Reguły i grupy reguł usługi replikacji danych w usłudze Web Application Firewall
Usługa Azure Web Application Firewall w usłudze Azure Front Door chroni aplikacje internetowe przed typowymi lukami w zabezpieczeniach i programami wykorzystującymi luki w zabezpieczeniach. Zestawy reguł zarządzanych przez platformę Azure umożliwiają łatwe wdrażanie ochrony przed typowym zestawem zagrożeń bezpieczeństwa. Ponieważ platforma Azure zarządza tymi zestawami reguł, reguły są aktualizowane zgodnie z potrzebami w celu ochrony przed nowymi sygnaturami ataków.
Domyślny zestaw reguł (DRS) obejmuje również reguły zbierania danych analizy zagrożeń firmy Microsoft, które są napisane we współpracy z zespołem analizy firmy Microsoft w celu zapewnienia zwiększonego pokrycia, poprawek dla określonych luk w zabezpieczeniach i lepszej fałszywie dodatniej redukcji.
Uwaga
Po zmianie wersji zestawu reguł w zasadach zapory aplikacji internetowej wszelkie istniejące dostosowania wprowadzone w zestawie reguł zostaną zresetowane do ustawień domyślnych dla nowego zestawu reguł. Zobacz: Uaktualnianie lub zmienianie wersji zestawu reguł.
Domyślne zestawy reguł
Usługa DRS zarządzana przez platformę Azure obejmuje reguły dotyczące następujących kategorii zagrożeń:
- Skrypty między witrynami
- Ataki w języku Java
- Włączenie plików lokalnych
- Ataki iniekcyjne w języku PHP
- Zdalne wykonywanie poleceń
- Włączenie plików zdalnych
- Fiksacja sesji
- Ochrona przed atakami polegającymi na iniekcji SQL
- Atakujący protokoły
Numer wersji drS zwiększa się po dodaniu nowych podpisów ataków do zestawu reguł.
Usługa DRS jest domyślnie włączona w trybie wykrywania w zasadach zapory aplikacji internetowej. Możesz wyłączyć lub włączyć poszczególne reguły w usłudze DRS, aby spełnić wymagania aplikacji. Można również ustawić określone akcje na regułę. Dostępne akcje to Zezwalaj, Blokuj, Dzienniki i Przekierowywanie.
Czasami może być konieczne pominięcie niektórych atrybutów żądania z oceny zapory aplikacji internetowej (WAF). Typowym przykładem są wstawiane tokeny usługi Active Directory, które są używane do uwierzytelniania. Możesz skonfigurować listę wykluczeń dla reguły zarządzanej, grupy reguł lub całego zestawu reguł. Aby uzyskać więcej informacji, zobacz Azure Web Application Firewall on Azure Front Door exclusion lists (Usługa Azure Web Application Firewall na listach wykluczeń usługi Azure Front Door).
Domyślnie usługa DRS w wersji 2.0 lub nowszej używa oceniania anomalii, gdy żądanie jest zgodne z regułą. Wersje drS starsze niż 2.0 blokują żądania wyzwalające reguły. Ponadto reguły niestandardowe można skonfigurować w tych samych zasadach zapory aplikacji internetowej, jeśli chcesz pominąć dowolne wstępnie skonfigurowane reguły w usłudze DRS.
Reguły niestandardowe są zawsze stosowane przed oceną reguł w usłudze DRS. Jeśli żądanie pasuje do reguły niestandardowej, zostanie zastosowana odpowiednia akcja reguły. Żądanie jest zablokowane lub przekazywane do zaplecza. Żadne inne reguły niestandardowe ani reguły w usłudze DRS nie są przetwarzane. Możesz również usunąć usługę DRS z zasad zapory aplikacji internetowej.
Reguły zbierania danych analizy zagrożeń firmy Microsoft
Reguły zbierania danych analizy zagrożeń firmy Microsoft są napisane we współpracy z zespołem analizy zagrożeń firmy Microsoft w celu zapewnienia zwiększonego pokrycia, poprawek dla określonych luk w zabezpieczeniach i lepszej fałszywie dodatniej redukcji.
Domyślnie reguły zbierania danych analizy zagrożeń firmy Microsoft zastępują niektóre wbudowane reguły odzyskiwania po awarii, co powoduje ich wyłączenie. Na przykład identyfikator reguły 942440, wykryta sekwencja komentarzy SQL została wyłączona i zastąpiona przez regułę zbierania danych analizy zagrożeń firmy Microsoft 99031002. Zastąpiona reguła zmniejsza ryzyko fałszywie dodatnich wykryć z uzasadnionych żądań.
