Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure Web Application Firewall en Azure Front Door protege las aplicaciones web frente a vulnerabilidades comunes y vulnerabilidades de seguridad. Los conjuntos de reglas administrados por Azure proporcionan una forma fácil de implementar la protección frente a un conjunto común de amenazas de seguridad. Dado que Azure administra los conjuntos de reglas, las reglas se actualizan según sea necesario para proteger frente a firmas de ataque nuevas.
El conjunto de reglas predeterminado (DRS) también incluye las reglas de recopilación de Inteligencia sobre amenazas de Microsoft que se escriben en colaboración con el equipo de Inteligencia de Microsoft para proporcionar una mayor cobertura, revisiones para las vulnerabilidades específicas y una mejor reducción de los falsos positivos.
Nota:
Cuando se cambia una versión del conjunto de reglas en una directiva de WAF, las personalizaciones existentes realizadas en el conjunto de reglas se restablecerán a los valores predeterminados del nuevo conjunto de reglas. Consulte: Actualización o cambio de versión del conjunto de reglas.
Conjuntos de reglas predeterminados
El DRS administrado por Azure incluye reglas frente a las siguientes categorías de amenaza:
- Scripting entre sitios
- Ataques de Java
- Inclusión de archivos locales
- Ataques por inyección de PHP
- Ejecución de comandos remotos
- Inclusión de archivos remotos
- Fijación de sesión
- Protección contra la inyección de código SQL
- Atacantes de protocolo
El número de versión de DRS aumenta a medida que se van agregando nuevas firmas de ataque al conjunto de reglas.
DRS está habilitado de forma predeterminada en el modo de detección de las directivas de WAF. Puede deshabilitar o habilitar reglas individualmente en el DRS según las necesidades de su aplicación. También puede definir acciones específicas para cada regla. Las acciones disponibles son: Permitir, bloquear, registrar y redirigir.
A veces, es posible que tenga que omitir determinados atributos de solicitud de una evaluación del firewall de aplicaciones web (WAF). Un ejemplo común son los tokens insertados de Active Directory que se usan para la autenticación. Puede configurar una lista de exclusión para una regla administrada, un grupo de reglas o todo el conjunto de reglas. Para obtener más información, consulte Listas de exclusión de Azure Web Application Firewall en Azure Front Door.
De forma predeterminada, las versiones 2.0 y posteriores de DRS usan la puntuación de anomalías cuando una solicitud coincide con una regla. Las versiones de DRS anteriores a la 2.0 bloquean las solicitudes que desencadenan las reglas. Además, las reglas personalizadas pueden configurarse en la misma directiva del WAF si quiere omitir cualquiera de las reglas previamente configuradas en el DRS.
Las reglas personalizadas se aplican siempre antes de que se evalúen las reglas del DRS. Si una solicitud coincide con una regla personalizada, se aplica la acción de la regla correspondiente. La solicitud se bloquea o se pasa por el back-end. No se procesa ninguna otra regla personalizada ni las reglas del DRS. También puede quitar el DRS de las directivas de WAF.
Reglas de recopilación de Inteligencia sobre amenazas de Microsoft
Las reglas de recopilación de Inteligencia sobre amenazas de Microsoft se escriben en colaboración con el equipo de Inteligencia sobre amenazas de Microsoft para proporcionar una mayor cobertura, revisiones para vulnerabilidades específicas y una mejor reducción de falsos positivos.
De forma predeterminada, las reglas de recopilación de Inteligencia sobre amenazas de Microsoft reemplazan algunas de las reglas de DRS integradas, lo que hace que se deshabiliten. Por ejemplo, el identificador de regla 942440, Secuencia de comentarios SQL detectada, se ha deshabilitado y se ha reemplazado por la regla 99031002 de recopilación de Inteligencia sobre amenazas de Microsoft. La regla reemplazada reduce el riesgo de detección de falsos positivos de solicitudes legítimas.
Puntuación de anomalías
Cuando se usa DRS 2.0 o posterior, WAF usa la puntuación de anomalías. El tráfico que cumpla cualquiera de las reglas no se bloquea inmediatamente, aun cuando WAF esté en modo de prevención. En vez de ello, los conjuntos de reglas OWASP definen una gravedad para cada regla: Crítica, Error, Advertencia o Aviso. Dicha gravedad afecta a un valor numérico de la solicitud, lo que se conoce como puntuación de anomalías. Si una solicitud acumula una puntuación de anomalías de 5 o superior, el WAF toma medidas en la solicitud.
| Gravedad de las reglas | Valor de contribución a una puntuación de anomalías |
|---|---|
| Crítico | 5 |
| Error | 4 |
| Advertencia | 3 |
| Aviso | 2 |
Al configurar el WAF, puede decidir cómo controla el WAF las solicitudes que superan el umbral de puntuación de anomalías de 5. Las tres opciones de acción de puntuación de anomalías son Bloquear, Registrar o Redirigir. La acción de puntuación de anomalías que seleccione en el momento de la configuración se aplica a todas las solicitudes que superen el umbral de puntuación de anomalías.
Por ejemplo, si la puntuación de anomalía es de 5 o superior en una solicitud y el WAF está en modo de prevención con la acción de puntuación de anomalías establecida en Bloquear, la solicitud se bloquea. Si la puntuación de anomalía es 5 o superior en una solicitud y el WAF está en modo detección, la solicitud se registra pero no se bloquea.
