Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Firewall de Aplicativo Web do Azure no Azure Front Door protege aplicativos Web contra vulnerabilidades e explorações comuns. Os conjuntos de regras gerenciados pelo Azure fornecem uma maneira fácil de implantar proteção contra um conjunto comum de ameaças à segurança. Como o Azure gerencia esses conjuntos de regras, as regras são atualizadas conforme necessário para proteger contra novas assinaturas de ataque.
O Conjunto de Regras Padrão (DRS) também inclui as regras de Coleta de Inteligência de Ameaças da Microsoft que são escritas em parceria com a equipe de Inteligência da Microsoft para fornecer maior cobertura, patches para vulnerabilidades específicas e melhor redução de falsos positivos.
Nota
Quando uma versão do conjunto de regras é alterada em uma Política WAF, todas as personalizações existentes feitas no conjunto de regras serão redefinidas para os padrões do novo conjunto de regras. Consulte: Atualizando ou alterando a versão do conjunto de regras.
Conjuntos de regras padrão
O DRS gerenciado pelo Azure inclui regras contra as seguintes categorias de ameaça:
- Scripting entre sites
- Ataques Java
- Inclusão de ficheiro local
- Ataques de injeção PHP
- Execução remota de comandos
- Inclusão de ficheiro remoto
- Fixação de sessão
- Proteção contra injeção de SQL
- Atacantes de protocolo
O número da versão do DRS é incrementado quando novas assinaturas de ataque são adicionadas ao conjunto de regras.
O DRS está habilitado por padrão no modo de deteção em suas políticas WAF. Você pode desabilitar ou habilitar regras individuais dentro do DRS para atender aos requisitos do seu aplicativo. Você também pode definir ações específicas por regra. As ações disponíveis são Permitir, Bloquear, Registrar e Redirecionar.
Às vezes, talvez seja necessário omitir determinados atributos de solicitação de uma avaliação de firewall de aplicativo Web (WAF). Um exemplo comum são os tokens inseridos no Ative Directory que são usados para autenticação. Você pode configurar uma lista de exclusão para uma regra gerenciada, um grupo de regras ou todo o conjunto de regras. Para obter mais informações, consulte Azure Web Application Firewall em listas de exclusão do Azure Front Door.
Por padrão, as versões 2.0 e superiores do DRS usam pontuação de anomalia quando uma solicitação corresponde a uma regra. As versões do DRS anteriores à 2.0 bloqueiam solicitações que acionam as regras. Além disso, as regras personalizadas podem ser configuradas na mesma política WAF se você quiser ignorar qualquer uma das regras pré-configuradas no DRS.
As regras personalizadas são sempre aplicadas antes que as regras no DRS sejam avaliadas. Se uma solicitação corresponder a uma regra personalizada, a ação de regra correspondente será aplicada. A solicitação é bloqueada ou passada para o back-end. Nenhuma outra regra personalizada ou as regras no DRS são processadas. Você também pode remover o DRS de suas políticas WAF.
Regras de Recolha de Informações sobre Ameaças da Microsoft
As regras da Coleta de Inteligência de Ameaças da Microsoft são escritas em parceria com a equipe de Inteligência de Ameaças da Microsoft para fornecer maior cobertura, patches para vulnerabilidades específicas e melhor redução de falsos positivos.
Por padrão, as regras do Microsoft Threat Intelligence Collection substituem algumas das regras DRS internas, fazendo com que elas sejam desabilitadas. Por exemplo, a ID da regra 942440, SQL Comment Sequence Detected, foi desativada e substituída pela regra Microsoft Threat Intelligence Collection 99031002. A regra substituída reduz o risco de deteções de falsos positivos a partir de pedidos legítimos.
Pontuação de anomalias
Quando você usa o DRS 2.0 ou posterior, o WAF usa a pontuação de anomalias. O tráfego que corresponde a qualquer regra não é imediatamente bloqueado, mesmo quando o WAF está no modo de prevenção. Em vez disso, os conjuntos de regras OWASP definem uma gravidade para cada regra: Crítica, Erro, Aviso ou Aviso. A gravidade afeta um valor numérico para a solicitação, que é chamado de pontuação de anomalia. Se uma solicitação acumular uma pontuação de anomalia igual ou superior a 5, o WAF tomará medidas sobre a solicitação.
| Severidade da regra | O valor contribuiu para a pontuação de anomalia |
|---|---|
| Crítico | 5 |
| Erro | 4 |
| Aviso | 3 |
| Aviso | 2 |
Ao configurar seu WAF, você pode decidir como o WAF lida com solicitações que excedem o limite de pontuação de anomalia de 5. As três opções de ação de pontuação de anomalia são Bloquear, Registrar ou Redirecionar. A ação de pontuação de anomalia selecionada no momento da configuração é aplicada a todas as solicitações que excedem o limite de pontuação de anomalia.