Ocenianie anomalii
W przypadku korzystania z usługi DRS 2.0 lub nowszej zapora aplikacji internetowej używa oceniania anomalii. Ruch zgodny z dowolną regułą nie jest natychmiast blokowany, nawet jeśli zapora aplikacji internetowej jest w trybie zapobiegania. Zamiast tego zestawy reguł OWASP definiują ważność dla każdej reguły: Krytyczne, Błąd, Ostrzeżenie lub Powiadomienie. Ważność ma wpływ na wartość liczbową żądania, która jest nazywana oceną anomalii. Jeśli żądanie gromadzi wynik anomalii o wartości 5 lub większej, zapora aplikacji internetowej podejmuje działania na żądanie.
| Ważność reguły | Wartość przyczyniła się do wyniku anomalii |
|---|---|
| Krytyczne | 5 |
| Błąd | 100 |
| Ostrzeżenie | 3 |
| Uwaga | 2 |
Podczas konfigurowania zapory aplikacji internetowej możesz zdecydować, w jaki sposób zapora aplikacji internetowej obsługuje żądania przekraczające próg oceny anomalii 5. Trzy opcje akcji oceny anomalii to Blokuj, Dziennik lub Przekierowanie. Akcja oceny anomalii wybrana w momencie konfiguracji jest stosowana do wszystkich żądań, które przekraczają próg oceny anomalii.
Jeśli na przykład wynik anomalii wynosi 5 lub większy w żądaniu, a zapora aplikacji internetowej jest w trybie zapobiegania z ustawioną akcją oceny anomalii ustawioną na Wartość Blokuj, żądanie zostanie zablokowane. Jeśli wynik anomalii wynosi 5 lub więcej w żądaniu, a zapora aplikacji internetowej jest w trybie wykrywania, żądanie jest rejestrowane, ale nie jest blokowane.
Dopasowanie pojedynczej reguły krytycznej wystarczy, aby zapora aplikacji internetowej zablokowała żądanie w trybie zapobiegania z ustawioną akcją oceny anomalii na wartość Blokuj, ponieważ ogólny wynik anomalii wynosi 5. Jednak jedno dopasowanie reguły ostrzeżenia zwiększa tylko wynik anomalii o 3, co nie wystarczy, aby zablokować ruch. Po wyzwoleniu reguły anomalii w dziennikach zostanie wyświetlona akcja "dopasowana". Jeśli wynik anomalii ma wartość 5 lub większą, zostanie wyzwolona osobna reguła z akcją oceny anomalii skonfigurowaną dla zestawu reguł. Domyślna akcja oceny anomalii to Blokuj, co powoduje wpis dziennika z akcją blocked.
Jeśli zapora aplikacji internetowej używa starszej wersji domyślnego zestawu reguł (przed drS 2.0), zapora aplikacji internetowej jest uruchamiana w trybie tradycyjnym. Ruch zgodny z dowolną regułą jest uznawany niezależnie od innych dopasowań reguł. W trybie tradycyjnym nie masz wglądu w pełny zestaw reguł pasujących do określonego żądania.
Wersja używanego odzyskiwania po awarii określa również, które typy zawartości są obsługiwane w przypadku inspekcji treści żądań. Aby uzyskać więcej informacji, zobacz Jakie typy zawartości obsługuje zapora aplikacji internetowej? w często zadawanych pytaniach.
Uaktualnianie lub zmienianie wersji zestawu reguł
Jeśli uaktualniasz lub przypisujesz nową wersję zestawu reguł i chcesz zachować istniejące przesłonięcia i wykluczenia reguł, zaleca się użycie programu PowerShell, interfejsu wiersza polecenia, interfejsu API REST lub szablonów w celu wprowadzenia zmian wersji zestawu reguł. Nowa wersja zestawu reguł może mieć nowsze reguły, dodatkowe grupy reguł i mogą mieć aktualizacje istniejących podpisów w celu wymuszenia lepszych zabezpieczeń i zmniejszenia liczby wyników fałszywie dodatnich. Zaleca się zweryfikowanie zmian w środowisku testowym, dostrojenie w razie potrzeby, a następnie wdrożenie w środowisku produkcyjnym.
Uwaga
Jeśli używasz witryny Azure Portal do przypisywania nowego zarządzanego zestawu reguł do zasad zapory aplikacji internetowej, wszystkie poprzednie dostosowania istniejącego zestawu reguł zarządzanych, takie jak stan reguły, akcje reguły i wykluczenia na poziomie reguły, zostaną zresetowane do ustawień domyślnych nowego zarządzanego zestawu reguł. Jednak wszelkie niestandardowe reguły lub ustawienia zasad pozostaną nienaruszone podczas nowego przypisania zestawu reguł. Przed wdrożeniem w środowisku produkcyjnym należy ponownie zdefiniować przesłonięcia reguł i zweryfikować zmiany.
DRS 2.1
Reguły drS 2.1 zapewniają lepszą ochronę niż wcześniejsze wersje usługi DRS. Obejmuje ona inne reguły opracowane przez zespół ds. analizy zagrożeń firmy Microsoft i aktualizacje podpisów w celu zmniejszenia liczby wyników fałszywie dodatnich. Obsługuje również przekształcenia wykraczające poza dekodowanie adresów URL.
Usługa DRS 2.1 zawiera 17 grup reguł, jak pokazano w poniższej tabeli. Każda grupa zawiera wiele reguł i można dostosować zachowanie poszczególnych reguł, grup reguł lub całego zestawu reguł. Usługa DRS 2.1 jest oparta na planie bazowym zestawu reguł open Web Application Security Project (OWASP) Core Rule Set (CRS) 3.3.2 i zawiera dodatkowe reguły ochrony własności opracowane przez zespół ds. analizy zagrożeń firmy Microsoft.
