Azure Front Door 上の Azure Web Application Firewall は、Web アプリケーションを一般的な脆弱性や悪用から保護します。 Azure で管理される規則セットでは、一般的なセキュリティ脅威のセットに対する保護をデプロイする簡単な方法が提供されます。 Azure がこれらのルール セットを管理するので、ルールは、新しい攻撃シグネチャから保護するために必要に応じて更新されます。
また、既定のルール セット (DRS) には、Microsoft 脅威インテリジェンスの収集規則が含まれます。これは、Microsoft インテリジェンス チームと協力して作成されており、カバレッジの向上、特定の脆弱性に対するパッチ、擬陽性削減の向上を実現するものです。
注
WAF ポリシーでルールセットのバージョンが変更されると、ルールセットに対して行った既存のカスタマイズはすべて、新しいルールセットの既定値にリセットされます。 「ルールセットのバージョンのアップグレードまたは変更」を参照してください。
既定の規則セット
Azure のマネージド DRS には、次の脅威カテゴリに対するルールが含まれます:
- クロスサイト スクリプティング
- Java 攻撃
- ローカル ファイル インクルージョン
- PHP インジェクション攻撃
- リモート コマンド実行
- リモート ファイル インクルージョン
- セッション固定
- SQL インジェクションからの保護
- プロトコル攻撃者
DRS のバージョン番号は、新しい攻撃シグネチャが規則セットに追加されると増分されます。
WAF ポリシーの検出モードでは、DRS が既定で有効になります。 ご自分のアプリケーション要件に合わせて、DRS 内のルールを個別に有効または無効にすることができます。 また、規則ごとに特定のアクションを設定することもできます。 使用できるアクションは許可、ブロック、ログ、リダイレクトです。
場合によっては、Web アプリケーション ファイアウォール (WAF) の評価から特定の要求属性を省略する必要があります。 一般的な例として、認証に使用される、Active Directory で挿入されたトークンが挙げられます。 管理下にあるルールやルール グループに対する除外リスト、またはルール セット全体に対する除外リストを構成することができます。 詳細については、「Azure Front Door の Azure Web Application Firewall」をご覧ください。
既定では、DRS バージョン 2.0 以降では、要求がルールと一致するときに異常スコアリングが使用されます。 2.0 より前の DRS バージョンでは、ルールをトリガーする要求がブロックされます。 また、DRS 内の事前構成済みのルールのいずれかをバイパスしたい場合は、同じ WAF ポリシーでカスタム ルールを構成できます。
カスタム ルールは常に、DRS 内のルールが評価される前に適用されます。 要求がカスタム規則に一致した場合、対応する規則のアクションが適用されます。 要求はブロックされるか、バックエンドに渡されます。 他のカスタム ルールや DRS 内のルールは処理されません。 DRS を WAF ポリシーから削除することもできます。
Microsoft 脅威インテリジェンスの収集規則
Microsoft 脅威インテリジェンスの収集規則は、Microsoft 脅威インテリジェンス チームと協力して作成されており、カバレッジの向上、特定の脆弱性に対するパッチ、擬陽性削減の向上が実現されます。
既定では、組み込みの DRS ルールの一部が Microsoft Threat Intelligence Collection ルールによって置き換えられ、無効になります。 たとえば、ルール ID 942440、「SQL コメント シーケンスが検出されました。」は無効になっており、Microsoft Threat Intelligence Collection ルール 99031002 に置き換えられました。 置き換えられたルールにより、正当な要求の誤検知のリスクが軽減されます。
異常スコアリング
DRS 2.0 以降を使う場合、WAF には "異常スコアリング" が使われます。 WAF が防止モードであっても、いずれかの規則に一致するトラフィックはすぐにはブロックされません。 その代わり、OWASP 規則セットには、各規則に対して "重大"、"エラー"、"警告"、"注意" のいずれかの重大度が定義されています。 その重大度は、"異常スコア" という要求の数値に影響します。 要求に 5 以上の異常スコアが蓄積された場合、WAF は要求に対してアクションを実行します。
| ルールの重要度 | 異常スコアに寄与する値 |
|---|---|
| 危うい | 5 |
| エラー | 4 |
| 警告 | 3 |
| 注意事項 | 2 |
WAF を構成するときに、異常スコアのしきい値 5 を超える要求を WAF で処理する方法を決定できます。 3 つの異常スコア アクション オプションは、ブロック、ログ、またはリダイレクトです。 構成時に選択した異常スコア アクションは、異常スコアのしきい値を超えるすべての要求に適用されます。
たとえば、要求の異常スコアが 5 以上で、WAF が防止モードで、異常スコア アクションがブロックに設定されている場合、要求はブロックされます。 要求の異常スコアが 5 以上で、WAF が検出モードになっている場合、要求はログに記録されますが、ブロックされません。
防止モードで、異常スコア アクションがブロックに設定されている場合、1 つの 重大ルールが一致しただけでも、全体の異常スコアは 5 になるので、WAF によって要求はブロックされます。 一方、1 つの "警告" 規則が一致した場合、異常スコアの増加は 3 のみです。これだけではトラフィックはブロックされません。 異常ルールがトリガーされると、ログには "Matched" アクションが示されます。 異常スコアが 5 以上の場合、ルール セットに設定された異常スコア アクションでトリガーされる別のルールがあります。 既定の異常スコア アクションは "ブロック" で、その結果、アクション blocked を含むログ エントリが作成されます。
WAF が (DRS 2.0 より前の) 旧バージョンの既定のルールセットを使っている場合、WAF は従来のモードで実行されます。 いずれかの規則に一致するトラフィックが、他の規則の一致とは無関係に考慮されます。 従来のモードでは、特定の要求が一致した規則の完全なセットを確認できません。