Por exemplo, se a pontuação de anomalia for 5 ou superior em uma solicitação e o WAF estiver no modo de Prevenção com a ação de pontuação de anomalia definida como Bloquear, a solicitação será bloqueada. Se a pontuação de anomalia for 5 ou superior em uma solicitação e o WAF estiver no modo de Deteção, a solicitação será registrada, mas não bloqueada.
Uma única correspondência de regra crítica é suficiente para o WAF bloquear uma solicitação quando estiver no modo de Prevenção com a ação de pontuação de anomalia definida como Bloquear porque a pontuação geral de anomalia é 5. No entanto, uma correspondência de regra de aviso só aumenta a pontuação de anomalia em 3, o que não é suficiente por si só para bloquear o tráfego. Quando uma regra de anomalia é acionada, ela mostra uma ação "correspondida" nos logs. Se a pontuação de anomalia for 5 ou maior, uma regra separada será acionada com a ação de pontuação de anomalia configurada para o conjunto de regras. A ação de pontuação de anomalia padrão é Bloquear, o que resulta em uma entrada de log com a ação blocked.
Quando o WAF usa uma versão mais antiga do conjunto de regras padrão (antes do DRS 2.0), o WAF é executado no modo tradicional. O tráfego que corresponde a qualquer regra é considerado independentemente de qualquer outra correspondência de regra. No modo tradicional, você não tem visibilidade do conjunto completo de regras que uma solicitação específica correspondeu.
A versão do DRS que você usa também determina quais tipos de conteúdo são suportados para inspeção de órgão de solicitação. Para obter mais informações, consulte Quais tipos de conteúdo o WAF suporta nas Perguntas frequentes.
Nível de paranoia
Cada regra é atribuída em um Nível de Paranoia (PL) específico. As regras configuradas na Paranoia Nível 1 (PL1) são menos agressivas e quase nunca desencadeiam um falso positivo. Eles fornecem segurança básica com necessidade mínima de ajustes finos. Espera-se que as regras do PL2 detetem mais ataques, mas também que desencadeiem falsos positivos que devem ser afinados.
Por padrão, todas as versões de regras DRS são pré-configuradas no Paranoia Nível 2, incluindo regras atribuídas em PL1 e PL2. Se você quiser usar o WAF exclusivamente com PL1, você pode desativar qualquer uma ou todas as regras PL2 ou alterar sua ação para 'log'. PL3 e PL4 atualmente não são suportados no Azure WAF.
Atualizando ou alterando a versão do conjunto de regras
Se você estiver atualizando ou atribuindo uma nova versão do conjunto de regras e quiser preservar as substituições e exclusões de regras existentes, é recomendável usar o PowerShell, a CLI, A API REST ou um modelo para fazer alterações na versão do conjunto de regras. Uma nova versão de um conjunto de regras pode ter regras mais recentes, grupos de regras adicionais e pode ter atualizações para assinaturas existentes para impor melhor segurança e reduzir falsos positivos. É recomendável validar as alterações em um ambiente de teste, ajustar se necessário e, em seguida, implantar em um ambiente de produção.
Nota
Se você estiver usando o portal do Azure para atribuir um novo conjunto de regras gerenciado a uma política WAF, todas as personalizações anteriores do conjunto de regras gerenciado existente, como estado da regra, ações de regra e exclusões de nível de regra, serão redefinidas para os padrões do novo conjunto de regras gerenciado. No entanto, quaisquer regras personalizadas ou configurações de política permanecerão inalteradas durante a atribuição do novo conjunto de regras. Você precisará atualizar exceções de regras e validar as alterações antes de desenvolver em um ambiente de produção.
DRS 2,1
As regras do DRS 2.1 oferecem melhor proteção do que as versões anteriores do DRS. Ele inclui outras regras desenvolvidas pela equipe de Inteligência de Ameaças da Microsoft e atualizações de assinaturas para reduzir falsos positivos. Ele também suporta transformações além da decodificação de URL.
O DRS 2.1 inclui 17 grupos de regras, conforme mostrado na tabela a seguir. Cada grupo contém várias regras e você pode personalizar o comportamento para regras individuais, grupos de regras ou um conjunto de regras inteiro. O DRS 2.1 é baseado no Open Web Application Security Project (OWASP) Core Rule set (CRS) 3.3.2 e inclui regras de proteção proprietárias adicionais desenvolvidas pela equipe de Inteligência de Ameaças da Microsoft.
Para obter mais informações, consulte Tuning Web Application Firewall (WAF) for Azure Front Door.