Aby uzyskać więcej informacji, zobacz Dostrajanie zapory aplikacji internetowej (WAF) dla usługi Azure Front Door.
Uwaga
Usługa DRS 2.1 jest dostępna tylko w usłudze Azure Front Door Premium.
| Grupa reguł | ruleGroupName | opis |
|---|---|---|
| Ogólne | Ogólne | Grupa ogólna |
| WYMUSZANIE METODY | SPOSÓB-WYMUSZENIE | Metody blokady (PUT, PATCH) |
| WYMUSZANIE PROTOKOŁU | PROTOKUŁ-WYMUSZENIE | Ochrona przed problemami z protokołem i kodowaniem |
| ATAK PROTOKOŁU | PROTOKÓŁ-ATAK | Ochrona przed wstrzyknięciem nagłówka, przemytem żądań i podziałem odpowiedzi |
| APPLICATION-ATTACK-LFI | LFI | Ochrona przed atakami na pliki i ścieżki |
| APPLICATION-ATTACK-RFI | RFI | Ochrona przed atakami zdalnego dołączania plików (RFI) |
| APPLICATION-ATTACK-RCE | RCE | Ponownie chroń ataki zdalnego wykonywania kodu |
| APPLICATION-ATTACK-PHP | PHP | Ochrona przed atakami polegającymi na wstrzyknięciu kodu PHP |
| APPLICATION-ATTACK-NodeJS | NODEJS | Ochrona przed atakami Node JS |
| APPLICATION-ATTACK-XSSS | XSS | Ochrona przed atakami skryptowymi między witrynami |
| APPLICATION-ATTACK-SQLI | SQLI | Ochrona przed atakami polegającymi na wstrzyknięciu kodu SQL |
| APPLICATION-ATTACK-SESSION-FIXATION | FIX | Ochrona przed atakami naprawiania sesji |
| APPLICATION-ATTACK-SESSION-JAVA | JAWA | Ochrona przed atakami java |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Ochrona przed atakami powłoki internetowej |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Ochrona przed atakami AppSec |
| MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | Ochrona przed atakami SQLI |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Ochrona przed atakami CVE |
Wyłączone reguły
Następujące reguły są domyślnie wyłączone dla usługi DRS 2.1.
| Identyfikator zasady | Grupa reguł | opis | Szczegóły |
|---|---|---|---|
| 942110 | SQLI | Atak polegający na wstrzyknięciu kodu SQL: wykryto typowe testy iniekcji | Zastąpione przez regułę MSTIC 99031001 |
| 942150 | SQLI | Atak polegający na wstrzyknięciu kodu SQL | Zastąpione przez 99031003 reguł MSTIC |
| 942260 | SQLI | Wykrywa podstawowe próby obejścia uwierzytelniania SQL 2/3 | Zastąpione przez regułę MSTIC 99031004 |
| 942430 | SQLI | Wykrywanie anomalii ograniczonego znaku SQL (args): liczba znaków specjalnych przekroczyła (12) | Zbyt wiele wyników fałszywie dodatnich |
| 942440 | SQLI | Wykryto sekwencję komentarzy SQL | Zastąpione przez 99031002 reguł MSTIC |
| 99005006 | MS-ThreatIntel-WebShells | Próba interakcji z programem Spring4Shell | Włącz regułę, aby zapobiec lukom w zabezpieczeniach programu SpringShell |
| 99001014 | MS-ThreatIntel-CVEs | Podjęto próbę wstrzyknięcia wyrażenia routingu Spring Cloud CVE-2022-22963 | Włącz regułę, aby zapobiec lukom w zabezpieczeniach programu SpringShell |
| 99001015 | MS-ThreatIntel-WebShells | Podjęto próbę wykorzystania niebezpiecznych obiektów klasy Spring Framework CVE-2022-22965 | Włącz regułę, aby zapobiec lukom w zabezpieczeniach programu SpringShell |
| 99001016 | MS-ThreatIntel-WebShells | Podjęto próbę wstrzyknięcia siłownika spring Cloud Gateway CVE-2022-22947 | Włącz regułę, aby zapobiec lukom w zabezpieczeniach programu SpringShell |
| 99001017 | MS-ThreatIntel-CVEs | Podjęto próbę przekazania pliku Apache Struts cve-2023-50164. | Włącz regułę, aby zapobiec lukom w zabezpieczeniach apache Struts |
DRS 2.0
Reguły drS 2.0 zapewniają lepszą ochronę niż wcześniejsze wersje usługi DRS. Usługa DRS 2.0 obsługuje również przekształcenia wykraczające poza dekodowanie tylko adresów URL.
Usługa DRS 2.0 zawiera 17 grup reguł, jak pokazano w poniższej tabeli. Każda grupa zawiera wiele reguł. Można wyłączyć poszczególne reguły i całe grupy reguł.
