Regras e grupos de regras DRS do Firewall de Aplicativo Web

O WAF (firewall do aplicativo Web) do Azure Front Door protege os aplicativos Web contra vulnerabilidades e explorações comuns. Os conjuntos de regras gerenciados pelo Azure oferecem uma maneira fácil de implantar a proteção contra um conjunto comum de ameaças de segurança. Como esses conjuntos de regras são gerenciados pelo Azure, as regras são atualizadas conforme necessário para proteção contra novas assinaturas de ataque. O conjunto de regras padrão também inclui as regras de Coleta de Inteligência contra Ameaças da Microsoft, que são escritas em parceria com a equipe de inteligência da Microsoft para fornecer maior cobertura, patches para vulnerabilidades específicas e melhor redução de falsos positivos.

Conjuntos de regras padrão

O DRS (Conjunto de Regras Padrão) gerenciado pelo Azure inclui regras contra as seguintes categorias de ameaça:

  • Script entre sites
  • Ataques de Java
  • Inclusão de arquivo local
  • Ataque de injeção de PHP
  • Execução de comando remoto
  • Inclusão de arquivo remoto
  • Fixação da sessão
  • Proteção contra injeção de SQL
  • Invasores de protocolo

O número de versão do DRS será incrementado quando novas assinaturas de ataque forem adicionadas ao conjunto de regras.

O DRS é habilitado por padrão no modo de detecção nas políticas de WAF. Você pode desabilitar ou habilitar regras individuais dentro do Conjunto de Regras Padrão para atender aos requisitos do aplicativo. Você também pode definir ações específicas por regra. As ações disponíveis são: Permitir, Bloquear, Registrar e Redirecionar.

Às vezes, você pode omitir certos atributos de solicitação de uma avaliação do WAF. Um exemplo comum são os tokens inseridos pelo Active Directory que são usados para autenticação. Você pode configurar uma lista de exclusões para uma regra gerenciada, para um grupo de regras ou para todo o conjunto de regras. Para obter mais informações, confira WAF (Firewall de Aplicativo Web) com listas de exclusões do Front Door.

Por padrão, as versões 2.0 e superiores do DRS aproveitarão a pontuação de anomalias quando uma solicitação corresponder a uma regra. As versões anteriores a 2.0 do DRS bloqueiam as solicitações que disparam as regras. Além disso, as regras personalizadas poderão ser configuradas na mesma política WAF se você desejar ignorar qualquer uma das regras pré-configuradas no Conjunto de Regras Padrão.

As regras personalizadas sempre são aplicadas antes de as regras no conjunto de regras padrão serem avaliadas. Se uma solicitação corresponder a uma regra personalizada, a ação de regra correspondente será aplicada. A solicitação é bloqueada ou passada pelo back-end. Nenhuma outra regra personalizada ou as regras no Conjunto de Regras Padrão são processadas. Você também pode remover o Conjunto de Regras Padrão de suas políticas WAF.

Regras de coleta de inteligência contra ameaças da Microsoft

As regras de coleta de inteligência contra ameaças da Microsoft são escritas em parceria com a equipe de Inteligência contra Ameaças da Microsoft para fornecer maior cobertura, patches para vulnerabilidades específicas e melhor redução de falsos positivos.

Algumas das regras internas do DRS são desabilitadas por padrão porque foram substituídas por regras mais recentes na Coleta de Inteligência contra Ameaças da Microsoft. Por exemplo, a ID da regra 942440, Sequência de Comentários SQL Detectada., foi desabilitada e substituída pela regra 99031002 da Coleta de Inteligência contra Ameaças da Microsoft. A regra substituída reduz o risco de detecções falsas positivas de solicitações legítimas.

Pontuação de anomalias

Quando você usa o DRS 2.0 ou posterior, o WAF usa a pontuação de anomalias. O tráfego que corresponde a qualquer regra não é imediatamente bloqueado, mesmo quando o WAF está no modo de prevenção. Em vez disso, os conjuntos de regras OWASP definem uma gravidade para cada regra: Crítico, Erro, Aviso ou Informativo. A gravidade afeta um valor numérico para a solicitação, que é chamado de pontuação de anomalias:

Gravidade da regra Valor que contribuiu para a pontuação de anomalias
Crítico 5
Erro 4
Aviso 3
Informativo 2

Se a pontuação de anomalias for 5 ou maior, o WAF bloqueará a solicitação.