Nota
O DRS 2.1 só está disponível no Azure Front Door Premium.
| Grupo de regras | nomeDoGrupoDeRegras | Descrição |
|---|---|---|
| General (Geral) | Geral | Grupo geral |
| APLICAÇÃO DO MÉTODO | IMPOSIÇÃO DE MÉTODO | Métodos de bloqueio (PUT, PATCH) |
| APLICAÇÃO DO PROTOCOLO | IMPOSIÇÃO DE PROTOCOLO | Proteja-se contra problemas de protocolo e codificação |
| PROTOCOLO-ATAQUE | ATAQUE DE PROTOCOLO | Proteja-se contra injeção de cabeçalho, contrabando de solicitações e divisão de respostas |
| APLICAÇÃO-ATAQUE-LFI | LFI | Proteja-se contra ataques de arquivos e caminhos |
| APLICAÇÃO-ATAQUE-RFI | RFI | Proteja-se contra ataques de inclusão remota de arquivos (RFI) |
| APLICAÇÃO-ATAQUE-RCE | RCE | Proteja novamente ataques de execução remota de código |
| APLICAÇÃO-ATTACK-PHP | PHP | Proteja-se contra ataques de injeção de PHP |
| APLICAÇÃO-ATAQUE-NodeJS | NODEJS | Proteja-se contra ataques JS de nó |
| APLICAÇÃO-ATTACK-XSS | XSS | Proteja-se contra ataques de script entre sites |
| APPLICATION-ATTACK-SQLI | SQLI | Proteja-se contra ataques de injeção de SQL |
| ATAQUE-À-APLICAÇÃO-FIXAÇÃO-DE-SESSÃO | CORREÇÃO | Proteja-se contra ataques de fixação de sessão |
| APLICAÇÃO-ATAQUE-SESSÃO-JAVA | JAVA | Proteja-se contra ataques JAVA |
| MS-ThreatIntel-WebShells | EM-ThreatIntel-WebShells | Proteja-se contra ataques de shell da Web |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec (Inteligência de Ameaças e Segurança de Aplicações) | Proteja-se contra ataques AppSec |
| MS-ThreatIntel-SQLI | EM-ThreatIntel-SQLI | Proteja-se contra ataques SQLI |
| MS-ThreatIntel-CVEs | EM-ThreatIntel-CVEs | Proteja-se contra ataques CVE |
Regras desativadas
As regras a seguir são desabilitadas por padrão para o DRS 2.1.
| ID da Regra | Grupo de regras | Descrição | Detalhes |
|---|---|---|---|
| 942110 | SQLI | Ataque de injeção de SQL: teste de injeção comum detetado | Substituída regra MSTIC 99031001 |
| 942150 | SQLI | Ataque de Injeção do SQL | Substituída pela regra MSTIC 99031003 |
| 942260 | SQLI | Deteta tentativas básicas de desvio de autenticação SQL 2/3 | Substituída pela regra MSTIC 99031004 |
| 942430 | SQLI | Deteção de anomalia de caracteres SQL restritos (args): # de caracteres especiais excedidos (12) | Demasiados falsos positivos |
| 942440 | SQLI | Sequência de comentários SQL detetada | Substituída regra MSTIC 99031002 |
| 99005006 | EM-ThreatIntel-WebShells | Tentativa de interação Spring4Shell | Ativar regra para prevenir contra a vulnerabilidade do SpringShell |
| 99001014 | EM-ThreatIntel-CVEs | Tentativa de injeção de expressão de roteamento do Spring Cloud CVE-2022-22963 | Ativar regra para prevenir contra a vulnerabilidade do SpringShell |
| 99001015 | EM-ThreatIntel-WebShells | Tentativa de exploração de objeto de classe não segura do Spring Framework CVE-2022-22965 | Ativar regra para prevenir contra a vulnerabilidade do SpringShell |
| 99001016 | EM-ThreatIntel-WebShells | Tentativa de injeção do Spring Cloud Gateway Actuator CVE-2022-22947 | Ativar regra para prevenir contra a vulnerabilidade do SpringShell |
| 99001017 | EM-ThreatIntel-CVEs | Tentativa de exploração de upload do arquivo Apache Struts CVE-2023-50164 | Ativar regra para prevenir contra a vulnerabilidade do Apache Struts |
DRS 2,0
As regras do DRS 2.0 oferecem melhor proteção do que as versões anteriores do DRS. O DRS 2.0 também suporta transformações além da decodificação de URL.
O DRS 2.0 inclui 17 grupos de regras, conforme mostrado na tabela a seguir. Cada grupo contém várias regras. Você pode desabilitar regras individuais e grupos de regras inteiros.