Uwaga
Usługa DRS 2.0 jest dostępna tylko w usłudze Azure Front Door Premium.
| Grupa reguł | ruleGroupName | opis |
|---|---|---|
| Ogólne | Ogólne | Grupa ogólna |
| WYMUSZANIE METODY | SPOSÓB-WYMUSZENIE | Metody blokady (PUT, PATCH) |
| WYMUSZANIE PROTOKOŁU | PROTOKUŁ-WYMUSZENIE | Ochrona przed problemami z protokołem i kodowaniem |
| ATAK PROTOKOŁU | PROTOKÓŁ-ATAK | Ochrona przed wstrzyknięciem nagłówka, przemytem żądań i podziałem odpowiedzi |
| APPLICATION-ATTACK-LFI | LFI | Ochrona przed atakami na pliki i ścieżki |
| APPLICATION-ATTACK-RFI | RFI | Ochrona przed atakami zdalnego dołączania plików (RFI) |
| APPLICATION-ATTACK-RCE | RCE | Ponownie chroń ataki zdalnego wykonywania kodu |
| APPLICATION-ATTACK-PHP | PHP | Ochrona przed atakami polegającymi na wstrzyknięciu kodu PHP |
| APPLICATION-ATTACK-NodeJS | NODEJS | Ochrona przed atakami Node JS |
| APPLICATION-ATTACK-XSSS | XSS | Ochrona przed atakami skryptowymi między witrynami |
| APPLICATION-ATTACK-SQLI | SQLI | Ochrona przed atakami polegającymi na wstrzyknięciu kodu SQL |
| APPLICATION-ATTACK-SESSION-FIXATION | FIX | Ochrona przed atakami naprawiania sesji |
| APPLICATION-ATTACK-SESSION-JAVA | JAWA | Ochrona przed atakami java |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Ochrona przed atakami powłoki internetowej |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Ochrona przed atakami AppSec |
| MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | Ochrona przed atakami SQLI |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Ochrona przed atakami CVE |
DRS 1.1
| Grupa reguł | ruleGroupName | opis |
|---|---|---|
| ATAK PROTOKOŁU | PROTOKÓŁ-ATAK | Ochrona przed wstrzyknięciem nagłówka, przemytem żądań i podziałem odpowiedzi |
| APPLICATION-ATTACK-LFI | LFI | Ochrona przed atakami na pliki i ścieżki |
| APPLICATION-ATTACK-RFI | RFI | Ochrona przed atakami zdalnego dołączania plików |
| APPLICATION-ATTACK-RCE | RCE | Ochrona przed zdalnym wykonywaniem poleceń |
| APPLICATION-ATTACK-PHP | PHP | Ochrona przed atakami polegającymi na wstrzyknięciu kodu PHP |
| APPLICATION-ATTACK-XSSS | XSS | Ochrona przed atakami skryptowymi między witrynami |
| APPLICATION-ATTACK-SQLI | SQLI | Ochrona przed atakami polegającymi na wstrzyknięciu kodu SQL |
| APPLICATION-ATTACK-SESSION-FIXATION | FIX | Ochrona przed atakami naprawiania sesji |
| APPLICATION-ATTACK-SESSION-JAVA | JAWA | Ochrona przed atakami java |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Ochrona przed atakami powłoki internetowej |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Ochrona przed atakami AppSec |
| MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | Ochrona przed atakami SQLI |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Ochrona przed atakami CVE |
DRS 1.0
| Grupa reguł | ruleGroupName | opis |
|---|---|---|
| ATAK PROTOKOŁU | PROTOKÓŁ-ATAK | Ochrona przed wstrzyknięciem nagłówka, przemytem żądań i podziałem odpowiedzi |
| APPLICATION-ATTACK-LFI | LFI | Ochrona przed atakami na pliki i ścieżki |
| APPLICATION-ATTACK-RFI | RFI | Ochrona przed atakami zdalnego dołączania plików |
| APPLICATION-ATTACK-RCE | RCE | Ochrona przed zdalnym wykonywaniem poleceń |
| APPLICATION-ATTACK-PHP | PHP | Ochrona przed atakami polegającymi na wstrzyknięciu kodu PHP |
| APPLICATION-ATTACK-XSSS | XSS | Ochrona przed atakami skryptowymi między witrynami |
| APPLICATION-ATTACK-SQLI | SQLI | Ochrona przed atakami polegającymi na wstrzyknięciu kodu SQL |
| APPLICATION-ATTACK-SESSION-FIXATION | FIX | Ochrona przed atakami naprawiania sesji |
| APPLICATION-ATTACK-SESSION-JAVA | JAWA | Ochrona przed atakami java |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Ochrona przed atakami powłoki internetowej |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Ochrona przed atakami CVE |
Bot Manager 1.0
Zestaw reguł usługi Bot Manager 1.0 zapewnia ochronę przed złośliwymi botami i wykrywaniem dobrych botów. Reguły zapewniają szczegółową kontrolę nad botami wykrytymi przez zaporę aplikacji internetowej przez kategoryzowanie ruchu bota jako Dobre, Złe lub Nieznane boty.
| Grupa reguł | opis |
|---|---|
| BadBots | Ochrona przed złymi botami |
| GoodBots | Identyfikowanie dobrych botów |
| UnknownBots | Identyfikowanie nieznanych botów |
Bot Manager 1.1
Zestaw reguł usługi Bot Manager 1.1 to ulepszenie zestawu reguł usługi Bot Manager 1.0. Zapewnia on rozszerzoną ochronę przed złośliwymi botami i zwiększa dobre wykrywanie botów.
| Grupa reguł | opis |
|---|---|
| BadBots | Ochrona przed złymi botami |
| GoodBots | Identyfikowanie dobrych botów |
| UnknownBots | Identyfikowanie nieznanych botów |
Następujące grupy reguł i reguły są dostępne w przypadku korzystania z usługi Azure Web Application Firewall w usłudze Azure Front Door.