Por exemplo, uma correspondência de regra Crítica única é suficiente para o WAF bloquear uma solicitação, pois a pontuação geral de anomalias é 5. Entretanto, uma correspondência de regra de Aviso aumenta apenas a pontuação de anomalias em 3, o que não é suficiente para bloquear o tráfego.

Quando o WAF usa a versão mais antiga do conjunto de regras padrão (antes do DRS 2.0), o WAF é executado no modo tradicional. O tráfego que corresponde a qualquer regra é considerado independentemente de qualquer outra correspondência de regra. No modo tradicional, você não tem visibilidade do conjunto completo de regras que corresponde a uma solicitação específica.

A versão do DRS que você usa também determina quais tipos de conteúdo têm suporte para inspeção do corpo da solicitação. Para obter mais informações, confira O WAF dá suporte a quais tipos de conteúdo? nas perguntas frequentes.

DRS 2.1

As regras do DRS 2.1 oferecem uma proteção melhor do que as versões anteriores do DRS. Isso inclui regras adicionais desenvolvidas pela equipe de Inteligência contra Ameaças da Microsoft e atualizações nas assinaturas para reduzir os falsos positivos. Ele também dá suporte a transformações além da decodificação de URL.

O DRS 2.1 inclui 17 grupos de regras, conforme mostrado na tabela a seguir. Cada grupo contém várias regras, e você pode personalizar o comportamento das regras individuais, dos grupos de regras ou de todo o conjunto de regras. Para obter mais informações, confira Ajustando o WAF (Firewall de Aplicativo Web) no Azure Front Door.

Observação

O DRS 2.1 só está disponível no Azure Front Door Premium.

Grupo de regras Descrição
Geral Grupo geral
METHOD-ENFORCEMENT Métodos de bloqueio (PUT, PATCH)
PROTOCOL-ENFORCEMENT Protege contra problemas de protocolo e codificação
PROTOCOL-ATTACK Protege contra injeção de cabeçalho, solicitações indesejadas e divisão de resposta
APPLICATION-ATTACK-LFI Protege contra ataques de arquivo e caminho
APPLICATION-ATTACK-RFI Protege contra ataques de inclusão de arquivo remoto (RFI)
APPLICATION-ATTACK-RCE Protege novamente contra ataques de execução remota de código
APPLICATION-ATTACK-PHP Protege contra ataques de injeção de PHP
APPLICATION-ATTACK-NodeJS Protege contra ataques de Node JS
APPLICATION-ATTACK-XSS Protege contra ataques de scripts entre sites
APPLICATION-ATTACK-SQLI Protege contra ataques de injeção de SQL
APPLICATION-ATTACK-SESSION-FIXATION Protege contra ataques de fixação de sessão
APPLICATION-ATTACK-SESSION-JAVA Protege contra ataques JAVA
MS-ThreatIntel-WebShells Protege contra ataques de web shell
MS-ThreatIntel-AppSec Protege contra ataques do AppSec
MS-ThreatIntel-SQLI Protege contra ataques SQLI
MS-ThreatIntel-CVEs Protege contra ataques CVE

Regras desabilitadas

As seguintes regras estão desabilitadas por padrão no DRS 2.1:

ID da regra Grupo de regras Descrição Detalhes
942110 SQLI Ataque de injeção de SQL: teste de injeção comum detectado Substituído pela regra 99031001 da MSTIC
942150 SQLI Ataque de injeção de SQL Substituído pela regra 99031003 da MSTIC
942260 SQLI Detecta tentativas básicas de bypass de autenticação SQL 2/3 Substituído pela regra 99031004 da MSTIC
942430 SQLI Detecção restrita de anomalias de caracteres SQL (args): # de caracteres especiais excedidos (12) Excesso de falsos positivos.
942440 SQLI Sequência de comentários SQL detectada Substituído pela regra 99031002 da MSTIC
99005006 MS-ThreatIntel-WebShells Tentativa de interação do Spring4Shell Habilitar a regra para evitar a vulnerabilidade do SpringShell
99001014 MS-ThreatIntel-CVEs Tentativa de injeção de expressão de roteamento do Spring Cloud CVE-2022-22963 Habilitar a regra para evitar a vulnerabilidade do SpringShell
99001015 MS-ThreatIntel-WebShells Tentativa de exploração de objeto de classe não segura do Spring Framework CVE-2022-22965 Habilitar a regra para evitar a vulnerabilidade do SpringShell
99001016 MS-ThreatIntel-WebShells Tentativa de injeção do Actuator do Spring Cloud Gateway CVE-2022-22947 Habilitar a regra para evitar a vulnerabilidade do SpringShell

DRS 2.0

As regras do DRS 2.0 oferecem uma proteção maior do que as versões anteriores do DRS. Ele também dá suporte a transformações além da decodificação de URL.

O DRS 2.0 inclui 17 grupos de regras, conforme mostrado na tabela a seguir. Cada grupo contém várias regras e você pode desabilitar regras individuais, bem como grupos de regras inteiros.

Observação

O DRS 2.0 só está disponível no Azure Front Door Premium.

Grupo de regras Descrição
Geral Grupo geral
METHOD-ENFORCEMENT Métodos de bloqueio (PUT, PATCH)
PROTOCOL-ENFORCEMENT Protege contra problemas de protocolo e codificação
PROTOCOL-ATTACK Protege contra injeção de cabeçalho, solicitações indesejadas e divisão de resposta
APPLICATION-ATTACK-LFI Protege contra ataques de arquivo e caminho
APPLICATION-ATTACK-RFI Protege contra ataques de inclusão de arquivo remoto (RFI)
APPLICATION-ATTACK-RCE Protege novamente contra ataques de execução remota de código
APPLICATION-ATTACK-PHP Protege contra ataques de injeção de PHP
APPLICATION-ATTACK-NodeJS Protege contra ataques de Node JS
APPLICATION-ATTACK-XSS Protege contra ataques de scripts entre sites
APPLICATION-ATTACK-SQLI Protege contra ataques de injeção de SQL
APPLICATION-ATTACK-SESSION-FIXATION Protege contra ataques de fixação de sessão
APPLICATION-ATTACK-SESSION-JAVA Protege contra ataques JAVA
MS-ThreatIntel-WebShells Protege contra ataques de web shell
MS-ThreatIntel-AppSec Protege contra ataques do AppSec
MS-ThreatIntel-SQLI Protege contra ataques SQLI
MS-ThreatIntel-CVEs Protege contra ataques CVE

DRS 1.1

Grupo de regras Descrição
PROTOCOL-ATTACK Protege contra injeção de cabeçalho, solicitações indesejadas e divisão de resposta
APPLICATION-ATTACK-LFI Protege contra ataques de arquivo e caminho
APPLICATION-ATTACK-RFI Protege contra ataques de inclusão de arquivo remoto
APPLICATION-ATTACK-RCE Protege contra execução remota de comando
APPLICATION-ATTACK-PHP Protege contra ataques de injeção de PHP
APPLICATION-ATTACK-XSS Protege contra ataques de scripts entre sites
APPLICATION-ATTACK-SQLI Protege contra ataques de injeção de SQL
APPLICATION-ATTACK-SESSION-FIXATION Protege contra ataques de fixação de sessão
APPLICATION-ATTACK-SESSION-JAVA Protege contra ataques JAVA
MS-ThreatIntel-WebShells Protege contra ataques de web shell
MS-ThreatIntel-AppSec Protege contra ataques do AppSec
MS-ThreatIntel-SQLI Protege contra ataques SQLI
MS-ThreatIntel-CVEs Protege contra ataques CVE