Nota
O DRS 2.0 só está disponível no Azure Front Door Premium.
| Grupo de regras | nomeDoGrupoDeRegras | Descrição |
|---|---|---|
| General (Geral) | Geral | Grupo geral |
| APLICAÇÃO DO MÉTODO | IMPOSIÇÃO DE MÉTODO | Métodos de bloqueio (PUT, PATCH) |
| APLICAÇÃO DO PROTOCOLO | IMPOSIÇÃO DE PROTOCOLO | Proteja-se contra problemas de protocolo e codificação |
| PROTOCOLO-ATAQUE | ATAQUE DE PROTOCOLO | Proteja-se contra injeção de cabeçalho, contrabando de solicitações e divisão de respostas |
| APLICAÇÃO-ATAQUE-LFI | LFI | Proteja-se contra ataques de arquivos e caminhos |
| APLICAÇÃO-ATAQUE-RFI | RFI | Proteja-se contra ataques de inclusão remota de arquivos (RFI) |
| APLICAÇÃO-ATAQUE-RCE | RCE | Proteja novamente ataques de execução remota de código |
| APLICAÇÃO-ATTACK-PHP | PHP | Proteja-se contra ataques de injeção de PHP |
| APLICAÇÃO-ATAQUE-NodeJS | NODEJS | Proteja-se contra ataques JS de nó |
| APLICAÇÃO-ATTACK-XSS | XSS | Proteja-se contra ataques de script entre sites |
| APPLICATION-ATTACK-SQLI | SQLI | Proteja-se contra ataques de injeção de SQL |
| ATAQUE-À-APLICAÇÃO-FIXAÇÃO-DE-SESSÃO | CORREÇÃO | Proteja-se contra ataques de fixação de sessão |
| APLICAÇÃO-ATAQUE-SESSÃO-JAVA | JAVA | Proteja-se contra ataques JAVA |
| MS-ThreatIntel-WebShells | EM-ThreatIntel-WebShells | Proteja-se contra ataques de shell da Web |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec (Inteligência de Ameaças e Segurança de Aplicações) | Proteja-se contra ataques AppSec |
| MS-ThreatIntel-SQLI | EM-ThreatIntel-SQLI | Proteja-se contra ataques SQLI |
| MS-ThreatIntel-CVEs | EM-ThreatIntel-CVEs | Proteja-se contra ataques CVE |
DRS 1,1
| Grupo de regras | nomeDoGrupoDeRegras | Descrição |
|---|---|---|
| PROTOCOLO-ATAQUE | ATAQUE DE PROTOCOLO | Proteja-se contra injeção de cabeçalho, contrabando de solicitações e divisão de respostas |
| APLICAÇÃO-ATAQUE-LFI | LFI | Proteja-se contra ataques de arquivos e caminhos |
| APLICAÇÃO-ATAQUE-RFI | RFI | Proteção contra ataques de inclusão remota de arquivos |
| APLICAÇÃO-ATAQUE-RCE | RCE | Proteção contra execução remota de comandos |
| APLICAÇÃO-ATTACK-PHP | PHP | Proteja-se contra ataques de injeção de PHP |
| APLICAÇÃO-ATTACK-XSS | XSS | Proteja-se contra ataques de script entre sites |
| APPLICATION-ATTACK-SQLI | SQLI | Proteja-se contra ataques de injeção de SQL |
| ATAQUE-À-APLICAÇÃO-FIXAÇÃO-DE-SESSÃO | CORREÇÃO | Proteja-se contra ataques de fixação de sessão |
| APLICAÇÃO-ATAQUE-SESSÃO-JAVA | JAVA | Proteja-se contra ataques JAVA |
| MS-ThreatIntel-WebShells | EM-ThreatIntel-WebShells | Proteja-se contra ataques de shell da Web |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec (Inteligência de Ameaças e Segurança de Aplicações) | Proteja-se contra ataques AppSec |
| MS-ThreatIntel-SQLI | EM-ThreatIntel-SQLI | Proteja-se contra ataques SQLI |
| MS-ThreatIntel-CVEs | EM-ThreatIntel-CVEs | Proteja-se contra ataques CVE |
DRS 1,0
| Grupo de regras | nomeDoGrupoDeRegras | Descrição |
|---|---|---|
| PROTOCOLO-ATAQUE | ATAQUE DE PROTOCOLO | Proteja-se contra injeção de cabeçalho, contrabando de solicitações e divisão de respostas |
| APLICAÇÃO-ATAQUE-LFI | LFI | Proteja-se contra ataques de arquivos e caminhos |
| APLICAÇÃO-ATAQUE-RFI | RFI | Proteção contra ataques de inclusão remota de arquivos |
| APLICAÇÃO-ATAQUE-RCE | RCE | Proteção contra execução remota de comandos |
| APLICAÇÃO-ATTACK-PHP | PHP | Proteja-se contra ataques de injeção de PHP |
| APLICAÇÃO-ATTACK-XSS | XSS | Proteja-se contra ataques de script entre sites |
| APPLICATION-ATTACK-SQLI | SQLI | Proteja-se contra ataques de injeção de SQL |
| ATAQUE-À-APLICAÇÃO-FIXAÇÃO-DE-SESSÃO | CORREÇÃO | Proteja-se contra ataques de fixação de sessão |
| APLICAÇÃO-ATAQUE-SESSÃO-JAVA | JAVA | Proteja-se contra ataques JAVA |
| MS-ThreatIntel-WebShells | EM-ThreatIntel-WebShells | Proteja-se contra ataques de shell da Web |
| MS-ThreatIntel-CVEs | EM-ThreatIntel-CVEs | Proteja-se contra ataques CVE |
Gerenciador de Bot 1.0
O conjunto de regras do Bot Manager 1.0 fornece proteção contra bots mal-intencionados e deteção de bons bots. As regras fornecem controle granular sobre bots detetados pelo WAF, categorizando o tráfego de bots como Bom, Ruim ou Desconhecido.