Cumplir una única regla Crítica es suficiente para que el WAF bloquee una solicitud cuando está en modo de Prevención con la acción de puntuación de anomalía establecida en Bloquear, ya que la puntuación de anomalía general es de 5. Pero cumplir una regla de tipo Advertencia solo aumenta la puntuación de anomalías en 3, lo cual no basta per se para bloquear el tráfico. Cuando se desencadena una regla de anomalías, muestra una acción "coincidente" en los registros. Si la puntuación de anomalía es de 5 o superior, se activa una regla independiente con la acción de puntuación de anomalía configurada para el conjunto de reglas. La acción de puntuación de anomalías predeterminada es Bloquear, lo que da como resultado una entrada de registro con la acción blocked.
Cuando el WAF usa una versión anterior del conjunto de reglas predeterminado (previa a DRS 2.0), el WAF se ejecuta en el modo tradicional. donde el tráfico que coincide con una regla se considera de manera independiente de si se cumple otra regla. En el modo tradicional, no se puede ver el conjunto de reglas completo que una solicitud específica cumple.
La versión de DRS que use también determina qué tipos de contenido se admiten para inspeccionar el cuerpo de la solicitud. Para obtener más información, consulte ¿Qué tipos de contenido admite WAF en las preguntas más frecuentes?
Nivel de paranoia
Cada regla se asigna en un nivel de paranoia específico (PL). Las reglas configuradas en el nivel de Paranoia 1 (PL1) son menos agresivas y casi nunca desencadenan un falso positivo. Proporcionan seguridad de línea base con una necesidad mínima de ajuste. Se espera que las reglas de PL2 detecten más ataques, pero también que desencadenen falsos positivos, los cuales deberían afinarse.
De forma predeterminada, todas las versiones de reglas de DRS están preconfiguradas en el nivel 2 de Paranoia, incluidas las reglas asignadas tanto en PL1 como en PL2. Si desea usar WAF exclusivamente con PL1, puede deshabilitar cualquiera o todas las reglas PL2 o cambiar su acción a "log". PL3 y PL4 no se admiten actualmente en Azure WAF.
Actualización o cambio de la versión del conjunto de reglas
Si va a actualizar o asignar una nueva versión del conjunto de reglas y desea conservar las invalidaciones y exclusiones de reglas existentes, se recomienda usar PowerShell, la CLI, la API REST o una plantilla para realizar cambios en la versión del conjunto de reglas. Una nueva versión de un conjunto de reglas puede tener reglas más recientes, grupos de reglas adicionales y puede tener actualizaciones de firmas existentes para aplicar una mejor seguridad y reducir los falsos positivos. Se recomienda validar los cambios en un entorno de prueba, ajustar si es necesario e implementarlos en un entorno de producción.
Nota:
Si utiliza Azure Portal para asignar un nuevo conjunto de reglas administrado a una directiva WAF, todas las personalizaciones anteriores del conjunto de reglas administrado existente, como el estado de la regla, las acciones de la regla y las exclusiones de nivel de regla, se restablecerán a los valores predeterminados del nuevo conjunto de reglas administrado. Sin embargo, las reglas personalizadas o la configuración de directivas no se verán afectadas durante la asignación del nuevo conjunto de reglas. Deberá volver a definir las invalidaciones de regla y validar los cambios antes de implementarlos en un entorno de producción.
DRS 2.1
Las reglas de DRS 2.1 ofrecen una mejor protección que las versiones anteriores del DRS. Incluye otras reglas desarrolladas por el equipo de inteligencia sobre amenazas de Microsoft y actualizaciones de firmas para reducir falsos positivos. También admite transformaciones más allá de la descodificación de direcciones URL.
DRS 2.1 incluye 17 grupos de reglas, tal como se muestra en la tabla siguiente. Cada grupo contiene varias reglas y puede personalizar el comportamiento de reglas individuales, grupos de reglas o un conjunto de reglas completo. DRS 2.1 se basa en el conjunto de reglas básicas (CRS) 3.3.2 de Open Web Application Security Project (OWASP) e incluye reglas de protección propias adicionales desarrolladas por el equipo de Inteligencia contra amenazas Microsoft.
Para obtener más información, vea Ajuste del firewall de aplicaciones web (WAF) en Azure Front Door.
Nota:
DRS 2.1 solo está disponible en Azure Front Door Premium.
| Grupo de reglas | ruleGroupName | Descripción |
|---|---|---|
| General | General | Grupo general |
| APLICACIÓN DEL MÉTODO | CUMPLIMIENTO DE MÉTODO | Métodos de bloqueo (PUT, PATCH) |
| APLICACIÓN DE PROTOCOLOS | CUMPLIMIENTO DE PROTOCOLO | Protección contra problemas de protocolo y codificación |
| ATAQUE DE PROTOCOLO | ATAQUE DE PROTOCOLO | Protección contra ataques por inyección de encabezado, contrabando de solicitudes y división de respuestas |
| ATAQUE-DE-APLICACIONES-LFI | LFI | Protección contra ataques a archivos y rutas de acceso |
| ATAQUE-DE-APLICACIONES-RFI | RFI | Protección contra ataques por inclusión de archivos remotos (RFI) |
| ATAQUE-DE-APLICACIÓN RCE | RCE | Protección contra ataques de ejecución de código remoto |
| ATAQUE-DE-APLICACIÓN PHP | PHP | Protección contra ataques por inyección de código PHP |
| APPLICATION-ATTACK-NodeJS | NODEJS | Protección frente a ataques de Node JS |
| ATAQUE-DE-APLICACIÓN XSS | XSS | Protección contra ataques por scripts entre sitios |
| APPLICATION-ATTACK-SQLI | SQLI | Protección contra ataques por inyección de código SQL |
| FIJACIÓN-DE-SESIÓN-DE-ATAQUE-DE-APLICACIONES | ARREGLAR | Protección contra ataques por fijación de sesión |
| SESIÓN-DE-ATAQUE-DE-APLICACIÓN JAVA | Java | Protección contra ataques de JAVA |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Protección frente a ataques de shell web |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Protección frente a ataques de AppSec |
| MS-AmenazaIntel-SQLI | MS-ThreatIntel-SQLI | Protección frente a ataques de SQLI |
| MS-AmenazaIntel-CVEs | MS-ThreatIntel-CVEs | Protección frente a ataques de CVE |
Reglas deshabilitadas
Las reglas siguientes están deshabilitadas de forma predeterminada para DRS 2.1.