DRS 1.0

Grupo de regras Descrição
PROTOCOL-ATTACK Protege contra injeção de cabeçalho, solicitações indesejadas e divisão de resposta
APPLICATION-ATTACK-LFI Protege contra ataques de arquivo e caminho
APPLICATION-ATTACK-RFI Protege contra ataques de inclusão de arquivo remoto
APPLICATION-ATTACK-RCE Protege contra execução remota de comando
APPLICATION-ATTACK-PHP Protege contra ataques de injeção de PHP
APPLICATION-ATTACK-XSS Protege contra ataques de scripts entre sites
APPLICATION-ATTACK-SQLI Protege contra ataques de injeção de SQL
APPLICATION-ATTACK-SESSION-FIXATION Protege contra ataques de fixação de sessão
APPLICATION-ATTACK-SESSION-JAVA Protege contra ataques JAVA
MS-ThreatIntel-WebShells Protege contra ataques de web shell
MS-ThreatIntel-CVEs Protege contra ataques CVE

Regras de bot

Grupo de regras Descrição
BadBots Protege contra bots inválidos
GoodBots Identifica bots válidos
UnknownBots Identifica bots desconhecidos

As regras e os grupos de regras a seguir estão disponíveis ao usar o Firewall de Aplicativo Web no Azure Front Door.

Conjuntos de regras da versão 2.1

Geral

RuleId Descrição
200002 Falha ao analisar o corpo da solicitação.
200003 Falha na validação estrita do corpo da solicitação de várias partes

METHOD ENFORCEMENT

RuleId Descrição
911100 O método não é permitido pela política

PROTOCOL-ENFORCEMENT

RuleId Descrição
920100 Linha de solicitação de HTTP inválida
920120 Tentativa de bypass de dados de várias partes/formulário
920121 Tentativa de bypass de dados de várias partes/formulário
920160 O cabeçalho Content-Length HTTP não é numérico.
920170 Solicitação GET ou HEAD com conteúdo no corpo.
920171 Solicitação GET ou HEAD com codificação de transferência.
920180 Solicitação POST com cabeçalho Content-Length ausente.
920181 Cabeçalhos Content-Length e Transfer-Encoding presentes 99001003
920190 Intervalo: último valor de byte inválido.
920200 Intervalo: excesso de campos (seis ou mais)
920201 Intervalo: muitos campos para a solicitação de PDF (35 ou mais)
920210 Dados de cabeçalho de conexão em grande número ou conflitantes.
920220 Tentativa de ataque de abuso de codificação de URL
920230 Várias codificações de URL detectadas
920240 Tentativa de ataque de abuso de codificação de URL
920260 Tentativa de ataque de abuso de meia largura/largura total
920270 Caractere inválido na solicitação (caractere nulo)
920271 Caractere inválido na solicitação (caracteres não imprimíveis)
920280 Solicitação com cabeçalho de host ausente
920290 Cabeçalho de host vazio
920300 Falta cabeçalho de aceitação da solicitação
920310 A solicitação tem cabeçalho de aceitação vazio
920311 A solicitação tem cabeçalho de aceitação vazio
920320 Cabeçalho do agente de usuário ausente
920330 Cabeçalho do agente do usuário vazio
920340 A solicitação tem conteúdo, mas o cabeçalho Content-Type está ausente
920341 A solicitação tem conteúdo, mas o cabeçalho Content-Type está ausente
920350 O cabeçalho de host é um endereço IP numérico
920420 O tipo de conteúdo da solicitação não é permitido pela política
920430 A versão do protocolo HTTP não é permitida pela política
920440 A extensão de arquivo da URL é restrita pela política
920450 O cabeçalho HTTP é restrita pela política
920470 Cabeçalho de tipo de conteúdo ilegal
920480 O conjunto de caracteres do tipo de conteúdo de solicitação não é permitido pela política
920500 Tentativa de acessar um arquivo de backup ou de trabalho

