概要
Deep Security 9.5 Service Pack 1 の新機能として、以下が挙げられています。
|
侵入防御イベントにおけるX-Forwarded-Forヘッダの表示 侵入防御イベントにパケットデータを含めるように設定している場合は、侵入防御イベントにX-Forwarded-Forヘッダが表示されるようになりました。X-Forwarded-ForヘッダはDeep Security Agentがロードバランサやプロキシの後ろに配置されている場合に有効な情報となります。X-Forwarded-Forヘッダはイベントの [プロパティ] 画面に表示されます。
|
しかし、プロキシ経由で侵入防御イベントを発生させても、イベントの[元のIP(XFF)]列が空白になっています。
X-Forwarded-Forヘッダが記録される条件を教えてください。
詳細
侵入防御イベントにX-Forwarded-Forヘッダが記録される条件は以下の通りです。
- 侵入防御ルール「1006540 - Enable X-Forwarded-For HTTP Header Logging」が適用されている
- 侵入防御ルールに合致するシグネチャーがX-Forwarded-Forヘッダより後に存在する
侵入防御の検出テストをGETリクエストで実施された場合、侵入防御ルールに合致するシグネチャーはX-Forwarded-Forヘッダより前に存在するため、侵入防御イベントにX-Forwarded-Forヘッダは記録されません。
X-Forwarded-Forヘッダの記録テストは、POSTデータ等が侵入防御ルールに合致した場合のみ、記録されます。
以下に、X-Forwarded-Forヘッダが記録される場合と記録されない場合のHTTPリクエストの内容を列挙しておきます。以下の例では、侵入防御ルールに合致するシグネチャーを太字で表記しています。
X-Forwarded-Forヘッダが記録されない例
GET /index.html?union+select+update HTTP/1.1
host: test.trendmicro.com
Accept: /
User-Agent: curl/7.37.1
X-Forwarded-For: 10.10.10.10
X-Forwarded-Port: 80
X-Forwarded-Proto: http
Connection: keep-alive
X-Forwarded-Forヘッダが記録される例
POST /index.html HTTP/1.1
host: test.trendmicro.com
Accept: /
User-Agent: curl/7.37.1
X-Forwarded-For: 10.10.10.10
X-Forwarded-Port: 80
X-Forwarded-Proto: http
Connection: keep-alive
Content-Length: 19
union+select+update