| Grupo de regras | Descrição |
|---|---|
| BadBots | Proteja-se contra bots maliciosos |
| GoodBots | Identifique bons bots |
| DesconhecidoBots | Identificar bots desconhecidos |
Gerenciador de Bot 1.1
O conjunto de regras do Bot Manager 1.1 é um aprimoramento do conjunto de regras do Bot Manager 1.0. Ele fornece proteção aprimorada contra bots mal-intencionados e aumenta a boa deteção de bots.
| Grupo de regras | Descrição |
|---|---|
| BadBots | Proteja-se contra bots maliciosos |
| GoodBots | Identifique bons bots |
| DesconhecidoBots | Identificar bots desconhecidos |
Os seguintes grupos de regras e regras estão disponíveis quando você usa o Firewall de Aplicativo Web do Azure na Porta da Frente do Azure.
2.1 Conjuntos de regras
Geral
| ID da Regra | Gravidade da pontuação de anomalia | Nível de paranoia | Descrição |
|---|---|---|---|
| 200002 | Crítica - 5 | 1 | Falha ao analisar o corpo da solicitação |
| 200003 | Crítica - 5 | 1 | O corpo da solicitação de várias partes falhou na validação estrita |
Aplicação do método
| ID da Regra | Gravidade da pontuação de anomalia | Nível de paranoia | Descrição |
|---|---|---|---|
| 911100 | Crítica - 5 | 1 | O método não é permitido pela política |
Imposição de protocolo
| ID da Regra | Gravidade da pontuação de anomalia | Nível de paranoia | Descrição |
|---|---|---|---|
| 920100 | Aviso - 2 | 1 | Linha de solicitação HTTP inválida |
| 920120 | Crítica - 5 | 1 | Tentativa de contornar multipart/form-data |
| 920121 | Crítica - 5 | 2 | Tentativa de contornar multipart/form-data |
| 920160 | Crítica - 5 | 1 | O cabeçalho HTTP Content-Length não é numérico |
| 920170 | Crítica - 5 | 1 | Solicitação GET ou HEAD com conteúdo corporal |
| 920171 | Crítica - 5 | 1 | Pedido GET ou HEAD com Transfer-Encoding |
| 920180 | Aviso - 2 | 1 | Cabeçalho de comprimento de conteúdo ausente da solicitação POST |
| 920181 | Advertência - 3 | 1 | Os cabeçalhos Content-Length e Transfer-Encoding apresentam 99001003 |
| 920190 | Advertência - 3 | 1 | Intervalo: Valor do último byte inválido |
| 920200 | Advertência - 3 | 2 | Intervalo: Demasiados campos (6 ou mais) |
| 920201 | Advertência - 3 | 2 | Intervalo: Demasiados campos para pedido de PDF (35 ou mais) |
| 920210 | Advertência - 3 | 1 | Dados de cabeçalho de conexão múltiplos/conflitantes encontrados |
| 920220 | Advertência - 3 | 1 | Tentativa de ataque de abuso de codificação de URL |
| 920230 | Advertência - 3 | 2 | Codificação de URL múltipla detetada |
| 920240 | Advertência - 3 | 1 | Tentativa de ataque de abuso de codificação de URL |
| 920260 | Advertência - 3 | 1 | Tentativa de ataque de abuso da largura completa/parcial do Unicode |
| 920270 | Crítica - 5 | 1 | Caractere inválido na solicitação (caractere nulo) |
| 920271 | Crítica - 5 | 2 | Caractere inválido na solicitação (caracteres não imprimíveis) |
| 920280 | Advertência - 3 | 1 | Solicitação faltando um cabeçalho de host |
| 920290 | Advertência - 3 | 1 | Cabeçalho de host vazio |
| 920300 | Aviso - 2 | 2 | Falta de um cabeçalho 'Accept' |
| 920310 | Aviso - 2 | 1 | A solicitação tem um cabeçalho de aceitação vazio |
| 920311 | Aviso - 2 | 1 | A solicitação tem um cabeçalho de aceitação vazio |
| 920320 | Aviso - 2 | 2 | Cabeçalho do agente de usuário ausente |
| 920330 | Aviso - 2 | 1 | Cabeçalho vazio do agente do usuário |
| 920340 | Aviso - 2 | 1 | Solicitação contendo conteúdo, mas faltando cabeçalho de tipo de conteúdo |
| 920341 | Crítica - 5 | 2 | A solicitação que contém conteúdo requer o cabeçalho Content-Type |