PROTOCOL-ATTACK

RuleId Descrição
921110 Ataque de solicitação HTTP indesejada
921120 Ataque de divisão de resposta HTTP
921130 Ataque de divisão de resposta HTTP
921140 Ataque de injeção de cabeçalho HTTP por meio de cabeçalhos
921150 Ataque de injeção de cabeçalho HTTP por meio de conteúdo (CR/LF detectado)
921151 Ataque de injeção de cabeçalho HTTP por meio de conteúdo (CR/LF detectado)
921160 Ataque de injeção de cabeçalho HTTP por meio de conteúdo (CR/LF e header-name detectado)
921190 Divisão de HTTP (CR/LF no nome do arquivo de solicitação detectado)
921200 Ataques de injeção de LDAP

LFI - Inclusão de arquivo local

RuleId Descrição
930100 Ataques de percurso de caminho (/../)
930110 Ataques de percurso de caminho (/../)
930120 Tentativa de acesso ao arquivo do sistema operacional
930130 Tentativa de acesso a arquivo restrito

RFI - Inclusão de arquivo remoto

RuleId Descrição
931100 Possível ataque de RFI (inclusão de arquivo remoto): parâmetro de URL usando endereço IP
931110 Possível ataque de RFI (inclusão de arquivo remoto): nome de parâmetro vulnerável de RFI comum usado com carga de URL
931120 Possível ataque de RFI (inclusão de arquivo remoto): carga de URL usada com o caractere de ponto de interrogação à direita (?)
931130 Possível ataque de RFI (inclusão de arquivo remoto): referência/link fora do domínio

RCE – Execução remota de comando

RuleId Descrição
932100 Execução de comando remoto: injeção de comando Unix
932105 Execução de comando remoto: injeção de comando Unix
932110 Execução de comando remoto: injeção de comando Windows
932115 Execução de comando remoto: injeção de comando Windows
932120 Execução remota de comando: comando do Windows PowerShell encontrado
932130 Execução de comando remoto: vulnerabilidade de confluência ou expressão do Unix Shell (CVE-2022-26134) encontrada
932140 Execução remota de comando: comando Windows FOR/IF encontrado
932150 Execução de comando remoto: execução direta de comando Unix
932160 Execução remota de comando: código shell do Unix encontrado
932170 Execução remota de comando: shellshock (CVE-2014-6271)
932171 Execução remota de comando: shellshock (CVE-2014-6271)
932180 Tentativa de carregamento de arquivo restrito

Ataques de PHP

RuleId Descrição
933100 Ataque de injeção de PHP: marca de abertura/fechamento encontrada
933110 Ataque de injeção de PHP: carregamento de arquivo de script PHP encontrado
933120 Ataque de injeção de PHP: diretiva de configuração encontrada
933130 Ataque de injeção de PHP: variáveis encontradas
933140 Ataque de injeção de PHP: fluxo de E/S encontrado
933150 Ataque de injeção de PHP: nome da função PHP de alto risco encontrado
933151 Ataque de injeção de PHP: nome de função PHP de médio risco encontrado
933160 Ataque de injeção de PHP: chamada de função PHP de alto risco encontrada
933170 Ataque de injeção de PHP: injeção de objeto serializado
933180 Ataque de injeção de PHP: chamada de função de variável encontrada
933200 Ataque de injeção de PHP: esquema de wrapper detectado
933210 Ataque de injeção de PHP: chamada de função de variável encontrada