使う DRS バージョンによって、要求本文の検査でサポートされるコンテンツ タイプも決まります。 詳細については、FAQ で WAF でサポートされるコンテンツ タイプ を参照してください。
パラノイア レベル
各ルールは、特定のパラノイア レベル (PL) で割り当てられます。 パラノイア レベル 1 (PL1) で構成されたルールは攻撃的でなく、誤検知を引き起こすことはほとんどありません。 これらは、微調整の必要性を最小限に抑えてベースライン セキュリティを提供します。 PL2 のルールは、より多くの攻撃を検出しますが、微調整する必要がある誤検知をトリガーすることが期待されます。
既定では、PL1 と PL2 の両方で割り当てられたルールを含め、すべての DRS ルール バージョンが Paranoia レベル 2 で事前に構成されています。 WAF を PL1 のみで使用する場合は、PL2 ルールの一部またはすべてを無効にするか、アクションを "log" に変更できます。 現在、PL3 と PL4 は Azure WAF ではサポートされていません。
ルールセットのバージョンのアップグレードまたは変更
新しいルールセットバージョンをアップグレードまたは割り当て、既存のルールのオーバーライドと除外を保持する場合は、PowerShell、CLI、REST API、またはテンプレートを使用してルールセットのバージョンを変更することをお勧めします。 新しいバージョンのルールセットには、新しいルール、追加のルール グループを含めることができます。また、セキュリティを強化し、誤検知を減らすために既存の署名を更新することもできます。 テスト環境での変更を検証し、必要に応じて微調整してから、運用環境にデプロイすることをお勧めします。
注
Azure portal を使用して新しいマネージド ルールセットを WAF ポリシーに割り当てる場合、ルールの状態、ルール アクション、ルール レベルの除外など、既存のマネージド ルールセットの以前のカスタマイズはすべて、新しいマネージド ルールセットの既定値にリセットされます。 ただし、カスタム ルールやポリシー設定は、新しいルールセットの割り当て中に影響を受けないまま維持されます。 運用環境にデプロイする前に、ルールのオーバーライドを再定義し、変更を検証する必要があります。
DRS 2.1
DRS 2.1 の規則は、以前のバージョンの DRS よりも優れた保護を実現します。 これには、Microsoft 脅威インテリジェンス チームによって開発されたルールと、誤検知を減らすための署名の更新が含まれます。 また、URL デコード以外の変換もサポートしています。
次の表に示すように、DRS 2.1 には 17 個の規則グループが含まれています。 各グループには複数のルールが含まれており、個々のルール、ルール グループ、またはルール セット全体の動作をカスタマイズできます。 DRS 2.1 は、Open Web Application Security Project (OWASP) のコア ルール セット (CRS) 3.3.2 からベースライン化されており、Microsoft 脅威インテリジェンス チームによって開発された追加の独自の保護ルールが含まれています。
詳細については、「Azure Front Door 用に Web Application Firewall (WAF) を調整する」を参照してください。
注
DRS 2.1 は、Azure Front Door Premium でのみ利用できます。
| 規則グループ | ruleGroupName | 説明 |
|---|---|---|
| 全般 | 全般 | 一般グループ |
| METHOD-ENFORCEMENT | メソッド強制 | メソッド (PUT、PATCH) をロックダウンします |
| プロトコル実施 | プロトコル強制 | プロトコルとエンコーディングの問題から保護します |
| プロトコル攻撃 | プロトコル攻撃 | ヘッダー インジェクション、要求スマグリング、応答分割から保護します |
| APPLICATION-ATTACK-LFI | LFI | ファイル攻撃やパス攻撃から保護します |
| APPLICATION-ATTACK-RFI | RFI | リモート ファイル インクルージョン (RFI) 攻撃から保護します |
| APPLICATION-ATTACK-RCE | RCE | リモート コード実行攻撃から保護します |
| APPLICATION-ATTACK-PHP | PHP | PHP インジェクション攻撃から保護します |
| アプリケーション攻撃-NodeJS | ノード・ジェイエス | Node JS 攻撃から保護します |
| APPLICATION-ATTACK-XSS | XSS | クロスサイト スクリプティング攻撃から保護します |
| APPLICATION-ATTACK-SQLI | SQLI | SQL インジェクション攻撃から保護します |
| アプリケーション攻撃セッション固定化 | FIX | セッション固定攻撃から保護します |
| アプリケーション攻撃セッション-JAVA | ジャワ | Java 攻撃から保護します |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Web シェル攻撃から保護します |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | AppSec 攻撃から保護します |
| MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | SQLI 攻撃から保護します |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | CVE 攻撃から保護します |
無効化された規則
DRS 2.1 では、次の規則が既定で無効になっています。
| ルール ID | 規則グループ | 説明 | 詳細 |
|---|---|---|---|
| 942110 | SQLI | SQL インジェクション攻撃:一般的なインジェクション テストが検出されました | MSTIC 規則 99031001 に置き換えられました |
| 942150 | SQLI | SQL インジェクション攻撃 | MSTIC 規則 99031003 に置き換えられました |