| Identificador de la regla | Grupo de reglas | Descripción | Detalles |
|---|---|---|---|
| 942110 | SQLI | Ataque por inyección de código SQL: Pruebas de inyección de código detectadas | Reemplazado por la regla 99031001 de MSTIC |
| 942150 | SQLI | Ataque por inyección de código SQL | Reemplazado por la regla 99031003 de MSTIC |
| 942260 | SQLI | Detecta intentos básicos de omisión de la autenticación SQL (2/3) | Reemplazado por la regla 99031004 de MSTIC |
| 942430 | SQLI | Restringe la detección de anomalías de caracteres de SQL (args): número de caracteres especiales que se han excedido (12) | Demasiados falsos positivos. |
| 942440 | SQLI | Secuencia de comentario SQL detectada | Reemplazado por la regla de 99031002 MSTIC |
| 99005006 | MS-ThreatIntel-WebShells | Intento de interacción de Spring4Shell | Habilitación de la regla para evitar la vulnerabilidad de SpringShell |
| 99001014 | MS-ThreatIntel-CVEs | Intento de inserción de expresiones de enrutamiento de Spring Cloud CVE-2022-22963 | Habilitación de la regla para evitar la vulnerabilidad de SpringShell |
| 99001015 | MS-ThreatIntel-WebShells | Intento de explotación de objetos de clase no seguros de Spring Framework CVE-2022-22965 | Habilitación de la regla para evitar la vulnerabilidad de SpringShell |
| 99001016 | MS-ThreatIntel-WebShells | Intento de inyección de accionador de Spring Cloud Gateway CVE-2022-22947 | Habilitación de la regla para evitar la vulnerabilidad de SpringShell |
| 99001017 | MS-ThreatIntel-CVEs | Intento de explotación de carga de archivos de Apache Struts CVE-2023-50164 | Habilitación de la regla para evitar la vulnerabilidad de Apache Struts |
DRS 2.0
Las reglas de DRS 2.0 ofrecen una mejor protección que las versiones anteriores del DRS. DRS 2.0 también admite transformaciones más allá de la descodificación de direcciones URL.
DRS 2.0 incluye 17 grupos de reglas, tal como se muestra en la tabla siguiente. Cada grupo contiene varias reglas. Puede deshabilitar reglas individuales y grupos de reglas completos.
Nota:
DRS 2.0 solo está disponible en Azure Front Door Premium.
| Grupo de reglas | ruleGroupName | Descripción |
|---|---|---|
| General | General | Grupo general |
| APLICACIÓN DEL MÉTODO | CUMPLIMIENTO DE MÉTODO | Métodos de bloqueo (PUT, PATCH) |
| APLICACIÓN DE PROTOCOLOS | CUMPLIMIENTO DE PROTOCOLO | Protección contra problemas de protocolo y codificación |
| ATAQUE DE PROTOCOLO | ATAQUE DE PROTOCOLO | Protección contra ataques por inyección de encabezado, contrabando de solicitudes y división de respuestas |
| ATAQUE-DE-APLICACIONES-LFI | LFI | Protección contra ataques a archivos y rutas de acceso |
| ATAQUE-DE-APLICACIONES-RFI | RFI | Protección contra ataques por inclusión de archivos remotos (RFI) |
| ATAQUE-DE-APLICACIÓN RCE | RCE | Protección contra ataques de ejecución de código remoto |
| ATAQUE-DE-APLICACIÓN PHP | PHP | Protección contra ataques por inyección de código PHP |
| APPLICATION-ATTACK-NodeJS | NODEJS | Protección frente a ataques de Node JS |
| ATAQUE-DE-APLICACIÓN XSS | XSS | Protección contra ataques por scripts entre sitios |
| APPLICATION-ATTACK-SQLI | SQLI | Protección contra ataques por inyección de código SQL |
| FIJACIÓN-DE-SESIÓN-DE-ATAQUE-DE-APLICACIONES | ARREGLAR | Protección contra ataques por fijación de sesión |
| SESIÓN-DE-ATAQUE-DE-APLICACIÓN JAVA | Java | Protección contra ataques de JAVA |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Protección frente a ataques de shell web |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Protección frente a ataques de AppSec |
| MS-AmenazaIntel-SQLI | MS-ThreatIntel-SQLI | Protección frente a ataques de SQLI |