Zestawy reguł 2.1
Ogólne
| RuleId | opis |
|---|---|
| 200002 | Nie można przeanalizować treści żądania |
| 200003 | Treść żądania wieloczęściowego nie powiodła się ścisłej walidacji |
Wymuszanie metody
| RuleId | opis |
|---|---|
| 911100 | Metoda nie jest dozwolona przez zasady |
Wymuszenie protokołu
| RuleId | opis |
|---|---|
| 920100 | Nieprawidłowy wiersz żądania HTTP. |
| 920120 | Podjęto próbę obejścia wieloczęściowego/formularza danych. |
| 920121 | Podjęto próbę obejścia wieloczęściowego/formularza danych. |
| 920160 | Nagłówek HTTP o długości zawartości nie jest numeryczny. |
| 920170 | Żądanie GET lub HEAD z treścią. |
| 920171 | Żądanie GET lub HEAD z kodowaniem transferu. |
| 920180 | Brak nagłówka content-length żądania POST. |
| 920181 | Nagłówki Content-Length i Transfer-Encoding przedstawiają 99001003. |
| 920190 | Zakres: nieprawidłowa wartość ostatniego bajtu. |
| 920200 | Zakres: zbyt wiele pól (co najmniej 6). |
| 920201 | Zakres: zbyt wiele pól dla żądania pdf (co najmniej 35). |
| 920210 | Znaleziono wiele/konfliktowe dane nagłówka połączenia. |
| 920220 | Próba ataku na nadużycie kodowania adresu URL. |
| 920230 | Wykryto kodowanie wielu adresów URL. |
| 920240 | Próba ataku na nadużycie kodowania adresu URL. |
| 920260 | Atak na ataki typu Full/Half Width Unicode. |
| 920270 | Nieprawidłowy znak w żądaniu (znak null). |
| 920271 | Nieprawidłowy znak w żądaniu (znaki niedrukowalne). |
| 920280 | Żądanie braku nagłówka hosta. |
| 920290 | Pusty nagłówek hosta. |
| 920300 | Żądanie braku nagłówka accept. |
| 920310 | Żądanie ma pusty nagłówek Accept. |
| 920311 | Żądanie ma pusty nagłówek Accept. |
| 920320 | Brak nagłówka agenta użytkownika. |
| 920330 | Pusty nagłówek agenta użytkownika. |
| 920340 | Żądanie zawierające zawartość, ale brak nagłówka Content-Type. |
| 920341 | Żądanie zawierające zawartość wymaga nagłówka Content-Type. |
| 920350 | Nagłówek hosta jest numerycznym adresem IP. |
| 920420 | Typ zawartości żądania nie jest dozwolony przez zasady. |
| 920430 | Wersja protokołu HTTP nie jest dozwolona przez zasady. |
| 920440 | Rozszerzenie pliku adresu URL jest ograniczone przez zasady. |
| 920450 | Nagłówek HTTP jest ograniczony przez zasady. |
| 920470 | Nagłówek niedozwolonego typu zawartości. |
| 920480 | Ustawienie charset typu zawartości żądania nie jest dozwolone przez zasady. |
| 920500 | Spróbuj uzyskać dostęp do kopii zapasowej lub pliku roboczego. |
Atak na protokół
| RuleId | opis |
|---|---|
| 921110 | Atak przemytu żądań HTTP |
| 921120 | Atak dzielenia odpowiedzi HTTP |
| 921130 | Atak dzielenia odpowiedzi HTTP |
| 921140 | Atak polegający na wstrzyknięciu nagłówka HTTP za pośrednictwem nagłówków |
| 921150 | Atak polegający na wstrzyknięciu nagłówka HTTP za pośrednictwem ładunku (wykryto cr/LF) |
| 921151 | Atak polegający na wstrzyknięciu nagłówka HTTP za pośrednictwem ładunku (wykryto cr/LF) |
| 921160 | Atak polegający na wstrzyknięciu nagłówka HTTP za pośrednictwem ładunku (wykryto wartość CR/LF i nazwę nagłówka) |
| 921190 | Dzielenie HTTP (CR/LF w wykrytej nazwie żądania) |
| 921200 | Atak polegający na wstrzyknięciu protokołu LDAP |
LFI: Lokalne dołączanie plików
| RuleId | opis |
|---|---|
| 930100 | Atak przechodzenia ścieżki (/.. /) |
| 930110 | Atak przechodzenia ścieżki (/.. /) |
| 930120 | Próba uzyskania dostępu do pliku systemu operacyjnego |
| 930130 | Próba dostępu do plików z ograniczeniami |
RFI: Zdalne dołączanie plików
| RuleId | opis |
|---|---|
| 931100 | Możliwy atak zdalnego dołączania plików (RFI): parametr adresu URL przy użyciu adresu IP |
| 931110 | Możliwy atak zdalnego dołączania plików (RFI): typowa nazwa parametru podatnego na ataki RFI używana w/URL ładunku |
| 931120 | Możliwy zdalny atak dołączania plików (RFI): ładunek adresu URL używany w/końcowy znak znaku zapytania (?) |