Ataques Node JS

RuleId Descrição
934100 Ataque de injeção Node.js

XSS – Script entre sites

RuleId Descrição
941100 Ataque de XSS detectado via libinjection
941101 Ataque de XSS detectado via libinjection.
Essa regra detecta solicitações com um cabeçalho de Referência.
941110 Filtro XSS – Categoria 1: vetor de marca de script
941120 Filtro XSS – Categoria 2: vetor de manipulador de eventos
941130 Filtro XSS – Categoria 3: vetor de atributo
941140 Filtro XSS – Categoria 4: vetor de URI de JavaScript
941150 Filtro XSS – Categoria 5: atributos HTML não permitidos
941160 NoScript XSS InjectionChecker: injeção de HTML
941170 NoScript XSS InjectionChecker: injeção de atributo
941180 Palavras-chave da lista negra do validador de nós
941190 XSS usando folhas de estilos
941200 XSS usando quadros VML
941210 XSS usando JavaScript ofuscado
941220 XSS usando script de VB ofuscado
941230 XSS usando a marca 'embed'
941240 XSS usando o atributo 'import' ou 'implementation'
941250 Filtros XSS do IE - ataque detectado.
941260 XSS usando a marca 'meta'
941270 XSS usando href 'link'
941280 XSS usando a marca 'base'
941290 XSS usando a marca 'applet'
941300 XSS usando a marca 'object'
941310 Filtro XSS de codificação mal feita US-ASCII - ataque detectado.
941320 Possível ataque XSS detectado - manipulador de marcação HTML
941330 Filtros XSS do IE - ataque detectado.
941340 Filtros XSS do IE - ataque detectado.
941350 Codificação UTF-7 IE XSS - ataque detectado.
941360 Ofuscação de JavaScript detectada.
941370 Variável global de JavaScript encontrada
941380 Injeção de modelo detectada no lado do cliente do AngularJS

Observação

Este artigo contém referências ao termo lista de bloqueios, um termo que a Microsoft não usa mais. Quando o termo for removido do software, também o removeremos deste artigo.

SQLI – Injeção de SQL

RuleId Descrição
942100 Ataque de injeção de SQL detectado via libinjection
942110 Ataque de injeção de SQL: teste de injeção comum detectado
942120 Ataque de injeção de SQL: operador SQL detectado
942140 Ataque de injeção de SQL: nomes comuns de banco de dados detectados
942150 Ataque de injeção de SQL
942160 Detecta testes sqli cegos usando sleep() ou benchmark().
942170 Detecta tentativas de injeção de sleep e benchmark SQL, incluindo consultas condicionais
942180 Detecta tentativas básicas de bypass de autenticação SQL 1/3
942190 Detecta tentativas de coleta de informações e de execução do código MSSQL
942200 Detecta injeções de comment-/space-obfuscated e o encerramento de backticks do MySQL
942210 Detecta tentativas encadeadas de injeção de SQL 1/2
942220 Procurando ataques de estouro de inteiros, que são retirados do skipfish, exceto 3.0.00738585072007e-308, que é o "número mágico" de falha
942230 Detecta tentativas de injeção de SQL condicionais
942240 Detecta a troca de conjunto de caracteres MySQL e tentativas de DoS MSSQL
942250 Detecta injeções de MATCH AGAINST, MERGE e EXECUTE IMMEDIATE
942260 Detecta tentativas básicas de bypass de autenticação SQL 2/3
942270 Procurando injeção de sql básica. Cadeia de ataque comum para MySQL, Oracle e outros.
942280 Detecta injeção de pg_sleep de do Postgres, ataques de atraso waitfor e tentativas de desligamento de banco de dados
942290 Localiza tentativas de injeção de SQL MongoDB básica
942300 Detecta comentários, condições e injeções ch(a)r do MySQL
942310 Detecta tentativas encadeadas de injeção de SQL 2/2
942320 Detecta injeções de função/procedimento armazenado em MySQL e PostgreSQL
942330 Detecta investigações de injeção de SQL clássicas 1/2
942340 Detecta tentativas básicas de bypass de autenticação SQL 3/3
942350 Detecta injeção de UDF MySQL e outras tentativas de manipulação de dados/estrutura
942360 Detecta injeções de SQL básicas concatenadas e tentativas de SQLLFI
942361 Detecta a injeção de SQL básica com base na alteração ou união de palavra-chave
942370 Detecta investigações de injeção de SQL clássicas 2/2
942380 Ataque de injeção de SQL
942390 Ataque de injeção de SQL
942400 Ataque de injeção de SQL
942410 Ataque de injeção de SQL
942430 Detecção restrita de anomalias de caracteres SQL (args): # de caracteres especiais excedidos (12)
942440 Sequência de comentários SQL detectada
942450 Codificação hexadecimal de SQL identificada
942460 Alerta de detecção de anomalias de metacaracteres - caracteres repetitivos que não são palavras
942470 Ataque de injeção de SQL
942480 Ataque de injeção de SQL
942500 Comentário embutido do MySQL detectado.
942510 Tentativa de bypass de SQLi por ticks ou backticks detectada.

