはCitrixリセラーに、アップデートにアクセスするためのURLを問い合わせてください。[エンジンの設定]および[署名の自動更新設定]ダイアログボックスで、Citrix ネイティブ形式の署名の自動更新を有効にできます。
脆弱性スキャンツールのほとんどのメーカーは、定期的にツールを更新します。ほとんどの Web サイトも頻繁に変更されます。ツールを更新し、Webサイトを定期的に再スキャンして、結果の署名をファイルにエクスポートし、Web AppFirewall構成にインポートする必要があります。
ヒント
Citrix ADCコマンドラインからWeb App Firewall 署名を更新する場合は、最初にデフォルトの署名を更新してから、さらに更新コマンドを発行して、デフォルトの署名に基づく各カスタム署名ファイルを更新する必要があります。最初にデフォルトシグニチャを更新しないと、バージョンの不一致エラーにより、カスタムシグニチャファイルの更新が妨げられます。
注
次は、サードパーティ製のシグニチャオブジェクトとユーザ定義のシグニチャオブジェクトとネイティブルールおよびユーザ定義のシグニチャオブジェクトをマージする場合に適用されます。
バージョン 0 のシグニチャが新しいインポートされたファイルにマージされると、結果のシグニチャはバージョン 0 のままになります。
つまり、インポートされたファイル内のすべてのネイティブ(または組み込み)ルールは、マージ後に無視されます。これは、バージョン 0 のシグネチャがマージ後もそのまま維持されるようにするためです。
インポートされたファイルにマージするネイティブルールを含めるには、マージの前にバージョン 0 から既存の署名を更新する必要があります。 つまり、既存のシグニチャのバージョン 0 の性質を放棄する必要があります。
Citrix ADCリリースアップグレードがある場合、ファイル「default_signatures.xml」が新しいビルドに追加され、ファイル「updated_signature.xml」が古いビルドから削除されます。 アップグレード後、署名の自動更新機能が有効になっている場合、アプライアンスは既存の署名をビルドの最新バージョンに更新し、「updated_signature.xml」ファイルを生成します。
コマンドラインを使用して、ソースから Web App Firewall 署名を更新するには
コマンドプロンプトで、次のコマンドを入力します。
update appfw signatures
[-mergedefault] save ns config
例
次の例では、デフォルトの署名オブジェクトから MySignatures という名前の署名オブジェクトを更新し、デフォルトの署名オブジェクト内の新しい署名と既存の署名をマージします。このコマンドは、承認された脆弱性スキャンツールなど、他のソースからインポートされたユーザが作成したシグニチャまたはシグニチャを上書きしません。
update appfw signatures MySignatures -mergedefault save ns config
Citrix フォーマットファイルからの署名オブジェクトの更新
Citrix は、Web App Firewall 署名を定期的に更新します。Web App Firewallが最新のリストを使用していることを確認するには、Web AppFirewallの署名を定期的に更新する必要があります。アップデートにアクセスするためのURLについては、Citrix担当者またはCitrixリセラーにお問い合わせください。
コマンドラインを使用して Citrix 形式のファイルから署名オブジェクトを更新するには
コマンドプロンプトで、次のコマンドを入力します。
update appfw signatures
[-mergeDefault] save ns config
GUI を使用して Citrix 形式のファイルからシグニチャオブジェクトを更新するには
- [セキュリティ] > [Web App Firewall] > [署名] に移動します。
- 詳細ウィンドウで、更新するシグニチャオブジェクトを選択します。
- 「アクション」ドロップダウンリストで、「マージ」を選択します。
- 署名オブジェクトの更新ダイアログボックスで、次のいずれかのオプションを選択します。
- [Import from URL]:Web URL からシグニチャアップデートをダウンロードする場合は、このオプションを選択します。
- Import from Local File:ローカルハードドライブ、ネットワークハードドライブ、またはその他のストレージデバイス上のファイルからシグニチャアップデートをインポートする場合は、このオプションを選択します。
- テキスト領域で URL を入力するか、ローカルファイルを参照します。
- [更新]をクリックします。更新ファイルがインポートされ、[署名の更新] ダイアログボックスが、[署名オブジェクトの修正]ダイアログボックスの形式とほぼ同じ形式に変わります。[Update Signatures Object] ダイアログボックスには、新規または変更されたシグニチャ規則、SQL インジェクションまたはクロスサイトスクリプティングパターン、および XPath インジェクションパターン(存在する場合)を含むすべてのブランチが表示されます。
- 新しいシグニチャと変更されたシグニチャを確認して設定します。
- 完了したら、[OK] をクリックし、[閉じる] をクリックします。
サポートされている脆弱性スキャンツールからのシグニチャオブジェクトの更新
注:
ファイルからシグニチャオブジェクトを更新する前に、脆弱性スキャンツールからシグニチャをエクスポートしてファイルを作成する必要があります。
脆弱性スキャンツールからシグニチャをインポートおよび更新するには
- [セキュリティ] > [Web App Firewall] > [署名] に移動します。
- 詳細ウィンドウで、更新する署名オブジェクトを選択し、[マージ] をクリックします。
- [署名オブジェクトの更新] ダイアログボックスの [外部形式] タブの [インポート] セクションで、次のいずれかのオプションを選択します。
- [Import from URL]:Web URL からシグニチャアップデートをダウンロードする場合は、このオプションを選択します。
- Import from Local File:ローカル、ネットワークハードドライブ、またはその他のストレージデバイス上のファイルからシグニチャアップデートをインポートする場合は、このオプションを選択します。
- テキスト領域で、URL を入力するか、ローカルファイルへのパスを参照または入力します。
- [XSLT] セクションで、次のいずれかのオプションを選択します。
- [組み込み XSLT ファイルを使用]: 組み込み XSLT ファイルを使用する場合は、このオプションを選択します。
- [ローカル XSLT ファイルを使用]: ローカルコンピュータ上の XSLT ファイルを使用する場合は、このオプションを選択します。
- [URL から XSLT を参照]: Web URL から XSLT ファイルをインポートするには、このオプションを選択します。
- 「組み込み XSLT ファイルを使用」を選択した場合は、「組み込み XSLT」ドロップダウンリストで、使用するファイルを次のオプションから選択します。
- Cenzic.
- Deep_Security_for_Web_Apps.
- Hewlett_Packard_Enterprise_WebInspect.
- IBM-AppScan-Enterprise.
- IBM-AppScan-Standard.
- Qualys.
- Whitehat.
- [更新]をクリックします。更新ファイルがインポートされ、[シグニチャの更新] ダイアログボックスは、「シグニチャオブジェクトの構成と変更」で説明されている「シグニチャオブジェクトの変更」ダイアログボックスとほぼ同じ形式に変更されます。[Update Signatures Object] ダイアログボックスには、新規または変更されたシグニチャ規則、SQL インジェクションまたはクロスサイトスクリプティングパターン、および XPath インジェクションパターン(存在する場合)を含むすべてのブランチが表示されます。
- 新しいシグニチャと変更されたシグニチャを確認して設定します。
- 完了したら、[OK] をクリックし、[閉じる] をクリックします。