| 920350 | Advertência - 3 | 1 | O cabeçalho do host é um endereço IP numérico |
| 920420 | Crítica - 5 | 1 | O tipo de conteúdo de solicitação não é permitido pela política |
| 920430 | Crítica - 5 | 1 | A versão do protocolo HTTP não é permitida pela política |
| 920440 | Crítica - 5 | 1 | A extensão de arquivo URL é restrita pela política |
| 920450 | Crítica - 5 | 1 | O cabeçalho HTTP é restrito pela política |
| 920470 | Crítica - 5 | 1 | Cabeçalho de tipo de conteúdo ilegal |
| 920480 | Crítica - 5 | 1 | O charset do tipo de conteúdo de solicitação não é permitido pela política |
| 920500 | Crítica - 5 | 1 | Tentar aceder a uma cópia de segurança ou a um ficheiro de trabalho |
Ataque de protocolo
| ID da Regra | Gravidade da pontuação de anomalia | Nível de paranoia | Descrição |
|---|---|---|---|
| 921110 | Crítica - 5 | 1 | Ataque de contrabando de solicitação HTTP |
| 921120 | Crítica - 5 | 1 | Ataque de divisão de resposta HTTP |
| 921130 | Crítica - 5 | 1 | Ataque de divisão de resposta HTTP |
| 921140 | Crítica - 5 | 1 | Ataque de injeção de cabeçalho HTTP via cabeçalhos |
| 921150 | Crítica - 5 | 1 | Ataque de injeção de cabeçalho HTTP via carga útil (CR/LF detetado) |
| 921151 | Crítica - 5 | 2 | Ataque de injeção de cabeçalho HTTP via carga útil (CR/LF detetado) |
| 921160 | Crítica - 5 | 1 | Ataque de injeção de cabeçalho HTTP via carga útil (CR/LF e nome do cabeçalho detetados) |
| 921190 | Crítica - 5 | 1 | Divisão HTTP (CR/LF no nome do arquivo de solicitação detetado) |
| 921200 | Crítica - 5 | 1 | Ataque de injeção LDAP |
LFI: Inclusão de arquivo local
| ID da Regra | Gravidade da pontuação de anomalia | Nível de paranoia | Descrição |
|---|---|---|---|
| 930100 | Crítica - 5 | 1 | Ataque de Travessia de Caminho (/.. /) |
| 930110 | Crítica - 5 | 1 | Ataque de Travessia de Caminho (/.. /) |
| 930120 | Crítica - 5 | 1 | Tentativa de acesso a ficheiros do SO |
| 930130 | Crítica - 5 | 1 | Tentativa de acesso restrito a arquivos |
RFI: Inclusão remota de arquivos
| ID da Regra | Gravidade da pontuação de anomalia | Nível de paranoia | Descrição |
|---|---|---|---|
| 931100 | Crítica - 5 | 1 | Possível ataque de inclusão remota de arquivos (RFI): parâmetro de URL usando o endereço IP |
| 931110 | Crítica - 5 | 1 | Possível ataque de inclusão remota de arquivos (RFI): nome de parâmetro vulnerável comum de RFI usado com carga útil de URL |
| 931120 | Crítica - 5 | 1 | Possível ataque de inclusão remota de arquivos (RFI): carga útil de URL usada com caractere de ponto de interrogação à direita (?) |
| 931130 | Crítica - 5 | 2 | Possível ataque de inclusão remota de arquivos (RFI): referência/link fora do domínio |
RCE: Execução remota de comandos
| ID da Regra | Gravidade da pontuação de anomalia | Nível de paranoia | Descrição |
|---|---|---|---|
| 932100 | Crítica - 5 | 1 | Execução de Comando Remoto: Unix Command Injection |
| 932105 | Crítica - 5 | 1 | Execução de Comando Remoto: Unix Command Injection |
| 932110 | Crítica - 5 | 1 | Execução remota de comando: Windows Command Injection |
| 932115 | Crítica - 5 | 1 | Execução remota de comando: Windows Command Injection |
| 932120 | Crítica - 5 | 1 | Execução de comando remoto: comando do Windows PowerShell encontrado |
| 932130 | Crítica - 5 | 1 | Execução remota de comando: Vulnerabilidade de expressão ou confluência de shell Unix (CVE-2022-26134) encontrada |
| 932140 | Crítica - 5 | 1 | Execução de comando remoto: Comando FOR/IF do Windows encontrado |