SESSION-FIXATION

RuleId Descrição
943100 Possível ataque de fixação de sessão: definindo valores de cookie em HTML
943110 Possível ataque de fixação de sessão: nome do parâmetro de SessionID com referenciador fora do domínio
943120 Possível ataque de fixação de sessão: nome do parâmetro de SessionID sem referenciador

Ataques de Java

RuleId Descrição
944100 Execução remota de comando: Apache Struts, Oracle WebLogic
944110 Detecta a execução de carga potencial
944120 Possível execução de carga e execução remota de comando
944130 Classes Java suspeitas
944200 Exploração do Apache Commons de desserialização do Java
944210 Possível uso da serialização Java
944240 Execução de comando remoto: serialização de Java e vulnerabilidade Log4j (CVE-2021-44228, CVE-2021-45046)
944250 Execução remota de comando: método Java suspeito detectado

MS-ThreatIntel-WebShells

RuleId Descrição
99005002 Tentativa de interação de web shell (POST)
99005003 Web Shell Upload Attempt (POST) - CHOPPER PHP
99005004 Tentativa de upload de web shell (POST) - CHOPPER ASPX
99005005 Tentativa de interação de web shell
99005006 Tentativa de interação do Spring4Shell

MS-ThreatIntel-AppSec

RuleId Descrição
99030001 Evasão de percurso de caminho em cabeçalhos (/.././../)
99030002 Evasão de percurso de caminho no corpo da solicitação (/.././../)

MS-ThreatIntel-SQLI

RuleId Descrição
99031001 Ataque de injeção de SQL: teste de injeção comum detectado
99031002 Sequência de comentário SQL detectada.
99031003 Ataque de injeção de SQL
99031004 Detecta tentativas básicas de bypass de autenticação SQL 2/3

MS-ThreatIntel-CVEs

RuleId Descrição
99001001 Tentativa de exploração da API REST de F5 tmui (CVE-2020-5902) com credenciais conhecidas
99001002 Tentativa de passagem de diretório do Citrix NSC_USER CVE-2019-19781
99001003 Tentativa de exploração do Conector de Widget do Atlassian Confluence CVE-2019-3396
99001004 Tentativa de exploração de modelo personalizado do Pulse Secure CVE-2020-8243
99001005 Tentativa de exploração do conversor de tipo do SharePoint CVE-2020-0932
99001006 Tentativa de passagem de diretório do Pulse Connect CVE-2019-11510
99001007 Tentativa de inclusão do arquivo local do Junos OS J-Web CVE-2020-1631
99001008 Tentativa de passagem de caminho do Fortinet CVE-2018-13379
99001009 Tentativa de injeção de ognl do Apache Struts CVE-2017-5638
99001010 Tentativa de injeção de ognl do Apache Struts CVE-2017-12611
99001011 Tentativa de passagem de caminho do Oracle WebLogic CVE-2020-14882
99001012 Tentativa de exploração de desserialização não segura da WebUI do Telerik CVE-2019-18935
99001013 Tentativa de desserialização de XML não segura do SharePoint CVE-2019-0604
99001014 Tentativa de injeção de expressão de roteamento do Spring Cloud CVE-2022-22963
99001015 Tentativa de exploração de objeto de classe não segura do Spring Framework CVE-2022-22965
99001016 Tentativa de injeção do Actuator do Spring Cloud Gateway CVE-2022-22947

Observação

Ao revisar os logs do WAF, você poderá ver a ID da regra 949110. A descrição da regra pode incluir a Pontuação de Anomalias de Entrada Excedida.

Essa regra indica que a pontuação total de anomalias para a solicitação excedeu a máxima permitida. Para obter mais informações, confira Pontuação de anomalias.

Ao ajustar as políticas do WAF, você precisa investigar as outras regras que foram disparadas pela solicitação para que seja possível ajustar a configuração do WAF. Para obter mais informações, confira Ajustando o WAF (Firewall de Aplicativo Web) no Azure Front Door.

Próximas etapas