| 931130 | Możliwy atak zdalnego dołączania plików (RFI): odwołanie poza domeną/łącze |
RCE: Zdalne wykonywanie poleceń
| RuleId | opis |
|---|---|
| 932100 | Zdalne wykonywanie poleceń: Wstrzykiwanie poleceń w systemie Unix |
| 932105 | Zdalne wykonywanie poleceń: Wstrzykiwanie poleceń w systemie Unix |
| 932110 | Zdalne wykonywanie poleceń: iniekcja poleceń systemu Windows |
| 932115 | Zdalne wykonywanie poleceń: iniekcja poleceń systemu Windows |
| 932120 | Zdalne wykonywanie poleceń: znaleziono polecenie programu Windows PowerShell |
| 932130 | Zdalne wykonywanie poleceń: znaleziono lukę w zabezpieczeniach wyrażeniu powłoki unix lub confluence (CVE-2022-26134) |
| 932140 | Zdalne wykonywanie poleceń: znaleziono polecenie Windows FOR/IF |
| 932150 | Zdalne wykonywanie poleceń: bezpośrednie wykonywanie poleceń systemu Unix |
| 932160 | Zdalne wykonywanie poleceń: znaleziono kod powłoki systemu Unix |
| 932170 | Zdalne wykonywanie poleceń: Shellshock (CVE-2014-6271) |
| 932171 | Zdalne wykonywanie poleceń: Shellshock (CVE-2014-6271) |
| 932180 | Próba przekazania pliku z ograniczeniami |
Ataki PHP
| RuleId | opis |
|---|---|
| 933100 | Atak polegający na wstrzyknięciu kodu PHP: znaleziono znacznik otwierający/zamykający |
| 933110 | Atak polegający na wstrzyknięciu kodu PHP: znaleziono plik skryptu PHP |
| 933120 | Atak polegający na wstrzyknięciu kodu PHP: znaleziono dyrektywę konfiguracji |
| 933130 | Atak polegający na wstrzyknięciu kodu PHP: znalezione zmienne |
| 933140 | Atak polegający na wstrzyknięciu kodu PHP: Znaleziono strumień we/wy |
| 933150 | Atak polegający na wstrzyknięciu kodu PHP: znaleziono nazwę funkcji PHP o wysokim ryzyku |
| 933151 | Atak polegający na wstrzyknięciu kodu PHP: znaleziona nazwa funkcji PHP o średnim ryzyku |
| 933160 | Atak polegający na wstrzyknięciu kodu PHP: znaleziono wywołanie funkcji PHP o wysokim ryzyku |
| 933170 | Atak polegający na wstrzyknięciu kodu PHP: wstrzyknięcie obiektu serializowanego |
| 933180 | Atak polegający na wstrzyknięciu kodu PHP: znaleziono wywołanie funkcji zmiennej |
| 933200 | Atak polegający na wstrzyknięciu kodu PHP: wykryto schemat otoki |
| 933210 | Atak polegający na wstrzyknięciu kodu PHP: znaleziono wywołanie funkcji zmiennej |
Ataki js węzła
| RuleId | opis |
|---|---|
| 934100 | atak polegający na wstrzyknięciu Node.js |
XSS: wykonywanie skryptów między witrynami
| RuleId | opis |
|---|---|
| 941100 | Wykryto atak XSS za pośrednictwem libinjection |
| 941101 | Wykryto atak XSS za pośrednictwem libinjection Reguła wykrywa żądania z nagłówkiem Referer |
| 941110 | Filtr XSS — kategoria 1: wektor tagu skryptu |
| 941120 | Filtr XSS — kategoria 2: wektor obsługi zdarzeń |
| 941130 | Filtr XSS — kategoria 3: wektor atrybutu |
| 941140 | Filtr XSS — kategoria 4: wektor identyfikatora URI języka JavaScript |
| 941150 | Filtr XSS — kategoria 5: niedozwolone atrybuty HTML |
| 941160 | NoScript XSS InjectionChecker: wstrzykiwanie kodu HTML |
| 941170 | NoScript XSS InjectionChecker: Iniekcja atrybutów |
| 941180 | Słowa kluczowe listy bloków modułu sprawdzania poprawności węzła |
| 941190 | XSS z użyciem arkuszy stylów |
| 941200 | XSS z ramkami VML |
| 941210 | Usługa XSS korzystająca z zaciemnionego kodu JavaScript |
| 941220 | XSS używający zaciemnionego skryptu VB |
| 941230 | XSS przy użyciu embed tagu |
| 941240 | XSS przy użyciu atrybutu import lub implementation |
| 941250 | Filtry XSS IE — wykryto atak |
| 941260 | XSS przy użyciu meta tagu |
| 941270 | XSS przy użyciu link href |
| 941280 | XSS przy użyciu base tagu |
| 941290 | XSS przy użyciu applet tagu |
| 941300 | XSS przy użyciu object tagu |
| 941310 | Źle sformułowany filtr XSS kodowania US-ASCII — wykryto atak |