| 942260 | SQLI | 基本的な SQL 認証のバイパスの試行 2/3 を検出します | MSTIC 規則 99031004 に置き換えられました |
| 942430 | SQLI | 制限された SQL 文字の異常検出 (引数): 特殊文字数が超過しました (12) | 誤検出が多すぎる。 |
| 942440 | SQLI | SQL コメント シーケンスが検出されました | MSTIC 規則 99031002 に置き換えられました |
| 99005006 | MS-ThreatIntel-WebShells | Spring4Shell 相互作用の試行 | SpringShell の脆弱性を防ぐルールを有効にします |
| 99001014 | MS-ThreatIntel-CVEs | Spring Cloud ルーティング式インジェクション CVE-2022-22963 が試みられました | SpringShell の脆弱性を防ぐルールを有効にします |
| 99001015 | MS-ThreatIntel-WebShells | Spring Framework の安全でないクラス オブジェクトの悪用 CVE-2022-22965 が試みられました | SpringShell の脆弱性を防ぐルールを有効にします |
| 99001016 | MS-ThreatIntel-WebShells | Spring Cloud Gateway Actuator インジェクション CVE-2022-22947 が試みられました | SpringShell の脆弱性を防ぐルールを有効にします |
| 99001017 | MS-ThreatIntel-CVEs | Apache Struts ファイル アップロードの悪用が試みられました CVE-2023-50164 | Apache のストラットの脆弱性を防ぐルールを有効にする |
DRS 2.0
DRS 2.0 の規則は、以前のバージョンの DRS よりも優れた保護を実現します。 DRS 2.0 では、URL デコード以外の変換もサポートしています。
次の表に示すように、DRS 2.0 には 17 個の規則グループが含まれています。 各グループには、複数のルールが含まれています。 個々のルールとルール グループ全体を無効にすることができます。
注
DRS 2.0 は、Azure Front Door Premium でのみ利用できます。
| 規則グループ | ruleGroupName | 説明 |
|---|---|---|
| 全般 | 全般 | 一般グループ |
| METHOD-ENFORCEMENT | メソッド強制 | メソッド (PUT、PATCH) をロックダウンします |
| プロトコルの施行 | プロトコル強制 | プロトコルとエンコーディングの問題から保護します |
| プロトコル攻撃 | プロトコル攻撃 | ヘッダー インジェクション、要求スマグリング、応答分割から保護します |
| APPLICATION-ATTACK-LFI | LFI | ファイル攻撃やパス攻撃から保護します |
| APPLICATION-ATTACK-RFI | RFI | リモート ファイル インクルージョン (RFI) 攻撃から保護します |
| APPLICATION-ATTACK-RCE | RCE | リモート コード実行攻撃から保護します |
| APPLICATION-ATTACK-PHP | PHP | PHP インジェクション攻撃から保護します |
| APPLICATION-ATTACK-NodeJS | NODEJS | Node JS 攻撃から保護します |
| APPLICATION-ATTACK-XSS | XSS | クロスサイト スクリプティング攻撃から保護します |
| APPLICATION-ATTACK-SQLI | SQLI | SQL インジェクション攻撃から保護します |
| APPLICATION-ATTACK-SESSION-FIXATION | FIX | セッション固定攻撃から保護します |
| APPLICATION-ATTACK-SESSION-JAVA | ジャワ | Java 攻撃から保護します |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Web シェル攻撃から保護します |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | AppSec 攻撃から保護します |
| MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | SQLI 攻撃から保護します |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | CVE 攻撃から保護します |
DRS 1.1
| 規則グループ | ruleGroupName | 説明 |
|---|---|---|
| プロトコル攻撃 | プロトコル攻撃 | ヘッダー インジェクション、要求スマグリング、応答分割から保護します |
| APPLICATION-ATTACK-LFI | LFI | ファイル攻撃やパス攻撃から保護します |
| APPLICATION-ATTACK-RFI | RFI | リモート ファイル インクルージョン攻撃から保護します |
| APPLICATION-ATTACK-RCE | RCE | リモート コマンド実行から保護します |
| APPLICATION-ATTACK-PHP | PHP | PHP インジェクション攻撃から保護します |
| APPLICATION-ATTACK-XSS | XSS | クロスサイト スクリプティング攻撃から保護します |
| APPLICATION-ATTACK-SQLI | SQLI | SQL インジェクション攻撃から保護します |
| APPLICATION-ATTACK-SESSION-FIXATION | FIX | セッション固定攻撃から保護します |
| アプリケーション攻撃セッション-JAVA | ジャワ | Java 攻撃から保護します |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Web シェル攻撃から保護します |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | AppSec 攻撃から保護します |
| MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | SQLI 攻撃から保護します |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | CVE 攻撃から保護します |
DRS 1.0
| 規則グループ | ruleGroupName | 説明 |
|---|---|---|
| プロトコル攻撃 | プロトコル攻撃 | ヘッダー インジェクション、要求スマグリング、応答分割から保護します |
| APPLICATION-ATTACK-LFI | LFI | ファイル攻撃やパス攻撃から保護します |
| APPLICATION-ATTACK-RFI | RFI | リモート ファイル インクルージョン攻撃から保護します |
| APPLICATION-ATTACK-RCE | RCE | リモート コマンド実行から保護します |
| APPLICATION-ATTACK-PHP | PHP | PHP インジェクション攻撃から保護します |
| APPLICATION-ATTACK-XSS | XSS | クロスサイト スクリプティング攻撃から保護します |
| APPLICATION-ATTACK-SQLI | SQLI | SQL インジェクション攻撃から保護します |
| アプリケーション攻撃 - セッション固定化 | FIX | セッション固定攻撃から保護します |
| アプリケーション攻撃セッション-JAVA | ジャワ | Java 攻撃から保護します |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Web シェル攻撃から保護します |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | CVE 攻撃から保護します |
Bot Manager 1.0
Bot Manager 1.0 ルール セットでは、悪意のあるボットに対する保護を行い、良いボットを検出します。 これらのルールを利用して、ボット トラフィックを Good (良い)、Bad (悪い)、Unknown (不明) のボットとして分類して、WAF によって検出されたボットをきめ細かく制御できます。
| 規則グループ | 説明 |
|---|---|
| BadBots | 問題のあるボットから保護します |
| GoodBots | 問題のないボットを識別します |
| UnknownBots | 不明なボットを識別します |
Bot Manager 1.1
Bot Manager 1.1 ルール セットは、Bot Manager 1.0 ルール セットを改良したものです。 悪意のあるボットに対する保護が強化され、良いボットの検出が向上しています。
| 規則グループ | 説明 |
|---|---|
| BadBots | 問題のあるボットから保護します |
| GoodBots | 問題のないボットを識別します |
| UnknownBots | 不明なボットを識別します |
次のルール グループとルールは、Azure Front Door で Web Application Firewall を使用するときに利用できます。
2.1 の規則セット
全般
| ルール ID | 異常スコアの重大度 | パラノイア レベル | 説明 |
|---|---|---|---|
| 200002 | 重大 - 5 | 1 | 要求本文を解析できませんでした |
| 200003 | 重大 - 5 | 1 | マルチパートの要求本文が厳密な検証に失敗しました。 |
メソッドの適用
| ルール ID | 異常スコアの重大度 | パラノイア レベル | 説明 |
|---|---|---|---|
| 911100 | 緊急 - 5 | 1 | メソッドがポリシーによって許可されていません |
プロトコル強制
| ルール ID | 異常スコアの重大度 | パラノイア レベル | 説明 |
|---|---|---|---|
| 920100 | 通知 - 2 | 1 | 無効な HTTP 要求行 |
| 920120 | 重大 - 5 | 1 | マルチパート/フォームデータのバイパスを試行しました |
| 920121 | 重大 - 5 | 2 | マルチパート/フォームデータのバイパスを試行しました |
| 920160 | 重大 - 5 | 1 | Content-Length HTTP ヘッダーが数値ではありません |
| 920170 | 重大 - 5 | 1 | 本文コンテンツがある GET または HEAD 要求 |
| 920171 | 重大 - 5 | 1 | Transfer-Encoding を使用した GET または HEAD 要求 |
| 920180 | 通知 - 2 | 1 | POST 要求に Content-Length ヘッダーがありません |
| 920181 | 警告 - 3 | 1 | Content-Length ヘッダーと Transfer-Encoding ヘッダーが 99001003 の原因となります |
| 920190 | 警告 - 3 | 1 | 範囲: 最後のバイト値が無効です |
| 920200 | 警告 - 3 | 2 | 範囲: フィールドが多すぎます (6 以上) |
| 920201 | 警告 - 3 | 2 | 範囲: pdf 要求のフィールドが多すぎます (35 以上) |
| 920210 | 警告 - 3 | 1 | 複数/競合している接続ヘッダー データが見つかりました |
| 920220 | 警告 - 3 | 1 | URL エンコード悪用攻撃の試行 |
| 920230 | 警告 - 3 | 2 | 複数の URL エンコードが検出されました |
| 920240 | 警告 - 3 | 1 | URL エンコード悪用攻撃の試行 |
| 920260 | 警告 - 3 | 1 | Unicode 全/半角悪用攻撃の試行 |
| 920270 | 重大度 - 5 | 1 | 要求に無効な文字が含まれています (null 文字) |
| 920271 | 重大 - 5 | 2 | 要求の文字が無効です (印刷できない文字) |
| 920280 | 警告 - 3 | 1 | 要求にホスト ヘッダーがありません |
| 920290 | 警告 - 3 | 1 | ホスト ヘッダーが空です |
| 920300 | 通知 - 2 | 2 | 要求に Accept ヘッダーがありません |
| 920310 | 通知 - 2 | 1 | 要求に空の Accept ヘッダーがあります |
| 920311 | 通知 - 2 | 1 | 要求に空の Accept ヘッダーがあります |
| 920320 | 通知 - 2 | 2 | User Agent ヘッダーがありません |
| 920330 | 通知 - 2 | 1 | User Agent ヘッダーが空です |
| 920340 | 通知 - 2 | 1 | 要求にコンテンツは含まれていますが、Content-Type ヘッダーがありません |
| 920341 | 重大 - 5 | 2 | コンテンツを含む要求には、Content-Type ヘッダーが必要です |
| 920350 | 警告 - 3 | 1 | ホスト ヘッダーが数値 IP アドレスです |
| 920420 | 緊急 - 5 | 1 | 要求のコンテンツ タイプがポリシーで許可されていません |
| 920430 | 重大 - 5 | 1 | HTTP プロトコルのバージョンがポリシーで許可されていません |
| 920440 | 重大 - 5 | 1 | URL ファイル拡張子がポリシーによって制限されています |
| 920450 | 重大 - 5 | 1 | HTTP ヘッダーがポリシーによって制限されています |
| 920470 | 重大 - 5 | 1 | 無効な Content-Type ヘッダー |
| 920480 | 重大 - 5 | 1 | 要求コンテンツ タイプの文字セットはがポリシーで許可されていません |
| 920500 | 重大 - 5 | 1 | バックアップ ファイルまたは作業ファイルへのアクセスの試行 |
プロトコル攻撃
| ルール ID | 異常スコアの重大度 | パラノイア レベル | 説明 |
|---|---|---|---|
| 921110 | 重大 - 5 | 1 | HTTP 要求スマグリング攻撃 |
| 921120 | 重大 - 5 | 1 | HTTP 応答分割攻撃 |
| 921130 | 重大 - 5 | 1 | HTTP 応答分割攻撃 |
| 921140 | 重大 - 5 | 1 | ヘッダーによる HTTP ヘッダー インジェクション攻撃 |
| 921150 | クリティカル - 5 | 1 | ペイロードによる HTTP ヘッダー インジェクション攻撃 (CR/LF 検出) |
| 921151 | 重大 - 5 | 2 | ペイロードによる HTTP ヘッダー インジェクション攻撃 (CR/LF 検出) |
| 921160 | 重大 - 5 | 1 | ペイロードによる HTTP ヘッダー インジェクション攻撃 (CR/LF および header-name 検出) |
| 921190 | 重大 - 5 | 1 | HTTP 分割 (要求ファイル名に CR/LF が検出されました) |
| 921200 | 重大 - 5 | 1 | LDAP インジェクション攻撃 |
LFI: ローカル ファイル インクルージョン
| ルール ID | 異常スコアの重大度 | パラノイア レベル | 説明 |
|---|---|---|---|
| 930100 | 重大 - 5 | 1 | パス トラバーサル攻撃 (/../) |
| 930110 | 重大 - 5 | 1 | パス トラバーサル攻撃 (/../) |
| 930120 | 重大 - 5 | 1 | OS ファイル アクセスの試行 |
| 930130 | 重大 - 5 | 1 | 制限付きファイル アクセスの試行 |
RFI: リモート ファイル インクルージョン
| ルール ID | 異常スコアの重大度 | パラノイア レベル | 説明 |
|---|---|---|---|
| 931100 | クリティカル - 5 | 1 | リモート ファイル インクルージョン (RFI) 攻撃の可能性あり: IP アドレスを使用している URL パラメーター |
| 931110 | 重大 - 5 | 1 | リモート ファイル インクルード (RFI) 攻撃の可能性あり: URL ペイロードと共に使用される一般的な RFI 脆弱性パラメーター名 |
| 931120 | 重大 - 5 | 1 | リモート ファイル インクルード (RFI) 攻撃の可能性あり: 末尾の疑問符 (?) と共に使用される URL ペイロード |
| 931130 | 重大 - 5 | 2 | 可能性のあるリモート ファイル インクルード (RFI) 攻撃: ドメイン外参照/リンク |
RCE: リモート コマンド実行
| ルール ID | 異常スコアの重大度 | パラノイア レベル | 説明 |
|---|---|---|---|
| 932100 | 重大 - 5 | 1 | リモート コマンド実行: UNIX コマンド インジェクション |
| 932105 | 重大 - 5 | 1 | リモート コマンド実行: UNIX コマンド インジェクション |
| 932110 | 重大 - 5 | 1 | リモート コマンド実行: Windows コマンド インジェクション |
| 932115 | 重大 - 5 | 1 | リモート コマンド実行: Windows コマンド インジェクション |
| 932120 | 重大 - 5 | 1 | リモート コマンド実行: Windows PowerShell コマンドが見つかりました |
| 932130 | 重大 - 5 | 1 | リモート コマンド実行: Unix シェル式または Confluence の脆弱性 (CVE-2022-26134) が見つかりました |
| 932140 | 重大 - 5 | 1 | リモート コマンド実行: Windows FOR/IF コマンドが見つかりました |
| 932150 | 重大 - 5 | 1 | リモート コマンド実行: Unix コマンドの直接実行 |
| 932160 | 重大 - 5 | 1 | リモート コマンド実行: Unix シェル コードが見つかりました |
| 932170 | 重大 - 5 | 1 | リモート コマンド実行: Shellshock (CVE-2014-6271) |
| 932171 | 重大 - 5 | 1 | リモート コマンド実行: Shellshock (CVE-2014-6271) |
| 932180 | 重大 - 5 | 1 | 制限付きファイル アップロードの試行 |
PHP 攻撃
| ルール ID | 異常スコアの重大度 | パラノイア レベル | 説明 |
|---|---|---|---|
| 933100 | 重大 - 5 | 1 | PHP インジェクション攻撃: 開始または終了タグが見つかりました |
| 933110 | 重大 - 5 | 1 | PHP インジェクション攻撃: PHP スクリプト ファイルのアップロードが見つかりました |
| 933120 | 重大 - 5 | 1 | PHP インジェクション攻撃: 構成ディレクティブが見つかりました |
| 933130 | 重大 - 5 | 1 | PHP インジェクション攻撃: 変数が見つかりました |
| 933140 | 重大 - 5 | 1 | PHP インジェクション攻撃: I/O ストリームが見つかりました |
| 933150 | 重大 - 5 | 1 | PHP インジェクション攻撃: 危険度の高い PHP 関数名が見つかりました |
| 933151 | 重大 - 5 | 2 | PHP インジェクション攻撃: 危険度が中程度の PHP 関数名が見つかりました |
| 933160 | 重大 - 5 | 1 | PHP インジェクション攻撃: 危険度の高い PHP 関数呼び出しが見つかりました |
| 933170 | 重大 - 5 | 1 | PHP インジェクション攻撃: シリアル化されたオブジェクトの挿入 |
| 933180 | 重大 - 5 | 1 | PHP インジェクション攻撃: 可変関数呼び出しが見つかりました |
| 933200 | 重大 - 5 | 1 | PHP インジェクション攻撃: ラッパー スキームが検出されました |
| 933210 | 重大 - 5 | 1 | PHP インジェクション攻撃: 可変関数呼び出しが見つかりました |
Node JS 攻撃
| ルール ID | 異常スコアの重大度 | パラノイア レベル | 説明 |
|---|---|---|---|
| 934100 | 重大 - 5 | 1 | Node.js インジェクション攻撃 |
XSS: クロスサイト スクリプティング
| ルール ID | 異常スコアの重大度 | パラノイア レベル | 説明 |
|---|---|---|---|
| 941100 | 重大 - 5 | 1 | libinjection を通じて XSS 攻撃が検出されました |
| 941101 | 重大 - 5 | 2 | libinjection を通じて XSS 攻撃が検出されました ルールが Referer ヘッダを含む要求を検出します |
| 941110 | 重大 - 5 | 1 | XSS フィルター - カテゴリ 1: スクリプト タグ ベクター |
| 941120 | 重大 - 5 | 1 | XSS フィルター - カテゴリ 2: イベント ハンドラー ベクター |
| 941130 | 重大 - 5 | 1 | XSS フィルター - カテゴリ 3: 属性ベクター |
| 941140 | 重大 - 5 | 1 | XSS フィルター - カテゴリ 4: JavaScript URI ベクター |
| 941150 | 重大 - 5 | 2 | XSS フィルター - カテゴリ 5: 許可されていない HTML 属性 |
| 941160 | 重大 - 5 | 1 | NoScript XSS InjectionChecker: HTML インジェクション |
| 941170 | 重大 - 5 | 1 | NoScript XSS InjectionChecker: 属性インジェクション |
| 941180 | 重大 - 5 | 1 | ノード検証コントロールのブロックリスト キーワード |
| 941190 | 重大 - 5 | 1 | スタイル シートを使用する XSS |
| 941200 | 重大 - 5 | 1 | VML フレームを使用する XSS |
| 941210 | 重大 - 5 | 1 | 難読化 JavaScript を使用する XSS |
| 941220 | 重大 - 5 | 1 | 難読化 VB Script を使用する XSS |
| 941230 | 重大 - 5 | 1 | embed タグを使用した XSS |
| 941240 | 重大 - 5 | 1 | import または implementation 属性を使用した XSS |
| 941250 | 重大 - 5 | 1 | IE XSS フィルター - 攻撃が検出されました |
| 941260 | 重大 - 5 | 1 | meta タグを使用した XSS |
| 941270 | 重大 - 5 | 1 | link href を使用した XSS |
| 941280 | 重大 - 5 | 1 | base タグを使用した XSS |
| 941290 | 重大 - 5 | 1 | applet タグを使用した XSS |
| 941300 | 重大 - 5 | 1 | object タグを使用した XSS |
| 941310 | 重大 - 5 | 1 | US-ASCII 非整形式エンコード XSS フィルター - 攻撃が検出されました |
| 941320 | 重大 - 5 | 2 | 可能性のある XSS 攻撃が検出されました - HTML タグ ハンドラー |
| 941330 | 重大 - 5 | 2 | IE XSS フィルター - 攻撃が検出されました |
| 941340 | 重大 - 5 | 2 | IE XSS フィルター - 攻撃が検出されました |
| 941350 | 重大 - 5 | 1 | UTF-7 エンコード IE XSS - 攻撃が検出されました |
| 941360 | 重大 - 5 | 1 | JavaScript の難読化が検出されました |
| 941370 | 重大 - 5 | 1 | JavaScript のグローバル変数が見つかりました |
| 941380 | 重大度 - 5 | 2 | AngularJS クライアント側テンプレート インジェクションが検出されました |
SQLI: SQL インジェクション
| ルール ID | 異常スコアの重大度 | パラノイア レベル | 説明 |
|---|---|---|---|
| 942100 | 重大 - 5 | 1 | libinjection を通じて SQL インジェクション攻撃が検出されました |
| 942110 | 警告 - 3 | 2 | SQL インジェクション攻撃:一般的なインジェクション テストが検出されました |
| 942120 | 重大 - 5 | 2 | SQL インジェクション攻撃:SQL 演算子が検出されました |
| 942140 | 重大 - 5 | 1 | SQL インジェクション攻撃: 共通 DB 名が検出されました |
| 942150 | 重大 - 5 | 2 | SQL インジェクション攻撃 |
| 942160 | 重大 - 5 | 1 | sleep() または benchmark() を使用してブラインド SQLI テストを検出します |
| 942170 | 重大 - 5 | 1 | 条件付きクエリも含めて、SQL ベンチマークとスリープ インジェクション試行を検出します |
| 942180 | 重大 - 5 | 2 | 基本的な SQL 認証のバイパスの試行 1/3 を検出します |
| 942190 | 重大 - 5 | 1 | MSSQL コード実行と情報収集の試行を検出します。 |
| 942200 | 重大 - 5 | 2 | MySQL コメント/スペース難読化インジェクションとバッククォートの終了を検出します |
| 942210 | 重大 - 5 | 2 | チェーンされた SQL インジェクション試行 1/2 を検出します |
| 942220 | 重大 - 5 | 1 | 整数オーバーフロー攻撃を探しています。これらは、skipfish から取得されます。ただし、3.0.00738585072007e-308 は "マジック番号" クラッシュであるため除きます |
| 942230 | 重大 - 5 | 1 | 条件付き SQL インジェクション試行を検出します |
| 942240 | 重大 - 5 | 1 | MySQL 文字セット スイッチと MSSQL DoS 試行を検出します |
| 942250 | 重大 - 5 | 1 | MATCH AGAINST、MERGE、EXECUTE IMMEDIATE インジェクションを検出します |
| 942260 | 重大 - 5 | 2 | 基本的な SQL 認証のバイパスの試行 2/3 を検出します |
| 942270 | 重大 - 5 | 1 | 基本的な SQL インジェクションを探しています。 MySQL、Oracle などの一般的な攻撃文字列 |
| 942280 | 重大 - 5 | 1 | Postgres pg_sleep インジェクション、wait for delay 攻撃、データベース シャットダウン試行を検出します |
| 942290 | 重大 - 5 | 1 | 基本的な MongoDB SQL インジェクション試行を探します |
| 942300 | 重大 - 5 | 2 | MySQL コメント、条件、および ch(a)r インジェクションを検出します |
| 942310 | 重大 - 5 | 2 | チェーンされた SQL インジェクション試行 2/2 を検出します |
| 942320 | 重大 - 5 | 1 | MySQL および PostgreSQL ストアド プロシージャ/関数インジェクションを検出します |
| 942330 | 重大 - 5 | 2 | 従来の SQL インジェクション プローブ 1/2 を検出します |
| 942340 | 重大 - 5 | 2 | 基本的な SQL 認証のバイパスの試行 3/3 を検出します |
| 942350 | 重大 - 5 | 1 | MySQL UDF インジェクションと、その他のデータ/構造操作試行を検出します |
| 942360 | 重大 - 5 | 1 | 連結された基本的な SQL インジェクションと SQLLFI 試行を検出します |
| 942361 | 重大 - 5 | 2 | キーワード alter または union に基づいて基本的な SQL インジェクションを検出します |
| 942370 | 重大 - 5 | 2 | 従来の SQL インジェクション プローブ 2/2 を検出します |
| 942380 | 重大 - 5 | 2 | SQL インジェクション攻撃 |
| 942390 | 重大 - 5 | 2 | SQL インジェクション攻撃 |
| 942400 | 重大 - 5 | 2 | SQL インジェクション攻撃 |
| 942410 | 重大 - 5 | 2 | SQL インジェクション攻撃 |
| 942430 | 警告 - 3 | 2 | 制限された SQL 文字の異常検出 (引数): 特殊文字数が超過しました (12) |
| 942440 | 重大 - 5 | 2 | SQL コメント シーケンスが検出されました |
| 942450 | 重大 - 5 | 2 | SQL 16 進数エンコードが識別されました |
| 942470 | 重大 - 5 | 2 | SQL インジェクション攻撃 |
| 942480 | 重大 - 5 | 2 | SQL インジェクション攻撃 |
| 942500 | 重大 - 5 | 1 | MySQL のインライン コメントが検出されました |
| 942510 | 重大 - 5 | 2 | ティックまたはバックティックによる SQLi バイパス試行が検出されました |
セッション固定
| ルール ID | 異常スコアの重大度 | パラノイア レベル | 説明 |
|---|---|---|---|
| 943100 | 重大 - 5 | 1 | 可能性のあるセッション固定攻撃: HTML への Cookie 値の設定 |
| 943110 | 重大 - 5 | 1 | 可能性のあるセッション固定攻撃: SessionID パラメーター名とドメイン外参照元 |
| 943120 | 重大 - 5 | 1 | 可能性のあるセッション固定攻撃: 参照元のない SessionID パラメーター名 |
Java 攻撃
| ルール ID | 異常スコアの重大度 | パラノイア レベル | 説明 |
|---|---|---|---|
| 944100 | 重大 - 5 | 1 | リモート コマンド実行: Apache Struts、Oracle WebLogic |
| 944110 | 重大 - 5 | 1 | ペイロード実行の可能性を検出します |
| 944120 | 重大 - 5 | 1 | 可能性のあるペイロード実行とリモート コマンド実行 |
| 944130 | 重大 - 5 | 1 | 不審な Java クラス |
| 944200 | クリティカル - 5 | 2 | Java 逆シリアル化 Apache Commons の悪用 |
| 944210 | 重大 - 5 | 2 | Java シリアル化の使用の可能性 |
| 944240 | 重大 - 5 | 2 | リモート コマンド実行: Java シリアル化と Log4j の脆弱性 (CVE-2021-44228、CVE-2021-45046) |
| 944250 | 重大 - 5 | 2 | リモート コマンド実行: 疑わしい Java メソッドが検出されました |
MS-ThreatIntel-WebShells
| ルール ID | 異常スコアの重大度 | パラノイア レベル | 説明 |
|---|---|---|---|
| 99005002 | 重大 - 5 | 2 | Web シェル相互作用の試行 (POST) |
| 99005003 | 重大 - 5 | 2 | Web シェル アップロードの試行 (POST) - CHOPPER PHP |
| 99005004 | 重大 - 5 | 2 | Web シェル アップロードの試行 (POST) - CHOPPER ASPX |
| 99005005 | 重大 - 5 | 2 | Web シェル相互作用の試行 |
| 99005006 | 重大 - 5 | 2 | Spring4Shell 相互作用の試行 |
MS-ThreatIntel-AppSec
| ルール ID | 異常スコアの重大度 | パラノイア レベル | 説明 |
|---|---|---|---|
| 99030001 | 重大 - 5 | 2 | ヘッダーでのパス トラバーサル回避 (/.././../) |
| 99030002 | 重大 - 5 | 2 | 要求本文でのパス トラバーサル回避 (/.././../) |
MS-ThreatIntel-SQLI
| ルール ID | 異常スコアの重大度 | パラノイア レベル | 説明 |
|---|---|---|---|
| 99031001 | 警告 - 3 | 2 | SQL インジェクション攻撃:一般的なインジェクション テストが検出されました |
| 99031002 | 重大 - 5 | 2 | SQL コメント シーケンスが検出されました |
| 99031003 | 重大 - 5 | 2 | SQL インジェクション攻撃 |
| 99031004 | 重大 - 5 | 2 | 基本的な SQL 認証のバイパスの試行 2/3 を検出します |
MS-ThreatIntel-CVEs
| ルール ID | 異常スコアの重大度 | パラノイア レベル | 説明 |
|---|---|---|---|
| 99001001 | 重大 - 5 | 2 | 既知の資格情報で F5 tmui (CVE-2020-5902) REST API の悪用が試みられました |
| 99001002 | 重大 - 5 | 2 | Citrix NSC_USER のディレクトリ トラバーサル CVE-2019-19781 が試行されました |
| 99001003 | 重大 - 5 | 2 | Atlassian Confluence Widget Connector の悪用 CVE-2019-3396 が試みられました |
| 99001004 | 重大 - 5 | 2 | Pulse Secure カスタム テンプレートの悪用 CVE-2020-8243 が試みられました |
| 99001005 | 重大 - 5 | 2 | SharePoint 型コンバーターの悪用 CVE-2020-0932 が試みられました |
| 99001006 | 重大 - 5 | 2 | Pulse Connect のディレクトリ トラバーサル CVE-2019-11510 が試行されました |
| 99001007 | 重大 - 5 | 2 | Junos OS J-Web ローカル ファイル インクルージョン CVE-2020-1631 が試行されました |
| 99001008 | 重大 - 5 | 2 | Fortinet のパス トラバーサル CVE-2018-13379 が試行されました |
| 99001009 | 重大 - 5 | 2 | Apache Struts の ognl インジェクション CVE-2017-5638 が試行されました |
| 99001010 | 重大 - 5 | 2 | Apache Struts の ognl インジェクション CVE-2017-12611 が試行されました |
| 99001011 | 重大 - 5 | 2 | Oracle WebLogic のパス トラバーサル CVE-2020-14882 が試行されました |
| 99001012 | 重大 - 5 | 2 | Telerik WebUI の安全でない逆シリアル化の悪用 CVE-2019-18935 が試みられました |
| 99001013 | 緊急 - 5 | 2 | SharePoint の安全でない XML 逆シリアル化 CVE-2019-0604 が試みられました |
| 99001014 | 重大 - 5 | 2 | Spring Cloud ルーティング式インジェクション CVE-2022-22963 が試みられました |
| 99001015 | 重大 - 5 | 2 | Spring Framework の安全でないクラス オブジェクトの悪用 CVE-2022-22965 が試みられました |
| 99001016 | 重大 - 5 | 2 | Spring Cloud Gateway Actuator インジェクション CVE-2022-22947 が試みられました |
| 99001017 | 重大 - 5 | 2 | Apache Struts ファイル アップロードの悪用が試みられました CVE-2023-50164 |
注
WAF のログを確認すると、ルール ID 949110 が見つかることがあります。 この規則の説明には、"Inbound Anomaly Score Exceeded" (受信異常スコア超過) が含まれている場合があります。
この規則は、要求の合計異常スコアが最大許容スコアを超えたことを示しています。 詳細については、異常スコアリングに関する記事を参照してください。
WAF ポリシーを調整するときは、WAF の構成を調整できるように、要求によってトリガーされた他の規則を調べる必要があります。 詳細については、「Azure Front Door 向け Azure Web Application Firewall (WAF) を調整する」を参照してください。