AWS WAF:AWS Managed Rules(AMR)のアップデート情報「AWSManagedReconnaissanceList」のお知らせが届いたときの対応方法について教えてください

2022.01.20

困っていた内容

AWS WAF:AWS Managed Rules(AMR)において、以下のマネージドルールのアップデート情報(※)について、お知らせが届きました。

  • AWSManagedIPReputationList
    • AWSManagedReconnaissanceList(※)

AWS WAFでいくつかのマネージドルールを使用していますが、お知らせにあるようなアップデート通知が届いた場合はどのような対応や確認を行えば良いのか教えてください。

「AWSManagedReconnaissanceList」とは?

マネージドルール「AWSManagedIPReputationList」において、AWSManagedReconnaissanceListという新しいルールがアップデートにより含まれました。

これにより、AWSリソースに対して偵察を行っているIPアドレスからの接続を検査します。

アップデート情報が届いたら、まず何を確認すればいいの?

AWSによるマネージドルールのアップデート情報があった場合は、ご利用されているAWSアカウント環境の「AWS WAF」 => 「Web ACLs」 => 「ご使用されているWebACL(Name)」 => 「Rules」にて、アップデート情報のマネージドルール(AWSManagedIPReputationList)を使用されているかをご確認ください。

今回のアップデートがあったマネージドルールについて、元々使用していない場合は何か対応することはありますか?

対応を行う必要はありません。

アップデートのルール更新によって、今までBLOCK(拒否)できていた通信が許可されることはありますか?

新たなルールとして追加されるため、BLOCK(拒否)できていた通信が許可されることはありません。

アップデートのルール更新によって、今まで許可していた通信がBLOCK(拒否)されることはありますか?

許可されていた通信がBLOCK(拒否)される可能性はありますが、AWSManagedReconnaissanceListは、基本的に悪意のあるIPアドレスからのアクセスとなり、BLOCK(拒否)して問題ないIPアドレスになります。

もし、IPアドレスによる通信の影響を懸念されている場合は、事前にRule action => Countの設定(有効化)をご検討ください(Countに変更されてから効果を確認した上で、元に戻すことも可能です)。

参考資料

  • IP reputation rule groups

    AWSManagedReconnaissanceList

    Inspects connections from IP addresses that are performing reconnaissance against AWS resources. This rule is currently in monitoring/count mode. Label: awswaf:managed:aws:amazon-ip-list:AWSManagedIPReputationList:AWSManagedReconnaissanceList

  • AWS Managed Rules changelog - AWS WAF, AWS Firewall Manager, and AWS Shield Advanced

    Rule group: Amazon IP reputation list

    Rules affected: AWSManagedReconnaissanceList

    Description: Added the AWSManagedReconnaissanceList rule in monitoring/count mode. This rule contains IP addresses that are performing reconnaissance against AWS resources.

    Date: 2021-11-23

  • AWS WAF のよくある質問

    マネージドルールをテストするにはどうすればよいですか?

    AWS WAF ではマネージドルールの「カウント」アクションを設定できます。このアクションでは、マネージドルール内のルールと一致するウェブリクエストの数をカウントします。マネージドルールを有効にすると、カウントされたウェブリクエストの数からブロックされるウェブリクエストの数を推定することができます。