| 941320 | Wykryto możliwy atak XSS — procedura obsługi tagów HTML |
| 941330 | Filtry XSS IE — wykryto atak |
| 941340 | Filtry XSS IE — wykryto atak |
| 941350 | Kodowanie UTF-7 IE XSS — wykryto atak |
| 941360 | Wykryto zaciemnianie kodu JavaScript |
| 941370 | Znaleziono zmienną globalną języka JavaScript |
| 941380 | Wykryto wstrzyknięcie szablonu po stronie klienta AngularJS |
SQLI: iniekcja SQL
| RuleId | opis |
|---|---|
| 942100 | Wykryto atak polegający na wstrzyknięciu kodu SQL za pośrednictwem libinjection. |
| 942110 | Atak polegający na wstrzyknięciu kodu SQL: wykryto typowe testy iniekcji. |
| 942120 | Atak polegający na wstrzyknięciu kodu SQL: wykryto operator SQL. |
| 942140 | Atak polegający na wstrzyknięciu kodu SQL: wykryto typowe nazwy baz danych. |
| 942150 | Atak polegający na wstrzyknięciu kodu SQL. |
| 942160 | Wykrywa ślepe testy SQLI przy użyciu funkcji sleep() lub benchmark(). |
| 942170 | Wykrywa próby testu porównawczego SQL i iniekcji snu, w tym zapytania warunkowe. |
| 942180 | Wykrywa podstawowe próby obejścia uwierzytelniania SQL 1/3. |
| 942190 | Wykrywa wykonywanie kodu MSSQL i próby zbierania informacji. |
| 942200 | Wykrywa iniekcje komentarza/spacji mySQL i zakończenie backtick. |
| 942210 | Wykrywa łańcuchowe próby wstrzyknięcia kodu SQL 1/2. |
| 942220 | Szukając ataków przepełnienia liczb całkowitych, pochodzą one z skipfish, z wyjątkiem 3.0.00738585072007e-308 jest "liczbą magiczną". |
| 942230 | Wykrywa próby wstrzyknięcia warunkowego kodu SQL. |
| 942240 | Wykrywa przełącznik znaków MySQL i próby msSQL DoS. |
| 942250 | Wykrywa metody MATCH AGAINST, MERGE i EXECUTE NATYCHMIASTOWE iniekcje. |
| 942260 | Wykrywa podstawowe próby obejścia uwierzytelniania SQL 2/3. |
| 942270 | Szukasz podstawowego wstrzyknięcia kodu SQL. Typowy ciąg ataku dla baz danych MySQL, Oracle i innych. |
| 942280 | Wykrywa wstrzyknięcie pg_sleep bazy danych Postgres, oczekiwanie na ataki opóźnione i próby zamknięcia bazy danych. |
| 942290 | Znajduje podstawowe próby wstrzyknięcia kodu SQL bazy danych MongoDB. |
| 942300 | Wykrywa komentarze, warunki i wstrzyknięcia bazy danych MySQL(a)r. |
| 942310 | Wykrywa łańcuchowe próby wstrzyknięcia kodu SQL 2/2. |
| 942320 | Wykrywa procedury składowane/iniekcje funkcji MySQL i PostgreSQL. |
| 942330 | Wykrywa klasyczne sondowania iniekcji SQL 1/2. |
| 942340 | Wykrywa podstawowe próby obejścia uwierzytelniania SQL 3/3. |
| 942350 | Wykrywa iniekcję funkcji zdefiniowanej przez użytkownika mySQL i inne próby manipulowania danymi/strukturą. |
| 942360 | Wykrywa połączoną podstawową iniekcję SQL i próby SQLLFI. |
| 942361 | Wykrywa podstawowe wstrzyknięcie kodu SQL na podstawie zmiany lub unii słowa kluczowego. |
| 942370 | Wykrywa klasyczne sondowania iniekcji SQL 2/2. |
| 942380 | Atak polegający na wstrzyknięciu kodu SQL. |
| 942390 | Atak polegający na wstrzyknięciu kodu SQL. |
| 942400 | Atak polegający na wstrzyknięciu kodu SQL. |
| 942410 | Atak polegający na wstrzyknięciu kodu SQL. |
| 942430 | Wykrywanie anomalii ograniczonego znaku SQL (args): liczba znaków specjalnych przekroczyła (12). |
| 942440 | Wykryto sekwencję komentarzy SQL. |
| 942450 | Zidentyfikowano kodowanie szesnastkowy SQL. |
| 942460 | Alert wykrywania anomalii metaznacznych — powtarzające się znaki inne niż word. |
| 942470 | Atak polegający na wstrzyknięciu kodu SQL. |
| 942480 | Atak polegający na wstrzyknięciu kodu SQL. |
| 942500 | Wykryto komentarz w wierszu bazy danych MySQL. |
| 942510 | Wykryto próbę obejścia SQLi przez znaczniki lub backticks. |
Fiksacja sesji
| RuleId | opis |
|---|---|
| 943100 | Możliwy atak naprawy sesji: ustawianie wartości plików cookie w kodzie HTML |
| 943110 | Możliwy atak naprawy sesji: nazwa parametru SessionID z odwołaniem poza domeną |