| 932150 | Crítica - 5 | 1 | Execução de Comando Remoto: Execução Direta de Comandos Unix |
| 932160 | Crítica - 5 | 1 | Execução de Comando Remoto: Código Unix Shell Encontrado |
| 932170 | Crítica - 5 | 1 | Execução remota de comando: Shellshock (CVE-2014-6271) |
| 932171 | Crítica - 5 | 1 | Execução remota de comando: Shellshock (CVE-2014-6271) |
| 932180 | Crítica - 5 | 1 | Tentativa de carregamento de arquivo restrito |
Ataques PHP
| ID da Regra | Gravidade da pontuação de anomalia | Nível de paranoia | Descrição |
|---|---|---|---|
| 933100 | Crítica - 5 | 1 | PHP Injection Attack: Tag de abertura/fechamento encontrada |
| 933110 | Crítica - 5 | 1 | Ataque de injeção de PHP: Upload de arquivo de script PHP encontrado |
| 933120 | Crítica - 5 | 1 | PHP Injection Attack: Diretiva de configuração encontrada |
| 933130 | Crítica - 5 | 1 | Ataque de injeção de PHP: variáveis encontradas |
| 933140 | Crítica - 5 | 1 | Ataque de injeção de PHP: fluxo de E/S encontrado |
| 933150 | Crítica - 5 | 1 | Ataque de injeção de PHP: Nome da função PHP de alto risco encontrado |
| 933151 | Crítica - 5 | 2 | Ataque de injeção de PHP: Nome da função PHP de médio risco encontrado |
| 933160 | Crítica - 5 | 1 | Ataque de injeção de PHP: chamada de função PHP de alto risco encontrada |
| 933170 | Crítica - 5 | 1 | Ataque de injeção de PHP: injeção de objeto serializado |
| 933180 | Crítica - 5 | 1 | Ataque de injeção de PHP: chamada de função variável encontrada |
| 933200 | Crítica - 5 | 1 | PHP Injection Attack: Esquema de wrapper detetado |
| 933210 | Crítica - 5 | 1 | Ataque de injeção de PHP: chamada de função variável encontrada |
Ataques JS de nó
| ID da Regra | Gravidade da pontuação de anomalia | Nível de paranoia | Descrição |
|---|---|---|---|
| 934100 | Crítica - 5 | 1 | Node.js Ataque de injeção |
XSS: Scripts entre sites
| ID da Regra | Gravidade da pontuação de anomalia | Nível de paranoia | Descrição |
|---|---|---|---|
| 941100 | Crítica - 5 | 1 | Ataque XSS detetado via libinjection |
| 941101 | Crítica - 5 | 2 | Ataque XSS detetado via libinjection A regra deteta solicitações com um Referer cabeçalho |
| 941110 | Crítica - 5 | 1 | Filtro XSS - Categoria 1: Vetor de tag de script |
| 941120 | Crítica - 5 | 1 | Filtro XSS - Categoria 2: Vetor do manipulador de eventos |
| 941130 | Crítica - 5 | 1 | Filtro XSS - Categoria 3: Vetor de atributo |
| 941140 | Crítica - 5 | 1 | Filtro XSS - Categoria 4: Vetor URI JavaScript |
| 941150 | Crítica - 5 | 2 | Filtro XSS - Categoria 5: Atributos HTML não permitidos |
| 941160 | Crítica - 5 | 1 | NoScript XSS InjectionChecker: Injeção de HTML |
| 941170 | Crítica - 5 | 1 | NoScript XSS InjectionChecker: Injeção de atributos |
| 941180 | Crítica - 5 | 1 | Palavras-chave da lista de bloqueio do validador de nós |
| 941190 | Crítica - 5 | 1 | XSS usando folhas de estilo |
| 941200 | Crítica - 5 | 1 | XSS usando quadros VML |
| 941210 | Crítica - 5 | 1 | XSS usando JavaScript ofuscado |
| 941220 | Crítica - 5 | 1 | XSS usando script VB ofuscado |
| 941230 | Crítica - 5 | 1 | XSS usando embed tag |
| 941240 | Crítica - 5 | 1 | XSS usando import ou implementation atributo |
| 941250 | Crítica - 5 | 1 | Filtros XSS do IE - Ataque detetado |
| 941260 | Crítica - 5 | 1 | XSS usando meta tag |
| 941270 | Crítica - 5 | 1 | XSS usando link href |
| 941280 | Crítica - 5 | 1 | XSS usando base tag |
| 941290 | Crítica - 5 | 1 | XSS usando applet tag |
| 941300 | Crítica - 5 | 1 | XSS usando object tag |
