DSaaS侵入防御イベントでALBのIPアドレスが出る時の対処法

DSaaS侵入防御イベントでALBのIPアドレスが出る時の対処法:

Deep Security as a ServiceのエラーをAmazon SNSにJOSNに送る

各監視サーバでエラー,warningが出た時に、Amazon SNSにJOSNを送ってくれます。

Amazon SNSトピックへのイベントの転送を有効にする手順についてはこちら
Amazon SNSでのイベントへのアクセス

送られてくるJOSNの説明はこちら
JSON SNS設定

便利だなー

あれ？

なんか侵入しようとしてるやついるぞ

でもIPおかしくね？

送られてくる、 JSONのDescriptionに

Reason: URI Path Length Too Long 
 SourceIP: 10.0.0.0(ローカルIPじゃないか！) 
 SourceMAC: 00:00:00:00:00:00 

侵入防御してくれてるのは良いけど、どうみてもローカルのIPじゃないか・・・

ALBが悪さしてるのかと思って、AWSに問い合わせてしまったじゃないか・・・

Trend Micro様に聞いてみた

当窓口で確認できているX-Forwarded-Forヘッダを侵入防御イベントに出力する設定は、下記となります。 
 
　1.以下の侵入防御ルールが適用されている事を確認する。 
 
　　・"1006540 - Enable X-Forwarded-For HTTP Header Logging" 
 
　2.X-Forwarded-Forを出力させる侵入防御ルールのプロパティにて 
　　以下のオプションにチェックが入っている事を確認する。 
 
　　・[イベント] -> "常にパケットデータを含める" 
 

面倒だが、割り当てられている 侵入防御ルール 全てに上記を適用する必要がある。

要注意なのが設定画面のわかりづらさ。

継承してるから大丈夫なのかな？と思いきや

継承を外して、わざわざ 常にパケットデータを含める をONにしないとダメ！

ポリシーを変更したら、各コンピュータにポリシーの送信を忘れないようにしよう。

これでようやく悪さをしてるIPアドレスがわかるようになるよ。