| MS-AmenazaIntel-CVEs | MS-ThreatIntel-CVEs | Protección frente a ataques de CVE |
DRS 1.1
| Grupo de reglas | ruleGroupName | Descripción |
|---|---|---|
| ATAQUE DE PROTOCOLO | ATAQUE DE PROTOCOLO | Protección contra ataques por inyección de encabezado, contrabando de solicitudes y división de respuestas |
| ATAQUE-DE-APLICACIONES-LFI | LFI | Protección contra ataques a archivos y rutas de acceso |
| ATAQUE-DE-APLICACIONES-RFI | RFI | Protección contra ataques por inclusión de archivos remotos |
| ATAQUE-DE-APLICACIÓN RCE | RCE | Protección contra la ejecución de comandos remotos |
| ATAQUE-DE-APLICACIÓN PHP | PHP | Protección contra ataques por inyección de código PHP |
| ATAQUE-DE-APLICACIÓN XSS | XSS | Protección contra ataques por scripts entre sitios |
| APPLICATION-ATTACK-SQLI | SQLI | Protección contra ataques por inyección de código SQL |
| FIJACIÓN-DE-SESIÓN-DE-ATAQUE-DE-APLICACIONES | ARREGLAR | Protección contra ataques por fijación de sesión |
| SESIÓN-DE-ATAQUE-DE-APLICACIÓN JAVA | Java | Protección contra ataques de JAVA |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Protección frente a ataques de shell web |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Protección frente a ataques de AppSec |
| MS-AmenazaIntel-SQLI | MS-ThreatIntel-SQLI | Protección frente a ataques de SQLI |
| MS-AmenazaIntel-CVEs | MS-ThreatIntel-CVEs | Protección frente a ataques de CVE |
DRS 1.0
| Grupo de reglas | ruleGroupName | Descripción |
|---|---|---|
| ATAQUE DE PROTOCOLO | ATAQUE DE PROTOCOLO | Protección contra ataques por inyección de encabezado, contrabando de solicitudes y división de respuestas |
| ATAQUE-DE-APLICACIONES-LFI | LFI | Protección contra ataques a archivos y rutas de acceso |
| ATAQUE-DE-APLICACIONES-RFI | RFI | Protección contra ataques por inclusión de archivos remotos |
| ATAQUE-DE-APLICACIÓN RCE | RCE | Protección contra la ejecución de comandos remotos |
| ATAQUE-DE-APLICACIÓN PHP | PHP | Protección contra ataques por inyección de código PHP |
| ATAQUE-DE-APLICACIÓN XSS | XSS | Protección contra ataques por scripts entre sitios |
| APPLICATION-ATTACK-SQLI | SQLI | Protección contra ataques por inyección de código SQL |
| FIJACIÓN-DE-SESIÓN-DE-ATAQUE-DE-APLICACIONES | ARREGLAR | Protección contra ataques por fijación de sesión |
| SESIÓN-DE-ATAQUE-DE-APLICACIÓN JAVA | Java | Protección contra ataques de JAVA |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Protección frente a ataques de shell web |
| MS-AmenazaIntel-CVEs | MS-ThreatIntel-CVEs | Protección frente a ataques de CVE |
Administrador de bots 1.0
El conjunto de reglas de Bot Manager 1.0 proporciona protección contra bots malintencionados y detección de buenos bots. Las reglas proporcionan un control pormenorizado sobre los bots detectados por WAF mediante la categorización del tráfico de bots como bots buenos, maliciosos o desconocidos.
| Grupo de reglas | Descripción |
|---|---|
| Bots Malvados | Protección frente a bots defectuosos |
| GoodBots (Bots buenos) | Identificación de bots correctos |
| Bots desconocidos | Identificación de bots desconocidos |
Administrador de bots 1.1
El conjunto de reglas de Bot Manager 1.1 es una mejora del conjunto de reglas de Bot Manager 1.0. Proporciona protección mejorada contra bots malintencionados y mejora la detección de bots buenos.
| Grupo de reglas | Descripción |
|---|---|
| Bots Malvados | Protección frente a bots defectuosos |
| GoodBots (Bots buenos) | Identificación de bots correctos |
| Bots desconocidos | Identificación de bots desconocidos |
Las reglas y los grupos de reglas siguientes están disponibles cuando se usa Azure Web Application Firewall en Azure Front Door.
