ビジネスサポートポータルアカウントでログイン
侵入防御イベントに[元のIP(XFF)]が記録されない  

侵入防御イベントに[元のIP(XFF)]が記録されない

    • 更新日:
    • 29 Jul 2019
    • 製品/バージョン:
    • Trend Micro Deep Security 10.0
    • Trend Micro Deep Security 11.0
    • Trend Micro Deep Security 12.0
    • Trend Micro Deep Security 9.5
    • Trend Micro Deep Security 9.6
    • OS:
    • Linux すべて
    • Windows すべて
概要
Deep Security 9.5 Service Pack 1 の新機能として、以下が挙げられています。

侵入防御イベントにおけるX-Forwarded-Forヘッダの表示

侵入防御イベントにパケットデータを含めるように設定している場合は、侵入防御イベントにX-Forwarded-Forヘッダが表示されるようになりました。X-Forwarded-ForヘッダはDeep Security Agentがロードバランサやプロキシの後ろに配置されている場合に有効な情報となります。X-Forwarded-Forヘッダはイベントの [プロパティ] 画面に表示されます。
しかし、プロキシ経由で侵入防御イベントを発生させても、イベントの[元のIP(XFF)]列が空白になっています。
X-Forwarded-Forヘッダが記録される条件を教えてください。
詳細
Public
侵入防御イベントにX-Forwarded-Forヘッダが記録される条件は以下の通りです。
  1. 侵入防御ルール「1006540 - Enable X-Forwarded-For HTTP Header Logging」が適用されている
  2. 侵入防御ルールに合致するシグネチャーがX-Forwarded-Forヘッダより後に存在する
侵入防御の検出テストをGETリクエストで実施された場合、侵入防御ルールに合致するシグネチャーはX-Forwarded-Forヘッダより前に存在するため、侵入防御イベントにX-Forwarded-Forヘッダは記録されません。
X-Forwarded-Forヘッダの記録テストは、POSTデータ等が侵入防御ルールに合致した場合のみ、記録されます。
以下に、X-Forwarded-Forヘッダが記録される場合と記録されない場合のHTTPリクエストの内容を列挙しておきます。以下の例では、侵入防御ルールに合致するシグネチャーを太字で表記しています。

X-Forwarded-Forヘッダが記録されない例

GET /index.html?union+select+update HTTP/1.1
host: test.trendmicro.com
Accept: /
User-Agent: curl/7.37.1

X-Forwarded-For: 10.10.10.10

X-Forwarded-Port: 80
X-Forwarded-Proto: http
Connection: keep-alive

X-Forwarded-Forヘッダが記録される例

POST /index.html HTTP/1.1
host: test.trendmicro.com
Accept: /
User-Agent: curl/7.37.1

X-Forwarded-For: 10.10.10.10

X-Forwarded-Port: 80
X-Forwarded-Proto: http
Connection: keep-alive
Content-Length: 19
union+select+update

Premium
Internal
評価:
カテゴリ:
機能/仕様
Solution Id:
1117106
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド