Udostępnij za pośrednictwem

Reguły i grupy reguł usługi replikacji danych w usłudze Web Application Firewall

Usługa Azure Web Application Firewall w usłudze Azure Front Door chroni aplikacje internetowe przed typowymi lukami w zabezpieczeniach i programami wykorzystującymi luki w zabezpieczeniach. Zestawy reguł zarządzanych przez platformę Azure umożliwiają łatwe wdrażanie ochrony przed typowym zestawem zagrożeń bezpieczeństwa. Ponieważ platforma Azure zarządza tymi zestawami reguł, reguły są aktualizowane zgodnie z potrzebami w celu ochrony przed nowymi sygnaturami ataków.

Domyślny zestaw reguł (DRS) obejmuje również reguły zbierania danych analizy zagrożeń firmy Microsoft, które są napisane we współpracy z zespołem analizy firmy Microsoft w celu zapewnienia zwiększonego pokrycia, poprawek dla określonych luk w zabezpieczeniach i lepszej fałszywie dodatniej redukcji.

Uwaga

Po zmianie wersji zestawu reguł w zasadach zapory aplikacji internetowej wszelkie istniejące dostosowania wprowadzone w zestawie reguł zostaną zresetowane do ustawień domyślnych dla nowego zestawu reguł. Zobacz: Uaktualnianie lub zmienianie wersji zestawu reguł.

Domyślne zestawy reguł

Usługa DRS zarządzana przez platformę Azure obejmuje reguły dotyczące następujących kategorii zagrożeń:

  • Skrypty między witrynami
  • Ataki w języku Java
  • Włączenie plików lokalnych
  • Ataki iniekcyjne w języku PHP
  • Zdalne wykonywanie poleceń
  • Włączenie plików zdalnych
  • Fiksacja sesji
  • Ochrona przed atakami polegającymi na iniekcji SQL
  • Atakujący protokoły

Numer wersji drS zwiększa się po dodaniu nowych podpisów ataków do zestawu reguł.

Usługa DRS jest domyślnie włączona w trybie wykrywania w zasadach zapory aplikacji internetowej. Możesz wyłączyć lub włączyć poszczególne reguły w usłudze DRS, aby spełnić wymagania aplikacji. Można również ustawić określone akcje na regułę. Dostępne akcje to Zezwalaj, Blokuj, Dzienniki i Przekierowywanie.

Czasami może być konieczne pominięcie niektórych atrybutów żądania z oceny zapory aplikacji internetowej (WAF). Typowym przykładem są wstawiane tokeny usługi Active Directory, które są używane do uwierzytelniania. Możesz skonfigurować listę wykluczeń dla reguły zarządzanej, grupy reguł lub całego zestawu reguł. Aby uzyskać więcej informacji, zobacz Azure Web Application Firewall on Azure Front Door exclusion lists (Usługa Azure Web Application Firewall na listach wykluczeń usługi Azure Front Door).

Domyślnie usługa DRS w wersji 2.0 lub nowszej używa oceniania anomalii, gdy żądanie jest zgodne z regułą. Wersje drS starsze niż 2.0 blokują żądania wyzwalające reguły. Ponadto reguły niestandardowe można skonfigurować w tych samych zasadach zapory aplikacji internetowej, jeśli chcesz pominąć dowolne wstępnie skonfigurowane reguły w usłudze DRS.

Reguły niestandardowe są zawsze stosowane przed oceną reguł w usłudze DRS. Jeśli żądanie pasuje do reguły niestandardowej, zostanie zastosowana odpowiednia akcja reguły. Żądanie jest zablokowane lub przekazywane do zaplecza. Żadne inne reguły niestandardowe ani reguły w usłudze DRS nie są przetwarzane. Możesz również usunąć usługę DRS z zasad zapory aplikacji internetowej.

Reguły zbierania danych analizy zagrożeń firmy Microsoft

Reguły zbierania danych analizy zagrożeń firmy Microsoft są napisane we współpracy z zespołem analizy zagrożeń firmy Microsoft w celu zapewnienia zwiększonego pokrycia, poprawek dla określonych luk w zabezpieczeniach i lepszej fałszywie dodatniej redukcji.

Domyślnie reguły zbierania danych analizy zagrożeń firmy Microsoft zastępują niektóre wbudowane reguły odzyskiwania po awarii, co powoduje ich wyłączenie. Na przykład identyfikator reguły 942440, wykryta sekwencja komentarzy SQL została wyłączona i zastąpiona przez regułę zbierania danych analizy zagrożeń firmy Microsoft 99031002. Zastąpiona reguła zmniejsza ryzyko fałszywie dodatnich wykryć z uzasadnionych żądań.

Ocenianie anomalii

W przypadku korzystania z usługi DRS 2.0 lub nowszej zapora aplikacji internetowej używa oceniania anomalii. Ruch zgodny z dowolną regułą nie jest natychmiast blokowany, nawet jeśli zapora aplikacji internetowej jest w trybie zapobiegania. Zamiast tego zestawy reguł OWASP definiują ważność dla każdej reguły: Krytyczne, Błąd, Ostrzeżenie lub Powiadomienie. Ważność ma wpływ na wartość liczbową żądania, która jest nazywana oceną anomalii. Jeśli żądanie gromadzi wynik anomalii o wartości 5 lub większej, zapora aplikacji internetowej podejmuje działania na żądanie.

Ważność reguły Wartość przyczyniła się do wyniku anomalii
Krytyczne 5
Błąd 100
Ostrzeżenie 3
Uwaga 2

Podczas konfigurowania zapory aplikacji internetowej możesz zdecydować, w jaki sposób zapora aplikacji internetowej obsługuje żądania przekraczające próg oceny anomalii 5. Trzy opcje akcji oceny anomalii to Blokuj, Dziennik lub Przekierowanie. Akcja oceny anomalii wybrana w momencie konfiguracji jest stosowana do wszystkich żądań, które przekraczają próg oceny anomalii.

Jeśli na przykład wynik anomalii wynosi 5 lub większy w żądaniu, a zapora aplikacji internetowej jest w trybie zapobiegania z ustawioną akcją oceny anomalii ustawioną na Wartość Blokuj, żądanie zostanie zablokowane. Jeśli wynik anomalii wynosi 5 lub więcej w żądaniu, a zapora aplikacji internetowej jest w trybie wykrywania, żądanie jest rejestrowane, ale nie jest blokowane.

Dopasowanie pojedynczej reguły krytycznej wystarczy, aby zapora aplikacji internetowej zablokowała żądanie w trybie zapobiegania z ustawioną akcją oceny anomalii na wartość Blokuj, ponieważ ogólny wynik anomalii wynosi 5. Jednak jedno dopasowanie reguły ostrzeżenia zwiększa tylko wynik anomalii o 3, co nie wystarczy, aby zablokować ruch. Po wyzwoleniu reguły anomalii w dziennikach zostanie wyświetlona akcja "dopasowana". Jeśli wynik anomalii ma wartość 5 lub większą, zostanie wyzwolona osobna reguła z akcją oceny anomalii skonfigurowaną dla zestawu reguł. Domyślna akcja oceny anomalii to Blokuj, co powoduje wpis dziennika z akcją blocked.

Jeśli zapora aplikacji internetowej używa starszej wersji domyślnego zestawu reguł (przed drS 2.0), zapora aplikacji internetowej jest uruchamiana w trybie tradycyjnym. Ruch zgodny z dowolną regułą jest uznawany niezależnie od innych dopasowań reguł. W trybie tradycyjnym nie masz wglądu w pełny zestaw reguł pasujących do określonego żądania.

Wersja używanego odzyskiwania po awarii określa również, które typy zawartości są obsługiwane w przypadku inspekcji treści żądań. Aby uzyskać więcej informacji, zobacz Jakie typy zawartości obsługuje WAF w FAQ.

Poziom paranoi

Każda reguła jest przypisana do określonego poziomu paranoi (PL). Reguły skonfigurowane w Paranoia Level 1 (PL1) są mniej agresywne i prawie nigdy nie wywołują fałszywego alarmu. Zapewniają one podstawowe zabezpieczenia przy minimalnej potrzebie dostrajania. Reguły w PL2 wykrywają więcej ataków, ale oczekuje się, że będą wywoływać fałszywe alarmy, które powinny zostać precyzyjnie dostosowane.

Domyślnie wszystkie wersje reguł DRS są wstępnie skonfigurowane w Paranoia Level 2, w tym reguły przypisane zarówno w PL1, jak i w PL2. Jeśli chcesz używać WAF wyłącznie z PL1, możesz wyłączyć dowolną lub wszystkie reguły PL2 lub zmienić ich działanie na "log". Interfejsy PL3 i PL4 nie są obecnie obsługiwane w zaporze aplikacji internetowej Azure (WAF).

Uaktualnianie lub zmienianie wersji zestawu reguł

Jeśli uaktualniasz lub przypisujesz nową wersję zestawu reguł i chcesz zachować istniejące przesłonięcia i wykluczenia reguł, zaleca się użycie programu PowerShell, interfejsu wiersza polecenia, interfejsu API REST lub szablonu w celu wprowadzenia zmian w wersji zestawu reguł. Nowa wersja zestawu reguł może mieć nowsze reguły, dodatkowe grupy reguł i mogą mieć aktualizacje istniejących podpisów w celu wymuszenia lepszych zabezpieczeń i zmniejszenia liczby wyników fałszywie dodatnich. Zaleca się zweryfikowanie zmian w środowisku testowym, dostosowanie w razie potrzeby, a następnie wdrożenie w środowisku produkcyjnym.

Uwaga

Jeśli używasz portalu Azure do przypisania nowego zarządzanego zestawu reguł do zasad WAF, wszystkie wcześniejsze dostosowania z istniejącego zarządzanego zestawu reguł, takie jak stan reguły, akcje reguł i wykluczenia na poziomie reguły, zostaną zresetowane do wartości domyślnych nowego zarządzanego zestawu reguł. Jednak wszelkie niestandardowe reguły lub ustawienia zasad pozostaną nienaruszone podczas nowego przypisania zestawu reguł. Przed wdrożeniem w środowisku produkcyjnym należy ponownie zdefiniować przesłonięcia reguł i zweryfikować zmiany.

DRS 2.1 (wersja 2.1)

Reguły drS 2.1 zapewniają lepszą ochronę niż wcześniejsze wersje usługi DRS. Obejmuje ona inne reguły opracowane przez zespół ds. analizy zagrożeń firmy Microsoft i aktualizacje podpisów w celu zmniejszenia liczby wyników fałszywie dodatnich. Obsługuje również przekształcenia wykraczające poza dekodowanie adresów URL.

Usługa DRS 2.1 zawiera 17 grup reguł, jak pokazano w poniższej tabeli. Każda grupa zawiera wiele reguł i można dostosować zachowanie poszczególnych reguł, grup reguł lub całego zestawu reguł. Usługa DRS 2.1 jest oparta na planie bazowym zestawu reguł open Web Application Security Project (OWASP) Core Rule Set (CRS) 3.3.2 i zawiera dodatkowe reguły ochrony własności opracowane przez zespół ds. analizy zagrożeń firmy Microsoft.

Aby uzyskać więcej informacji, zobacz Dostrajanie zapory aplikacji internetowej (WAF) dla usługi Azure Front Door.

Uwaga

Usługa DRS 2.1 jest dostępna tylko w usłudze Azure Front Door Premium.

Grupa reguł nazwa_grupy reguł opis
Ogólne Ogólne Grupa ogólna
WYMUSZANIE METODY SPOSÓB-WYMUSZENIE Metody blokady (PUT, PATCH)
WYMUSZANIE PROTOKOŁU PROTOKUŁ-WYMUSZENIE Ochrona przed problemami z protokołem i kodowaniem
ATAK PROTOKOŁU PROTOKÓŁ-ATAK Ochrona przed wstrzyknięciem nagłówka, przemytem żądań i podziałem odpowiedzi
ATAK NA APLIKACJE-LFI Sieć LFI Ochrona przed atakami na pliki i ścieżki
APLIKACJA-ATAK-RFI RFI Ochrona przed atakami zdalnego dołączania plików (RFI)
APPLICATION-ATTACK-RCE (APLIKACJA-ATAK-RCE) RCE (Szpital RCE Ponownie chroń ataki zdalnego wykonywania kodu
ATAK-NA-APLIKACJĘ-PHP PHP Ochrona przed atakami polegającymi na wstrzyknięciu kodu PHP
Atak na aplikacje NodeJS: APPLICATION-ATTACK-NodeJS Node.js Ochrona przed atakami Node JS
APPLICATION-ATTACK-XSSS XSS (Język XSS) Ochrona przed atakami skryptowymi między witrynami
APPLICATION-ATTACK-SQLI (ATAK NA APLIKACJĘ) SQLI SQLI (język SQLI) Ochrona przed atakami polegającymi na wstrzyknięciu kodu SQL
ATAK APLIKACJI-FIKSACJA SESJI NAPRAWIĆ Ochrona przed atakami naprawiania sesji
APLIKACJA-ATAK-SESJA-JAVA JAWA Ochrona przed atakami java
MS-ZagrożenieIntel-WebShells MS-ThreatIntel-WebShells Ochrona przed atakami powłoki internetowej
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec Ochrona przed atakami AppSec
MS-ZagrożenieIntel-SQLI MS-ThreatIntel-SQLI Ochrona przed atakami SQLI
MS-ThreatIntel-CVE MS-ThreatIntel-CVEs Ochrona przed atakami CVE

Wyłączone reguły

Następujące reguły są domyślnie wyłączone dla usługi DRS 2.1.

Identyfikator zasady Grupa reguł opis Szczegóły
942110 SQLI (język SQLI) Atak polegający na wstrzyknięciu kodu SQL: wykryto typowe testy iniekcji Zastąpione przez regułę MSTIC 99031001
942150 SQLI (język SQLI) Atak polegający na wstrzyknięciu kodu SQL Zastąpione przez 99031003 reguł MSTIC
942260 SQLI (język SQLI) Wykrywa podstawowe próby obejścia uwierzytelniania SQL 2/3 Zastąpione przez regułę MSTIC 99031004
942430 SQLI (język SQLI) Wykrywanie anomalii ograniczonego znaku SQL (args): liczba znaków specjalnych przekroczyła (12) Zbyt wiele wyników fałszywie dodatnich
942440 SQLI (język SQLI) Wykryto sekwencję komentarzy SQL Zastąpione przez 99031002 reguł MSTIC
99005006 MS-ThreatIntel-WebShells Próba interakcji z programem Spring4Shell Włącz regułę, aby zapobiec lukom w zabezpieczeniach programu SpringShell
99001014 MS-ThreatIntel-CVEs Podjęto próbę wstrzyknięcia wyrażenia routingu Spring Cloud CVE-2022-22963 Włącz regułę, aby zapobiec lukom w zabezpieczeniach programu SpringShell
99001015 MS-ThreatIntel-WebShells Podjęto próbę wykorzystania niebezpiecznych obiektów klasy Spring Framework CVE-2022-22965 Włącz regułę, aby zapobiec lukom w zabezpieczeniach programu SpringShell
99001016 MS-ThreatIntel-WebShells Podjęto próbę wstrzyknięcia siłownika spring Cloud Gateway CVE-2022-22947 Włącz regułę, aby zapobiec lukom w zabezpieczeniach programu SpringShell
99001017 MS-ThreatIntel-CVEs Podjęto próbę przekazania pliku Apache Struts cve-2023-50164 Włącz regułę, aby zapobiec lukom w zabezpieczeniach apache Struts

DRS 2.0 (wersja 2.0)

Reguły drS 2.0 zapewniają lepszą ochronę niż wcześniejsze wersje usługi DRS. Usługa DRS 2.0 obsługuje również przekształcenia wykraczające poza dekodowanie tylko adresów URL.

Usługa DRS 2.0 zawiera 17 grup reguł, jak pokazano w poniższej tabeli. Każda grupa zawiera wiele reguł. Można wyłączyć poszczególne reguły i całe grupy reguł.

Uwaga

Usługa DRS 2.0 jest dostępna tylko w usłudze Azure Front Door Premium.

Grupa reguł nazwa_grupy reguł opis
Ogólne Ogólne Grupa ogólna
WYMUSZANIE METODY SPOSÓB-WYMUSZENIE Metody blokady (PUT, PATCH)
WYMUSZANIE PROTOKOŁU PROTOKUŁ-WYMUSZENIE Ochrona przed problemami z protokołem i kodowaniem
ATAK PROTOKOŁU PROTOKÓŁ-ATAK Ochrona przed wstrzyknięciem nagłówka, przemytem żądań i podziałem odpowiedzi
ATAK NA APLIKACJE-LFI Sieć LFI Ochrona przed atakami na pliki i ścieżki
APLIKACJA-ATAK-RFI RFI Ochrona przed atakami zdalnego dołączania plików (RFI)
APPLICATION-ATTACK-RCE (APLIKACJA-ATAK-RCE) RCE (Szpital RCE Ponownie chroń ataki zdalnego wykonywania kodu
ATAK-NA-APLIKACJĘ-PHP PHP Ochrona przed atakami polegającymi na wstrzyknięciu kodu PHP
Atak na aplikacje NodeJS: APPLICATION-ATTACK-NodeJS Node.js Ochrona przed atakami Node JS
APPLICATION-ATTACK-XSSS XSS (Język XSS) Ochrona przed atakami skryptowymi między witrynami
APPLICATION-ATTACK-SQLI (ATAK NA APLIKACJĘ) SQLI SQLI (język SQLI) Ochrona przed atakami polegającymi na wstrzyknięciu kodu SQL
ATAK APLIKACJI-FIKSACJA SESJI NAPRAWIĆ Ochrona przed atakami naprawiania sesji
APLIKACJA-ATAK-SESJA-JAVA JAWA Ochrona przed atakami java
MS-ZagrożenieIntel-WebShells MS-ThreatIntel-WebShells Ochrona przed atakami powłoki internetowej
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec Ochrona przed atakami AppSec
MS-ZagrożenieIntel-SQLI MS-ThreatIntel-SQLI Ochrona przed atakami SQLI
MS-ThreatIntel-CVE MS-ThreatIntel-CVEs Ochrona przed atakami CVE

DRS 1.1 (wersja 1.1)

Grupa reguł nazwa_grupy reguł opis
ATAK PROTOKOŁU PROTOKÓŁ-ATAK Ochrona przed wstrzyknięciem nagłówka, przemytem żądań i podziałem odpowiedzi
ATAK NA APLIKACJE-LFI Sieć LFI Ochrona przed atakami na pliki i ścieżki
APLIKACJA-ATAK-RFI RFI Ochrona przed atakami zdalnego dołączania plików
APPLICATION-ATTACK-RCE (APLIKACJA-ATAK-RCE) RCE (Szpital RCE Ochrona przed zdalnym wykonywaniem poleceń
ATAK-NA-APLIKACJĘ-PHP PHP Ochrona przed atakami polegającymi na wstrzyknięciu kodu PHP
APPLICATION-ATTACK-XSSS XSS (Język XSS) Ochrona przed atakami skryptowymi między witrynami
APPLICATION-ATTACK-SQLI (ATAK NA APLIKACJĘ) SQLI SQLI (język SQLI) Ochrona przed atakami polegającymi na wstrzyknięciu kodu SQL
ATAK APLIKACJI-FIKSACJA SESJI NAPRAWIĆ Ochrona przed atakami naprawiania sesji
APLIKACJA-ATAK-SESJA-JAVA JAWA Ochrona przed atakami java
MS-ZagrożenieIntel-WebShells MS-ThreatIntel-WebShells Ochrona przed atakami powłoki internetowej
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec Ochrona przed atakami AppSec
MS-ZagrożenieIntel-SQLI MS-ThreatIntel-SQLI Ochrona przed atakami SQLI
MS-ThreatIntel-CVE MS-ThreatIntel-CVEs Ochrona przed atakami CVE

DRS 1.0 (wersja 1.0)

Grupa reguł nazwa_grupy reguł opis
ATAK PROTOKOŁU PROTOKÓŁ-ATAK Ochrona przed wstrzyknięciem nagłówka, przemytem żądań i podziałem odpowiedzi
ATAK NA APLIKACJE-LFI Sieć LFI Ochrona przed atakami na pliki i ścieżki
APLIKACJA-ATAK-RFI RFI Ochrona przed atakami zdalnego dołączania plików
APPLICATION-ATTACK-RCE (APLIKACJA-ATAK-RCE) RCE (Szpital RCE Ochrona przed zdalnym wykonywaniem poleceń
ATAK-NA-APLIKACJĘ-PHP PHP Ochrona przed atakami polegającymi na wstrzyknięciu kodu PHP
APPLICATION-ATTACK-XSSS XSS (Język XSS) Ochrona przed atakami skryptowymi między witrynami
APPLICATION-ATTACK-SQLI (ATAK NA APLIKACJĘ) SQLI SQLI (język SQLI) Ochrona przed atakami polegającymi na wstrzyknięciu kodu SQL
ATAK APLIKACJI-FIKSACJA SESJI NAPRAWIĆ Ochrona przed atakami naprawiania sesji
APLIKACJA-ATAK-SESJA-JAVA JAWA Ochrona przed atakami java
MS-ZagrożenieIntel-WebShells MS-ThreatIntel-WebShells Ochrona przed atakami powłoki internetowej
MS-ThreatIntel-CVE MS-ThreatIntel-CVEs Ochrona przed atakami CVE

Menedżer botów 1.0

Zestaw reguł usługi Bot Manager 1.0 zapewnia ochronę przed złośliwymi botami i wykrywaniem dobrych botów. Reguły zapewniają szczegółową kontrolę nad botami wykrytymi przez zaporę aplikacji internetowej przez kategoryzowanie ruchu bota jako Dobre, Złe lub Nieznane boty.

Grupa reguł opis
BadBoty Ochrona przed złymi botami
Dobre Boty Identyfikowanie dobrych botów
Unknown Bots Identyfikowanie nieznanych botów

Menedżer botów 1.1

Zestaw reguł usługi Bot Manager 1.1 to ulepszenie zestawu reguł usługi Bot Manager 1.0. Zapewnia on rozszerzoną ochronę przed złośliwymi botami i zwiększa dobre wykrywanie botów.

Grupa reguł opis
BadBoty Ochrona przed złymi botami
Dobre Boty Identyfikowanie dobrych botów
Unknown Bots Identyfikowanie nieznanych botów

Następujące grupy reguł i reguły są dostępne w przypadku korzystania z usługi Azure Web Application Firewall w usłudze Azure Front Door.

Zestawy reguł 2.1

Ogólne

Identyfikator zasady Ważność oceny anomalii Poziom paranoi opis
200002 Krytyczne - 5 1 Nie można przeanalizować treści żądania
200003 Krytyczne - 5 1 Treść żądania wieloczęściowego nie powiodła się ścisłej walidacji

Wymuszanie metody

Identyfikator zasady Ważność oceny anomalii Poziom paranoi opis
911100 Krytyczne - 5 1 Metoda nie jest dozwolona przez zasady

Wymuszenie protokołu

Identyfikator zasady Ważność oceny anomalii Poziom paranoi opis
920100 Uwaga - 2 1 Nieprawidłowy wiersz żądania HTTP
920120 Krytyczne - 5 1 Podjęto próbę obejścia danych wieloczęściowych/formularzy
920121 Krytyczne - 5 2 Podjęto próbę obejścia danych wieloczęściowych/formularzy
920160 Krytyczne - 5 1 Nagłówek HTTP Content-Length nie jest numeryczny
920170 Krytyczne - 5 1 Żądanie GET lub HEAD z treścią
920171 Krytyczne - 5 1 Żądanie typu GET lub typu HEAD z elementem Transfer-Encoding
920180 Uwaga - 2 1 Nagłówek Content-Length jest brakujący w żądaniu POST.
920181 Ostrzeżenie - 3 1 Nagłówki Content-Length i Transfer-Encoding są obecne 99001003
920190 Ostrzeżenie - 3 1 Zakres: Nieprawidłowa ostatnia wartość bajtu
920200 Ostrzeżenie - 3 2 Zakres: zbyt wiele pól (co najmniej 6)
920201 Ostrzeżenie - 3 2 Zakres: zbyt wiele pól dla żądania pdf (co najmniej 35)
920210 Ostrzeżenie - 3 1 Znaleziono wiele/sprzeczne dane nagłówka połączenia
920220 Ostrzeżenie - 3 1 Próba ataku na nadużycie kodowania adresów URL
920230 Ostrzeżenie - 3 2 Wykryto kodowanie wielu adresów URL
920240 Ostrzeżenie - 3 1 Próba ataku na nadużycie kodowania adresów URL
920260 Ostrzeżenie - 3 1 Próba ataku na ataki typu Full/Half Width Unicode
920270 Krytyczne - 5 1 Nieprawidłowy znak w żądaniu (znak null)
920271 Krytyczne - 5 2 Nieprawidłowy znak w żądaniu (znaki niedrukowalne)
920280 Ostrzeżenie - 3 1 Żądanie braku nagłówka hosta
920290 Ostrzeżenie - 3 1 Pusty nagłówek hosta
920300 Uwaga - 2 2 Żądanie braku nagłówka accept
920310 Uwaga - 2 1 Żądanie ma pusty nagłówek Accept
920311 Uwaga - 2 1 Żądanie ma pusty nagłówek Accept
920320 Uwaga - 2 2 Brak nagłówka agenta użytkownika
920330 Uwaga - 2 1 Pusty nagłówek agenta użytkownika
920340 Uwaga - 2 1 Żądanie zawierające zawartość, ale brak nagłówka Content-Type
920341 Krytyczne - 5 2 Żądanie zawierające zawartość wymaga nagłówka Content-Type
920350 Ostrzeżenie - 3 1 Nagłówek hosta jest numerycznym adresem IP
920420 Krytyczne - 5 1 Typ zawartości żądania nie jest dozwolony przez zasady
920430 Krytyczne - 5 1 Wersja protokołu HTTP nie jest dozwolona przez zasady
920440 Krytyczne - 5 1 Rozszerzenie pliku adresu URL jest ograniczone przez zasady
920450 Krytyczne - 5 1 Nagłówek HTTP jest ograniczony przez zasady
920470 Krytyczne - 5 1 Nagłówek niedozwolonego typu zawartości
920480 Krytyczne - 5 1 Żądanie typu zawartości charset nie jest dozwolone przez zasady
920500 Krytyczne - 5 1 Próba uzyskania dostępu do kopii zapasowej lub działającego pliku

Atak na protokół

Identyfikator zasady Ważność oceny anomalii Poziom paranoi opis
921110 Krytyczne - 5 1 Atak przemytu żądań HTTP
921120 Krytyczne - 5 1 Atak dzielenia odpowiedzi HTTP
921130 Krytyczne - 5 1 Atak dzielenia odpowiedzi HTTP
921140 Krytyczne - 5 1 Atak polegający na wstrzyknięciu nagłówka HTTP za pośrednictwem nagłówków
921150 Krytyczne - 5 1 Atak polegający na wstrzyknięciu nagłówka HTTP za pośrednictwem ładunku (wykryto cr/LF)
921151 Krytyczne - 5 2 Atak polegający na wstrzyknięciu nagłówka HTTP za pośrednictwem ładunku (wykryto cr/LF)
921160 Krytyczne - 5 1 Atak polegający na wstrzyknięciu nagłówka HTTP za pośrednictwem ładunku (wykryto wartość CR/LF i nazwę nagłówka)
921190 Krytyczne - 5 1 Dzielenie HTTP (CR/LF w wykrytej nazwie żądania)
921 200 Krytyczne - 5 1 Atak polegający na wstrzyknięciu protokołu LDAP

LFI: Lokalne dołączanie plików

Identyfikator zasady Ważność oceny anomalii Poziom paranoi opis
930100 Krytyczne - 5 1 Atak przechodzenia ścieżki (/.. /)
930110 Krytyczne - 5 1 Atak przechodzenia ścieżki (/.. /)
930120 Krytyczne - 5 1 Próba uzyskania dostępu do pliku systemu operacyjnego
930130 Krytyczne - 5 1 Próba dostępu do plików z ograniczeniami

RFI: Zdalne dołączanie plików

Identyfikator zasady Ważność oceny anomalii Poziom paranoi opis
931100 Krytyczne - 5 1 Możliwy atak zdalnego dołączania plików (RFI): parametr adresu URL przy użyciu adresu IP
931110 Krytyczne - 5 1 Możliwy atak zdalnego dołączania plików (RFI): typowa nazwa parametru podatnego na ataki RFI używana w/URL ładunku
931120 Krytyczne - 5 1 Możliwy zdalny atak dołączania plików (RFI): ładunek adresu URL używany w/końcowy znak znaku zapytania (?)
931130 Krytyczne - 5 2 Możliwy atak zdalnego dołączania plików (RFI): odwołanie poza domeną/łącze

RCE: Zdalne wykonywanie poleceń

Identyfikator zasady Ważność oceny anomalii Poziom paranoi opis
932100 Krytyczne - 5 1 Zdalne wykonywanie poleceń: Wstrzykiwanie poleceń w systemie Unix
932105 Krytyczne - 5 1 Zdalne wykonywanie poleceń: Wstrzykiwanie poleceń w systemie Unix
932110 Krytyczne - 5 1 Zdalne wykonywanie poleceń: iniekcja poleceń systemu Windows
932115 Krytyczne - 5 1 Zdalne wykonywanie poleceń: iniekcja poleceń systemu Windows
932120 Krytyczne - 5 1 Zdalne wykonywanie poleceń: znaleziono polecenie programu Windows PowerShell
932130 Krytyczne - 5 1 Zdalne wykonywanie poleceń: znaleziono lukę w zabezpieczeniach wyrażeniu powłoki unix lub confluence (CVE-2022-26134)
932140 Krytyczne - 5 1 Zdalne wykonywanie poleceń: znaleziono polecenie Windows FOR/IF
932150 Krytyczne - 5 1 Zdalne wykonywanie poleceń: bezpośrednie wykonywanie poleceń systemu Unix
932160 Krytyczne - 5 1 Zdalne wykonywanie poleceń: znaleziono kod powłoki systemu Unix
932170 Krytyczne - 5 1 Zdalne wykonywanie poleceń: Shellshock (CVE-2014-6271)
932171 Krytyczne - 5 1 Zdalne wykonywanie poleceń: Shellshock (CVE-2014-6271)
932180 Krytyczne - 5 1 Próba przekazania pliku z ograniczeniami

Ataki PHP

Identyfikator zasady Ważność oceny anomalii Poziom paranoi opis
933100 Krytyczne - 5 1 Atak polegający na wstrzyknięciu kodu PHP: znaleziono znacznik otwierający/zamykający
933110 Krytyczne - 5 1 Atak polegający na wstrzyknięciu kodu PHP: znaleziono plik skryptu PHP
933120 Krytyczne - 5 1 Atak polegający na wstrzyknięciu kodu PHP: znaleziono dyrektywę konfiguracji
933130 Krytyczne - 5 1 Atak polegający na wstrzyknięciu kodu PHP: znalezione zmienne
933140 Krytyczne - 5 1 Atak polegający na wstrzyknięciu kodu PHP: Znaleziono strumień we/wy
933150 Krytyczne - 5 1 Atak polegający na wstrzyknięciu kodu PHP: znaleziono nazwę funkcji PHP o wysokim ryzyku
933151 Krytyczne - 5 2 Atak polegający na wstrzyknięciu kodu PHP: znaleziona nazwa funkcji PHP o średnim ryzyku
933160 Krytyczne - 5 1 Atak polegający na wstrzyknięciu kodu PHP: znaleziono wywołanie funkcji PHP o wysokim ryzyku
933170 Krytyczne - 5 1 Atak polegający na wstrzyknięciu kodu PHP: wstrzyknięcie obiektu serializowanego
933180 Krytyczne - 5 1 Atak polegający na wstrzyknięciu kodu PHP: znaleziono wywołanie funkcji zmiennej
933200 Krytyczne - 5 1 Atak polegający na wstrzyknięciu kodu PHP: wykryto schemat otoki
933210 Krytyczne - 5 1 Atak polegający na wstrzyknięciu kodu PHP: znaleziono wywołanie funkcji zmiennej

Ataki js węzła

Identyfikator zasady Ważność oceny anomalii Poziom paranoi opis
934100 Krytyczne - 5 1 atak polegający na wstrzyknięciu Node.js

XSS: wykonywanie skryptów między witrynami

Identyfikator zasady Ważność oceny anomalii Poziom paranoi opis
941100 Krytyczne - 5 1 Wykryto atak XSS za pośrednictwem libinjection
941101 Krytyczne - 5 2 Wykryto atak XSS za pośrednictwem libinjection
Reguła wykrywa żądania z nagłówkiem Referer
941110 Krytyczne - 5 1 Filtr XSS — kategoria 1: wektor tagu skryptu
941120 Krytyczne - 5 1 Filtr XSS — kategoria 2: wektor obsługi zdarzeń
941130 Krytyczne - 5 1 Filtr XSS — kategoria 3: wektor atrybutu
941140 Krytyczne - 5 1 Filtr XSS — kategoria 4: wektor identyfikatora URI języka JavaScript
941150 Krytyczne - 5 2 Filtr XSS — kategoria 5: niedozwolone atrybuty HTML
941160 Krytyczne - 5 1 NoScript XSS InjectionChecker: wstrzykiwanie kodu HTML
941170 Krytyczne - 5 1 NoScript XSS InjectionChecker: Iniekcja atrybutów
941180 Krytyczne - 5 1 Słowa kluczowe listy bloków modułu sprawdzania poprawności węzła
941190 Krytyczne - 5 1 XSS z użyciem arkuszy stylów
941200 Krytyczne - 5 1 XSS z ramkami VML
941210 Krytyczne - 5 1 Usługa XSS korzystająca z zaciemnionego kodu JavaScript
941220 Krytyczne - 5 1 XSS używający zaciemnionego skryptu VB
941230 Krytyczne - 5 1 XSS przy użyciu embed tagu
941240 Krytyczne - 5 1 XSS przy użyciu atrybutu import lub implementation
941250 Krytyczne - 5 1 Filtry XSS IE — wykryto atak
941260 Krytyczne - 5 1 XSS przy użyciu meta tagu
941270 Krytyczne - 5 1 XSS przy użyciu link href
941280 Krytyczne - 5 1 XSS przy użyciu base tagu
941290 Krytyczne - 5 1 XSS przy użyciu applet tagu
941300 Krytyczne - 5 1 XSS przy użyciu object tagu
941310 Krytyczne - 5 1 Źle sformułowany filtr XSS kodowania US-ASCII — wykryto atak
941320 Krytyczne - 5 2 Wykryto możliwy atak XSS — procedura obsługi tagów HTML
941330 Krytyczne - 5 2 Filtry XSS IE — wykryto atak
941340 Krytyczne - 5 2 Filtry XSS IE — wykryto atak
941350 Krytyczne - 5 1 Kodowanie UTF-7 IE XSS — wykryto atak
941360 Krytyczne - 5 1 Wykryto zaciemnianie kodu JavaScript
941370 Krytyczne - 5 1 Znaleziono zmienną globalną języka JavaScript
941380 Krytyczne - 5 2 Wykryto wstrzyknięcie szablonu po stronie klienta AngularJS

SQLI: iniekcja SQL

Identyfikator zasady Ważność oceny anomalii Poziom paranoi opis
942100 Krytyczne - 5 1 Wykryto atak polegający na wstrzyknięciu kodu SQL za pośrednictwem libinjection
942110 Ostrzeżenie - 3 2 Atak polegający na wstrzyknięciu kodu SQL: wykryto typowe testy iniekcji
942120 Krytyczne - 5 2 Atak polegający na wstrzyknięciu kodu SQL: wykryto operator SQL
942140 Krytyczne - 5 1 Atak polegający na wstrzyknięciu kodu SQL: wykryto typowe nazwy baz danych
942150 Krytyczne - 5 2 Atak polegający na wstrzyknięciu kodu SQL
942160 Krytyczne - 5 1 Wykrywa ślepe testy SQLI za pomocą sleep() lub benchmark()
942170 Krytyczne - 5 1 Wykrywa próby testu porównawczego SQL i iniekcji snu, w tym zapytania warunkowe
942180 Krytyczne - 5 2 Wykrywa podstawowe próby obejścia uwierzytelniania SQL 1/3
942190 Krytyczne - 5 1 Wykrywa wykonywanie kodu MSSQL i próby zbierania informacji
942200 Krytyczne - 5 2 Wykrywa wstrzyknięcia komentarza MySQL/zaciemnione miejsca i zakończenie backtick
942210 Krytyczne - 5 2 Wykrywa łańcuchowe próby wstrzyknięcia kodu SQL 1/2
942220 Krytyczne - 5 1 Szukasz ataków przepełnienia liczb całkowitych, pochodzą one z skipfish, z wyjątkiem 3.0.00738585072007e-308 jest "liczbą magiczną" awarii
942230 Krytyczne - 5 1 Wykrywa próby wstrzyknięcia warunkowego kodu SQL
942240 Krytyczne - 5 1 Wykrywa przełącznik znaków MySQL i próby msSQL DoS
942250 Krytyczne - 5 1 Wykrywa wstrzyknięcia MATCH AGAINST, MERGE i EXECUTE IMMEDIATE
942260 Krytyczne - 5 2 Wykrywa podstawowe próby obejścia uwierzytelniania SQL 2/3
942270 Krytyczne - 5 1 Szukasz podstawowego wstrzyknięcia kodu SQL. Typowy ciąg ataku dla MySQL, Oracle i innych
942280 Krytyczne - 5 1 Wykrywa wstrzyknięcia pg_sleep w Postgres, czekanie na ataki opóźniające oraz próby wyłączenia bazy danych
942290 Krytyczne - 5 1 Znajduje podstawowe próby wstrzyknięcia kodu SQL bazy danych MongoDB
942300 Krytyczne - 5 2 Wykrywa komentarze, warunki i wstrzyknięcia bazy danych MySQL (a)r
942310 Krytyczne - 5 2 Wykrywa łańcuchowe próby wstrzyknięcia kodu SQL 2/2
942320 Krytyczne - 5 1 Wykrywa procedury składowane/iniekcje funkcji MySQL i PostgreSQL
942330 Krytyczne - 5 2 Wykrywa klasyczne sondowania iniekcji SQL 1/2
942340 Krytyczne - 5 2 Wykrywa podstawowe próby obejścia uwierzytelniania SQL 3/3
942350 Krytyczne - 5 1 Wykrywa iniekcję funkcji zdefiniowanej przez użytkownika mySQL i inne próby manipulowania danymi/strukturą
942360 Krytyczne - 5 1 Wykrywa połączoną podstawową iniekcję SQL i próby SQLLFI
942361 Krytyczne - 5 2 Wykrywa podstawowe wstrzyknięcie kodu SQL na podstawie zmiany słowa kluczowego lub unii
942370 Krytyczne - 5 2 Wykrywa klasyczne sondowania iniekcji SQL 2/2
942380 Krytyczne - 5 2 Atak polegający na wstrzyknięciu kodu SQL
942390 Krytyczne - 5 2 Atak polegający na wstrzyknięciu kodu SQL
942400 Krytyczne - 5 2 Atak polegający na wstrzyknięciu kodu SQL
942410 Krytyczne - 5 2 Atak polegający na wstrzyknięciu kodu SQL
942430 Ostrzeżenie - 3 2 Wykrywanie anomalii ograniczonego znaku SQL (args): liczba znaków specjalnych przekroczyła (12)
942440 Krytyczne - 5 2 Wykryto sekwencję komentarzy SQL
942450 Krytyczne - 5 2 Zidentyfikowano kodowanie szesnastkowy SQL
942470 Krytyczne - 5 2 Atak polegający na wstrzyknięciu kodu SQL
942480 Krytyczne - 5 2 Atak polegający na wstrzyknięciu kodu SQL
942500 Krytyczne - 5 1 Wykryto komentarz w wierszu MySQL
942510 Krytyczne - 5 2 Próba obejścia programu SQLi przez wykrycie znaczników lub odwrotnych znaczników

Fiksacja sesji

Identyfikator zasady Ważność oceny anomalii Poziom paranoi opis
943100 Krytyczne - 5 1 Możliwy atak naprawy sesji: ustawianie wartości plików cookie w kodzie HTML
943110 Krytyczne - 5 1 Możliwy atak naprawy sesji: nazwa parametru SessionID z odwołaniem poza domeną
943120 Krytyczne - 5 1 Możliwy atak naprawy sesji: nazwa parametru SessionID bez odwołania

Ataki w języku Java

Identyfikator zasady Ważność oceny anomalii Poziom paranoi opis
944100 Krytyczne - 5 1 Zdalne wykonywanie poleceń: Apache Struts, Oracle WebLogic
944110 Krytyczne - 5 1 Wykrywa potencjalne wykonanie ładunku
944120 Krytyczne - 5 1 Możliwe wykonywanie ładunku i zdalne wykonywanie poleceń
944130 Krytyczne - 5 1 Podejrzane klasy języka Java
944200 Krytyczne - 5 2 Wykorzystanie deserializacji języka Java Apache Commons
944210 Krytyczne - 5 2 Możliwe użycie serializacji języka Java
944240 Krytyczne - 5 2 Zdalne wykonywanie poleceń: luka w zabezpieczeniach dotycząca serializacji Java i log4j (CVE-2021-44228, CVE-2021-45046)
944250 Krytyczne - 5 2 Zdalne wykonywanie poleceń: wykryto podejrzaną metodę Java

MS-ThreatIntel-WebShells

Identyfikator zasady Ważność oceny anomalii Poziom paranoi opis
99005002 Krytyczne - 5 2 Próba interakcji z powłoką internetową (POST)
99005003 Krytyczne - 5 2 Próba przekazania powłoki internetowej (POST) — CHOPPER PHP
99005004 Krytyczne - 5 2 Próba przekazania powłoki internetowej (POST) — CHOPPER ASPX
99005005 Krytyczne - 5 2 Próba interakcji z powłoką internetową
99005006 Krytyczne - 5 2 Próba interakcji z programem Spring4Shell

MS-ThreatIntel-AppSec

Identyfikator zasady Ważność oceny anomalii Poziom paranoi opis
99030001 Krytyczne - 5 2 Uchylanie się od przechodzenia ścieżki w nagłówkach (/.. /./.. /)
99030002 Krytyczne - 5 2 Uchylanie się od przechodzenia ścieżki w treści żądania (/.. /./.. /)

MS-ThreatIntel-SQLI

Identyfikator zasady Ważność oceny anomalii Poziom paranoi opis
99031001 Ostrzeżenie - 3 2 Atak polegający na wstrzyknięciu kodu SQL: wykryto typowe testy iniekcji
99031002 Krytyczne - 5 2 Wykryto sekwencję komentarzy SQL
99031003 Krytyczne - 5 2 Atak polegający na wstrzyknięciu kodu SQL
99031004 Krytyczne - 5 2 Wykrywa podstawowe próby obejścia uwierzytelniania SQL 2/3

MS-ThreatIntel-CVEs

Identyfikator zasady Ważność oceny anomalii Poziom paranoi opis
99001001 Krytyczne - 5 2 Podjęto próbę użycia interfejsu API REST F5 tmui (CVE-2020-5902) Ze znanymi poświadczeniami
99001002 Krytyczne - 5 2 Podjęto próbę przejścia katalogu Citrix NSC_USER CVE-2019-19781
99001003 Krytyczne - 5 2 Podjęto próbę wykorzystania łącznika widżetu Confluence Atlassian CVE-2019-3396
99001004 Krytyczne - 5 2 Próba wykorzystania szablonu niestandardowego Pulse Secure CVE-2020-8243
99001005 Krytyczne - 5 2 Próba wykorzystania konwertera typów programu SharePoint CVE-2020-0932
99001006 Krytyczne - 5 2 Próba przejścia katalogu Pulse Connect CVE-2019-11510
99001007 Krytyczne - 5 2 Podjęto próbę dołączenia lokalnego pliku junos J-Web CVE-2020-1631
99001008 Krytyczne - 5 2 Podjęto próbę przejścia ścieżki fortinet CVE-2018-13379
99001009 Krytyczne - 5 2 Podjęto próbę wstrzyknięcia struts apache ognl CVE-2017-5638
99001010 Krytyczne - 5 2 Podjęto próbę wstrzyknięcia struts platformy Apache CVE-2017-12611
99001011 Krytyczne - 5 2 Podjęto próbę przejścia ścieżki Oracle WebLogic CVE-2020-14882
99001012 Krytyczne - 5 2 Podjęto próbę wykorzystania niezabezpieczonego deserializacji telerik WebUI CVE-2019-18935
99001013 Krytyczne - 5 2 Podjęto próbę deserializacji XML niezabezpieczonego programu SharePoint CVE-2019-0604
99001014 Krytyczne - 5 2 Podjęto próbę wstrzyknięcia wyrażenia routingu Spring Cloud CVE-2022-22963
99001015 Krytyczne - 5 2 Podjęto próbę wykorzystania niebezpiecznych obiektów klasy Spring Framework CVE-2022-22965
99001016 Krytyczne - 5 2 Podjęto próbę wstrzyknięcia siłownika spring Cloud Gateway CVE-2022-22947
99001017 Krytyczne - 5 2 Podjęto próbę przekazania pliku Apache Struts cve-2023-50164

Uwaga

Podczas przeglądania dzienników zapory aplikacji internetowej może zostać wyświetlony identyfikator reguły 949110. Opis reguły może zawierać wynik anomalii dla ruchu przychodzącego przekroczony.

Ta reguła wskazuje, że łączny wynik anomalii dla żądania przekroczył maksymalny dozwolony wynik. Aby uzyskać więcej informacji, zobacz Anomaly scoring (Ocenianie anomalii).

Podczas dostosowywania zasad zapory aplikacji internetowej należy zbadać inne reguły, które zostały wyzwolone przez żądanie, aby można było dostosować konfigurację zapory aplikacji internetowej. Aby uzyskać więcej informacji, zobacz Dostrajanie usługi Azure Web Application Firewall dla usługi Azure Front Door.

Treści powiązane