2.1 Conjuntos de reglas
General
| Identificador de la regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 200002 | Crítico: 5 | 1 | Error al analizar el cuerpo de la solicitud |
| 200003 | Crítico: 5 | 1 | Error de validación estricta del cuerpo de la solicitud de varias partes |
Aplicación de métodos
| Identificador de la regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 911100 | Crítico: 5 | 1 | Método no permitido por la directiva |
Cumplimiento del protocolo
| Identificador de la regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 920100 | Aviso: 2 | 1 | Línea de solicitud HTTP no válida |
| 920120 | Crítico: 5 | 1 | Intento de omisión multiparte/datos de formulario |
| 920121 | Crítico: 5 | 2 | Intento de omisión multiparte/datos de formulario |
| 920160 | Crítico: 5 | 1 | El encabezado Content-Length HTTP no es numérico |
| 920170 | Crítico: 5 | 1 | Solicitud GET o HEAD con contenido del cuerpo |
| 920171 | Crítico: 5 | 1 | GET o solicitud HEAD con codificación de transferencia |
| 920180 | Aviso: 2 | 1 | Falta el encabezado Content-Length en la solicitud POST |
| 920181 | Advertencia: 3 | 1 | Encabezados de longitud y Transfer-Encoding de contenido presentes 99001003 |
| 920190 | Advertencia: 3 | 1 | Intervalo: último valor de bytes no válido |
| 920200 | Advertencia: 3 | 2 | Intervalo: demasiados campos (6 o más). |
| 920201 | Advertencia: 3 | 2 | Intervalo: demasiados campos para solicitudes PDF (35 o más). |
| 920210 | Advertencia: 3 | 1 | Se han encontrado múltiples datos de encabezado de conexión en conflicto |
| 920220 | Advertencia: 3 | 1 | Intento de ataque de abuso de codificación de direcciones URL |
| 920230 | Advertencia: 3 | 2 | Varias codificaciones de direcciones URL detectadas |
| 920240 | Advertencia: 3 | 1 | Intento de ataque de abuso de codificación de direcciones URL |
| 920260 | Advertencia: 3 | 1 | Intento de ataque de abuso de caracteres de ancho medio y ancho completo Unicode |
| 920270 | Crítico: 5 | 1 | Carácter no válido en la solicitud (carácter nulo) |
| 920271 | Crítico: 5 | 2 | Carácter no válido en la solicitud (caracteres no imprimibles) |
| 920280 | Advertencia: 3 | 1 | Falta un encabezado host en la solicitud. |
| 920290 | Advertencia: 3 | 1 | Encabezado host vacío |
| 920300 | Aviso: 2 | 2 | Falta un encabezado de aceptación (Accept) en la solicitud. |
| 920310 | Aviso: 2 | 1 | La solicitud tiene un encabezado de aceptación (Accept) vacío. |
| 920311 | Aviso: 2 | 1 | La solicitud tiene un encabezado de aceptación (Accept) vacío. |
| 920320 | Aviso: 2 | 2 | Falta el encabezado de agente de usuario. |
| 920330 | Aviso: 2 | 1 | Encabezado de agente de usuario vacío |
| 920340 | Aviso: 2 | 1 | La solicitud tiene contenido, pero falta el encabezado Content-Type. |
| 920341 | Crítico: 5 | 2 | La solicitud que tiene contenido requiere encabezado Content-Type |
| 920350 | Advertencia: 3 | 1 | El encabezado host es una dirección IP numérica. |
| 920420 | Crítico: 5 | 1 | La directiva no permite el tipo de contenido de la solicitud |
| 920430 | Crítico: 5 | 1 | La directiva no permite la versión del protocolo HTTP |
| 920440 | Crítico: 5 | 1 | Extensión de archivo URL restringida por una directiva |
| 920450 | Crítico: 5 | 1 | Encabezado HTTP restringido por una directiva |
| 920470 | Crítico: 5 | 1 | Encabezado de tipo de contenido no válido |
| 920480 | Crítico: 5 | 1 | La directiva no permite el conjunto de caracteres de tipo de contenido de solicitud |
| 920500 | Crítico: 5 | 1 | Intento de acceder a una copia de seguridad o un archivo de trabajo |
Ataque de protocolo
| Identificador de la regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 921110 | Crítico: 5 | 1 | Ataque de contrabando de solicitudes HTTP |
| 921120 | Crítico: 5 | 1 | Ataque de división de respuestas HTTP |
| 921130 | Crítico: 5 | 1 | Ataque de división de respuestas HTTP |
| 921140 | Crítico: 5 | 1 | Ataque por inyección de encabezado HTTP a través de encabezados |
| 921150 | Crítico: 5 | 1 | Ataque por inyección de encabezado HTTP a través de la carga (Retorno de carro / Avance de línea detectado) |
| 921151 | Crítico: 5 | 2 | Ataque por inyección de encabezado HTTP a través de la carga (Retorno de carro / Avance de línea detectado) |
| 921160 | Crítico: 5 | 1 | Ataque por inyección de encabezado HTTP a través de la carga (Retorno de carro/Avance de línea y header-name detectados) |
| 921190 | Crítico: 5 | 1 | División HTTP (CR/LF en el nombre de archivo de solicitud detectado) |
| 921200 | Crítico: 5 | 1 | Ataque por inyección de LDAP |
LFI: inclusión de archivos locales
| Identificador de la regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 930100 | Crítico: 5 | 1 | Ataque punto punto barra (/.. /) |
| 930110 | Crítico: 5 | 1 | Ataque punto punto barra (/.. /) |
| 930120 | Crítico: 5 | 1 | Intento de acceso a archivo del sistema operativo |
| 930130 | Crítico: 5 | 1 | Intento de acceso a archivo restringido |
RFI: inclusión de archivos remotos
| Identificador de la regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 931100 | Crítico: 5 | 1 | Posible ataque remoto de inclusión de archivos (RFI): el parámetro de dirección URL utiliza una dirección IP |
| 931110 | Crítico: 5 | 1 | Posible ataque remoto de inclusión de archivos (RFI): nombre de parámetro vulnerable de RFI común utilizado con carga de dirección URL |
| 931120 | Crítico: 5 | 1 | Posible ataque remoto de inclusión de archivos (RFI): carga de dirección URL utilizada con carácter de interrogación de cierre (?) |
| 931130 | Crítico: 5 | 2 | Posible ataque remoto de inclusión de archivos [RFI]: Referencia o vínculo fuera del dominio |
RCE: ejecución de comandos remotos
| Identificador de la regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 932100 | Crítico: 5 | 1 | Ejecución de comandos remotos: Inyección de comandos Unix |
| 932105 | Crítico: 5 | 1 | Ejecución de comandos remotos: Inyección de comandos Unix |
| 932110 | Crítico: 5 | 1 | Ejecución de comandos remotos: Inyección de comando de Windows |
| 932115 | Crítico: 5 | 1 | Ejecución de comandos remotos: Inyección de comando de Windows |
| 932120 | Crítico: 5 | 1 | Ejecución de comandos remotos: comando de Windows PowerShell encontrado |
| 932130 | Crítico: 5 | 1 | Ejecución remota de comandos: expresión de shell de Unix o vulnerabilidad de Confluence (CVE-2022-26134) encontrada |
| 932140 | Crítico: 5 | 1 | Ejecución de comandos remotos: comando FOR/IF de Windows encontrado |
| 932150 | Crítico: 5 | 1 | Ejecución de comandos remotos: Ejecución directa de comandos de Unix |
| 932160 | Crítico: 5 | 1 | Ejecución de comandos remotos: código de shell de Unix encontrado |
| 932170 | Crítico: 5 | 1 | Ejecución de comandos remotos: Shellshock (CVE-2014-6271) |
| 932171 | Crítico: 5 | 1 | Ejecución de comandos remotos: Shellshock (CVE-2014-6271) |
| 932180 | Crítico: 5 | 1 | Intento de acceso a archivo restringido |
Ataques PHP
| Identificador de la regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 933100 | Crítico: 5 | 1 | Ataque por inyección en PHP: etiqueta de apertura o cierre encontrada |
| 933110 | Crítico: 5 | 1 | Ataque por inyección en PHP: Carga de archivos de script PHP encontrada |
| 933120 | Crítico: 5 | 1 | Ataque por inyección en PHP: directiva de configuración encontrada |
| 933130 | Crítico: 5 | 1 | Ataque por inyección en PHP: Variables encontradas |
| 933140 | Crítico: 5 | 1 | Ataque por inyección en PHP: Flujo de E/S encontrado |
| 933150 | Crítico: 5 | 1 | Ataque por inyección en PHP: nombre de función de PHP de alto riesgo encontrado |
| 933151 | Crítico: 5 | 2 | Ataque por inyección en PHP: Se encontró un nombre de función PHP de riesgo medio |
| 933160 | Crítico: 5 | 1 | Ataque por inyección en PHP: llamada de función de PHP de alto riesgo encontrada |
| 933170 | Crítico: 5 | 1 | Ataque por inyección en PHP: Inyección de objetos serializados |
| 933180 | Crítico: 5 | 1 | Ataque por inyección en PHP: llamada de función de variable encontrada |
| 933200 | Crítico: 5 | 1 | Ataque por inyección de PHP: esquema contenedor |
| 933210 | Crítico: 5 | 1 | Ataque por inyección en PHP: llamada de función de variable encontrada |
Ataques de Node JS
| Identificador de la regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 934100 | Crítico: 5 | 1 | Ataque por inyección de Node.js |
XSS: scripting entre sitios
| Identificador de la regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 941100 | Crítico: 5 | 1 | Ataque XSS detectado mediante libinjection |
| 941101 | Crítico: 5 | 2 | Ataque XSS detectado mediante libinjection La regla detecta solicitudes con un encabezado Referer. |
| 941110 | Crítico: 5 | 1 | Filtro XSS - Categoría 1: vector de etiqueta de script |
| 941120 | Crítico: 5 | 1 | Filtro XSS - Categoría 2: vector del controlador de eventos |
| 941130 | Crítico: 5 | 1 | Filtro XSS - Categoría 3: vector de atributo |
| 941140 | Crítico: 5 | 1 | Filtro XSS - Categoría 4: vector URI de JavaScript |
| 941150 | Crítico: 5 | 2 | Filtro XSS - Categoría 5: atributos HTML no permitidos |
| 941160 | Crítico: 5 | 1 | NoScript XSS InjectionChecker: Inyección HTML |
| 941170 | Crítico: 5 | 1 | NoScript XSS InjectionChecker: Inyección de atributo |
| 941180 | Crítico: 5 | 1 | Palabras clave de lista de bloqueados de node-validator |
| 941190 | Crítico: 5 | 1 | XSS mediante hojas de estilos |
| 941200 | Crítico: 5 | 1 | XSS mediante fotogramas VML |
| 941210 | Crítico: 5 | 1 | XSS mediante JavaScript ofuscado |
| 941220 | Crítico: 5 | 1 | XSS mediante VBScript ofuscado |
| 941230 | Crítico: 5 | 1 | XSS mediante la etiqueta embed |
| 941240 | Crítico: 5 | 1 | XSS mediante el atributo import o implementation |
| 941250 | Crítico: 5 | 1 | Filtros XSS de IE: ataque detectado |
| 941260 | Crítico: 5 | 1 | XSS mediante la etiqueta meta |
| 941270 | Crítico: 5 | 1 | XSS mediante el href link |
| 941280 | Crítico: 5 | 1 | XSS mediante la etiqueta base |