| 943120 | Możliwy atak naprawy sesji: nazwa parametru SessionID bez odwołania |
Ataki w języku Java
| RuleId | opis |
|---|---|
| 944100 | Zdalne wykonywanie poleceń: Apache Struts, Oracle WebLogic |
| 944110 | Wykrywa potencjalne wykonanie ładunku |
| 944120 | Możliwe wykonywanie ładunku i zdalne wykonywanie poleceń |
| 944130 | Podejrzane klasy języka Java |
| 944200 | Wykorzystanie deserializacji języka Java Apache Commons |
| 944210 | Możliwe użycie serializacji języka Java |
| 944240 | Zdalne wykonywanie poleceń: luka w zabezpieczeniach dotycząca serializacji Java i log4j (CVE-2021-44228, CVE-2021-45046) |
| 944250 | Zdalne wykonywanie poleceń: wykryto podejrzaną metodę Java |
MS-ThreatIntel-WebShells
| RuleId | opis |
|---|---|
| 99005002 | Próba interakcji z powłoką internetową (POST) |
| 99005003 | Próba przekazania powłoki internetowej (POST) — CHOPPER PHP |
| 99005004 | Próba przekazania powłoki internetowej (POST) — CHOPPER ASPX |
| 99005005 | Próba interakcji z powłoką internetową |
| 99005006 | Próba interakcji z programem Spring4Shell |
MS-ThreatIntel-AppSec
| RuleId | opis |
|---|---|
| 99030001 | Uchylanie się od przechodzenia ścieżki w nagłówkach (/.. /./.. /) |
| 99030002 | Uchylanie się od przechodzenia ścieżki w treści żądania (/.. /./.. /) |
MS-ThreatIntel-SQLI
| RuleId | opis |
|---|---|
| 99031001 | Atak polegający na wstrzyknięciu kodu SQL: wykryto typowe testy iniekcji |
| 99031002 | Wykryto sekwencję komentarzy SQL |
| 99031003 | Atak polegający na wstrzyknięciu kodu SQL |
| 99031004 | Wykrywa podstawowe próby obejścia uwierzytelniania SQL 2/3 |
MS-ThreatIntel-CVEs
| RuleId | opis |
|---|---|
| 99001001 | Podjęto próbę użycia interfejsu API REST F5 tmui (CVE-2020-5902) Ze znanymi poświadczeniami |
| 99001002 | Podjęto próbę przejścia katalogu Citrix NSC_USER CVE-2019-19781 |
| 99001003 | Podjęto próbę wykorzystania łącznika widżetu Confluence Atlassian CVE-2019-3396 |
| 99001004 | Próba wykorzystania szablonu niestandardowego Pulse Secure CVE-2020-8243 |
| 99001005 | Próba wykorzystania konwertera typów programu SharePoint CVE-2020-0932 |
| 99001006 | Próba przejścia katalogu Pulse Connect CVE-2019-11510 |
| 99001007 | Podjęto próbę dołączenia lokalnego pliku junos J-Web CVE-2020-1631 |
| 99001008 | Podjęto próbę przejścia ścieżki fortinet CVE-2018-13379 |
| 99001009 | Podjęto próbę wstrzyknięcia struts apache ognl CVE-2017-5638 |
| 99001010 | Podjęto próbę wstrzyknięcia struts platformy Apache CVE-2017-12611 |
| 99001011 | Podjęto próbę przejścia ścieżki Oracle WebLogic CVE-2020-14882 |
| 99001012 | Podjęto próbę wykorzystania niezabezpieczonego deserializacji telerik WebUI CVE-2019-18935 |
| 99001013 | Podjęto próbę deserializacji XML niezabezpieczonego programu SharePoint CVE-2019-0604 |
| 99001014 | Podjęto próbę wstrzyknięcia wyrażenia routingu Spring Cloud CVE-2022-22963 |
| 99001015 | Podjęto próbę wykorzystania niebezpiecznych obiektów klasy Spring Framework CVE-2022-22965 |
| 99001016 | Podjęto próbę wstrzyknięcia siłownika spring Cloud Gateway CVE-2022-22947 |
| 99001017 | Podjęto próbę przekazania pliku Apache Struts cve-2023-50164 |
Uwaga
Podczas przeglądania dzienników zapory aplikacji internetowej może zostać wyświetlony identyfikator reguły 949110. Opis reguły może zawierać wynik anomalii dla ruchu przychodzącego przekroczony.
Ta reguła wskazuje, że łączny wynik anomalii dla żądania przekroczył maksymalny dozwolony wynik. Aby uzyskać więcej informacji, zobacz Anomaly scoring (Ocenianie anomalii).
Podczas dostosowywania zasad zapory aplikacji internetowej należy zbadać inne reguły, które zostały wyzwolone przez żądanie, aby można było dostosować konfigurację zapory aplikacji internetowej. Aby uzyskać więcej informacji, zobacz Dostrajanie usługi Azure Web Application Firewall dla usługi Azure Front Door.