| 941290 | Crítico: 5 | 1 | XSS mediante la etiqueta applet |
| 941300 | Crítico: 5 | 1 | XSS mediante la etiqueta object |
| 941310 | Crítico: 5 | 1 | Filtro XSS de codificación con formato incorrecto US-ASCII: ataque detectado |
| 941320 | Crítico: 5 | 2 | Posible ataque XSS detectado: controlador de etiquetas HTML |
| 941330 | Crítico: 5 | 2 | Filtros XSS de IE: ataque detectado |
| 941340 | Crítico: 5 | 2 | Filtros XSS de IE: ataque detectado |
| 941350 | Crítico: 5 | 1 | XSS de IE con codificación UTF-7: ataque detectado |
| 941360 | Crítico: 5 | 1 | Ofuscación de JavaScript detectada |
| 941370 | Crítico: 5 | 1 | Variable global de JavaScript encontrada |
| 941380 | Crítico: 5 | 2 | Inserción de plantillas del lado cliente de AngularJS detectada |
SQLI: inyección de código SQL
| Identificador de la regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 942100 | Crítico: 5 | 1 | Ataque por inyección de código SQL detectado mediante libinjection |
| 942110 | Advertencia: 3 | 2 | Ataque por inyección de código SQL: Pruebas de inyección de código detectadas |
| 942120 | Crítico: 5 | 2 | Ataque por inyección de código SQL: Se detectó un operador SQL |
| 942140 | Crítico: 5 | 1 | Ataque por inyección de código SQL: nombres de base de datos comunes detectados |
| 942150 | Crítico: 5 | 2 | Ataque por inyección de código SQL |
| 942160 | Crítico: 5 | 1 | Detecta pruebas SQLI ciegas mediante sleep() o benchmark() |
| 942170 | Crítico: 5 | 1 | Detección de intentos de inyección con las funciones benchmark y sleep que incluyen consultas condicionales |
| 942180 | Crítico: 5 | 2 | Detecta intentos básicos de omisión de la autenticación SQL 1/3 |
| 942190 | Crítico: 5 | 1 | Detecta la ejecución de código MSSQL y los intentos de recopilación de información |
| 942200 | Crítico: 5 | 2 | Detecta inyecciones de código MySQL cuyo espacio o comentarios resultan confusos y terminaciones con el carácter de acento grave |
| 942210 | Crítico: 5 | 2 | Detecta los intentos de inyección de SQL encadenado 1/2 |
| 942220 | Crítico: 5 | 1 | En busca de ataques de desbordamiento de enteros; estos se toman de skipfish, excepto 3.0.00738585072007e-308, que es el bloqueo de "número mágico". |
| 942230 | Crítico: 5 | 1 | Detección de intentos de inyección de código SQL condicionales |
| 942240 | Crítico: 5 | 1 | Detecta el modificador de los juegos de caracteres de MySQL y los intentos de DoS MSSQL |
| 942250 | Crítico: 5 | 1 | Detecta la coincidencia, la combinación y la ejecución de inyecciones inmediatas |
| 942260 | Crítico: 5 | 2 | Detecta intentos básicos de omisión de la autenticación SQL (2/3) |
| 942270 | Crítico: 5 | 1 | Búsqueda de inyección de código SQL básico. Cadena de ataque común para MySQL, Oracle y otros |
| 942280 | Crítico: 5 | 1 | Detecta la inyección de pg_sleep de Postgres, los ataques de espera por retraso y los intentos de cierre de base de datos |
| 942290 | Crítico: 5 | 1 | Búsqueda de intentos de inyección de código SQL MongoDB básico |
| 942300 | Crítico: 5 | 2 | Detecta comentarios, condiciones e inyecciones de caracteres de MySQL. |
| 942310 | Crítico: 5 | 2 | Detecta los intentos de inyección de SQL encadenado 2/2 |
| 942320 | Crítico: 5 | 1 | Detección de inyecciones de funciones o procedimientos almacenados de MySQL y PostgreSQL |
| 942330 | Crítico: 5 | 2 | Detecta sondeos clásicos de inyección de código SQL (1/2) |
| 942340 | Crítico: 5 | 2 | Detecta intentos básicos de omisión de la autenticación SQL (3/3) |
| 942350 | Crítico: 5 | 1 | Detección de intentos de inyección de UDF MySQL y otras manipulaciones de datos o estructuras |
| 942360 | Crítico: 5 | 1 | Detecta intentos concatenados de SQLLFI e inyecciones de código SQL básicas |
| 942361 | Crítico: 5 | 2 | Detecta la inyección de SQL básica basada en la palabra clave alter o union |
| 942370 | Crítico: 5 | 2 | Detecta sondeos clásicos de inyección de código SQL (2/2) |
| 942380 | Crítico: 5 | 2 | Ataque por inyección de código SQL |
| 942390 | Crítico: 5 | 2 | Ataque por inyección de código SQL |
| 942400 | Crítico: 5 | 2 | Ataque por inyección de código SQL |
| 942410 | Crítico: 5 | 2 | Ataque por inyección de código SQL |
| 942430 | Advertencia: 3 | 2 | Restringe la detección de anomalías de caracteres de SQL (args): número de caracteres especiales que se han excedido (12) |
| 942440 | Crítico: 5 | 2 | Secuencia de comentario SQL detectada |
| 942450 | Crítico: 5 | 2 | Codificación hexadecimal de SQL identificada |
| 942470 | Crítico: 5 | 2 | Ataque por inyección de código SQL |
| 942480 | Crítico: 5 | 2 | Ataque por inyección de código SQL |
| 942500 | Crítico: 5 | 1 | Se detectó un comentario en línea de MySQL |
| 942510 | Crítico: 5 | 2 | Intento de omisión de SQLI por tics o marcas de seguridad detectado |
Fijación de sesión
| Identificador de la regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 943100 | Crítico: 5 | 1 | Posible ataque de fijación de sesión: definición de valores de cookies en HTML |
| 943110 | Crítico: 5 | 1 | Posible ataque de fijación de sesión: nombre del parámetro SessionID con origen de referencia fuera del dominio |
| 943120 | Crítico: 5 | 1 | Posible ataque de fijación de sesión: nombre del parámetro SessionID con origen de referencia fuera del dominio |
Ataques de Java
| Identificador de la regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 944100 | Crítico: 5 | 1 | Ejecución remota de comandos: Apache Struts, Oracle WebLogic |
| 944110 | Crítico: 5 | 1 | Detecta la ejecución de la carga útil potencial. |
| 944120 | Crítico: 5 | 1 | Ejecución de la carga posible y ejecución de comandos remotos |
| 944130 | Crítico: 5 | 1 | Clases de Java sospechosas |
| 944200 | Crítico: 5 | 2 | Aprovechamiento de la deserialización de Java Apache Commons |
| 944210 | Crítico: 5 | 2 | Posible uso de la serialización de Java |
| 944240 | Crítico: 5 | 2 | Ejecución remota de comandos: vulnerabilidad de Log4j y serialización de Java (CVE-2021-44228, CVE-2021-45046) |
| 944250 | Crítico: 5 | 2 | Ejecución remota de comandos: se detectó un método de Java sospechoso |
MS-ThreatIntel-WebShells
| Identificador de la regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 99005002 | Crítico: 5 | 2 | Intento de interacción del shell web (POST) |
| 99005003 | Crítico: 5 | 2 | Intento de carga de shell web (POST): CHOPPER PHP |
| 99005004 | Crítico: 5 | 2 | Intento de carga de shell web (POST): CHOPPER ASPX |
| 99005005 | Crítico: 5 | 2 | Intento de interacción del shell web |
| 99005006 | Crítico: 5 | 2 | Intento de interacción de Spring4Shell |
MS-ThreatIntel-AppSec
| Identificador de la regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 99030001 | Crítico: 5 | 2 | Evasión transversal de ruta de acceso en encabezados (/.././../) |
| 99030002 | Crítico: 5 | 2 | Evasión transversal de ruta de acceso en el cuerpo de la solicitud (/.././../) |
MS-ThreatIntel-SQLI
| Identificador de la regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 99031001 | Advertencia: 3 | 2 | Ataque por inyección de código SQL: Pruebas de inyección de código detectadas |
| 99031002 | Crítico: 5 | 2 | Secuencia de comentario SQL detectada |
| 99031003 | Crítico: 5 | 2 | Ataque por inyección de código SQL |
| 99031004 | Crítico: 5 | 2 | Detecta intentos básicos de omisión de la autenticación SQL (2/3) |
MS-ThreatIntel-CVEs
| Identificador de la regla | Gravedad de puntuación de anomalías | Nivel de paranoia | Descripción |
|---|---|---|---|
| 99001001 | Crítico: 5 | 2 | Intento de explotación de la API de REST F5 tmui (CVE-2020-5902) con credenciales conocidas |
| 99001002 | Crítico: 5 | 2 | Intento de recorrido de directorio de Citrix NSC_USER CVE-2019-19781 |
| 99001003 | Crítico: 5 | 2 | Intento de explotación del conector de widgets de Confluence atlassian CVE-2019-3396 |
| 99001004 | Crítico: 5 | 2 | Intento de explotación de plantillas personalizadas de Pulse Secure CVE-2020-8243 |
| 99001005 | Crítico: 5 | 2 | Intento de explotación del convertidor de tipos de SharePoint CVE-2020-0932 |
| 99001006 | Crítico: 5 | 2 | Intento de recorrido de directorio de Pulse Connect CVE-2019-11510 |
| 99001007 | Crítico: 5 | 2 | Intento de inclusión de archivos locales J-Web de Junos OS CVE-2020-1631 |
| 99001008 | Crítico: 5 | 2 | Intento de recorrido de ruta de Fortinet CVE-2018-13379 |
| 99001009 | Crítico: 5 | 2 | Intento de inyección de ognl de Apache struts CVE-2017-5638 |
| 99001010 | Crítico: 5 | 2 | Intento de inyección de ognl de Apache struts CVE-2017-12611 |
| 99001011 | Crítico: 5 | 2 | Intento de recorrido de ruta de acceso de Oracle WebLogic CVE-2020-14882 |
| 99001012 | Crítico: 5 | 2 | Intento de explotación de deserialización no segura de Telerik WebUI CVE-2019-18935 |
| 99001013 | Crítico: 5 | 2 | Intento de deserialización XML no segura de SharePoint CVE-2019-0604 |
| 99001014 | Crítico: 5 | 2 | Intento de inserción de expresiones de enrutamiento de Spring Cloud CVE-2022-22963 |
| 99001015 | Crítico: 5 | 2 | Intento de explotación de objetos de clase no seguros de Spring Framework CVE-2022-22965 |
| 99001016 | Crítico: 5 | 2 | Intento de inyección de accionador de Spring Cloud Gateway CVE-2022-22947 |
| 99001017 | Crítico: 5 | 2 | Intento de explotación de carga de archivos de Apache Struts CVE-2023-50164 |
Nota:
Al revisar los registros de WAF, es posible que vea el identificador de regla 949110. En la descripción de la regla podría leerse que se ha excedido la puntuación de anomalías entrante.
Esto indica que la puntuación total de anomalías de la solicitud ha superado la puntuación máxima permitida. Para obtener más información, vea Puntuación de anomalías.
Al afinar las directivas de WAF, debe investigar las demás reglas que la solicitud desencadenó para poder ajustar la configuración de WAF. Para obtener más información, consulte Ajuste de Azure Web Application Firewall para Azure Front Door.