| 941310 | Crítica - 5 | 1 | Filtro XSS de codificação malformado US-ASCII - Ataque detetado |
| 941320 | Crítica - 5 | 2 | Possível ataque XSS detetado - manipulador de tags HTML |
| 941330 | Crítica - 5 | 2 | Filtros XSS do IE - Ataque detetado |
| 941340 | Crítica - 5 | 2 | Filtros XSS do IE - Ataque detetado |
| 941350 | Crítica - 5 | 1 | Codificação UTF-7 IE XSS - Ataque detetado |
| 941360 | Crítica - 5 | 1 | Ofuscação de JavaScript detetada |
| 941370 | Crítica - 5 | 1 | Variável global JavaScript encontrada |
| 941380 | Crítica - 5 | 2 | Injeção de modelo do lado do cliente AngularJS detetada |
SQLI: Injeção de SQL
| ID da Regra | Gravidade da pontuação de anomalia | Nível de paranoia | Descrição |
|---|---|---|---|
| 942100 | Crítica - 5 | 1 | Ataque de injeção de SQL detetado via libinjection |
| 942110 | Advertência - 3 | 2 | Ataque de injeção de SQL: teste de injeção comum detetado |
| 942120 | Crítica - 5 | 2 | Ataque de injeção de SQL: operador SQL detetado |
| 942140 | Crítica - 5 | 1 | Ataque de injeção de SQL: nomes comuns de banco de dados detetados |
| 942150 | Crítica - 5 | 2 | Ataque de Injeção do SQL |
| 942160 | Crítica - 5 | 1 | Deteta testes SQLI cegos usando sleep() ou benchmark() |
| 942170 | Crítica - 5 | 1 | Deteta tentativas de injeção de padrões SQL e de sono, incluindo consultas condicionais |
| 942180 | Crítica - 5 | 2 | Deteta tentativas básicas de desvio de autenticação SQL 1/3 |
| 942190 | Crítica - 5 | 1 | Deteta a execução de código MSSQL e tentativas de coleta de informações |
| 942200 | Crítica - 5 | 2 | Detecta injeções ofuscadas por comentários ou espaços no MySQL e terminação com backtick |
| 942210 | Crítica - 5 | 2 | Deteta tentativas de injeção de SQL encadeadas 1/2 |
| 942220 | Crítica - 5 | 1 | Procurando por ataques de estouro de inteiros, estes foram retirados do skipfish, exceto 3.0.00738585072007e-308, que é o "número mágico" que causa falha. |
| 942230 | Crítica - 5 | 1 | Deteta tentativas condicionais de injeção de SQL |
| 942240 | Crítica - 5 | 1 | Deteta a alteração do conjunto de caracteres MySQL e tentativas de Negação de Serviço MSSQL |
| 942250 | Crítica - 5 | 1 | Deteta injeções MATCH AGAINST, MERGE e EXECUTE IMMEDIATE |
| 942260 | Crítica - 5 | 2 | Deteta tentativas básicas de desvio de autenticação SQL 2/3 |
| 942270 | Crítica - 5 | 1 | Procurando injeção básica de SQL. Cadeia de ataque comum para MySQL, Oracle e outros |
| 942280 | Crítica - 5 | 1 | Deteta a injeção de pg_sleep Postgres, aguarda ataques de atraso e tentativas de desligamento do banco de dados |
| 942290 | Crítica - 5 | 1 | Localiza tentativas básicas de injeção de SQL do MongoDB |
| 942300 | Crítica - 5 | 2 | Deteta comentários, condições e injeções de ch(a)r do MySQL |
| 942310 | Crítica - 5 | 2 | Deteta tentativas encadeadas de injeção de SQL 2/2 |
| 942320 | Crítica - 5 | 1 | Deteta injeções de procedimento armazenado/função MySQL e PostgreSQL |
| 942330 | Crítica - 5 | 2 | Deteta tentativas clássicas de injeção SQL 1/2 |
| 942340 | Crítica - 5 | 2 | Deteta tentativas básicas de desvio de autenticação SQL 3/3 |
| 942350 | Crítica - 5 | 1 | Deteta a injeção de UDF do MySQL e outras tentativas de manipulação de dados/estrutura |
| 942360 | Crítica - 5 | 1 | Deteta injeção básica concatenada de SQL e tentativas de SQLLFI |
| 942361 | Crítica - 5 | 2 | Deteta a injeção básica de SQL com base na alteração ou união de palavras-chave |
| 942370 | Crítica - 5 | 2 | Deteta sondagens clássicas de injeção de SQL 2/2 |
| 942380 | Crítica - 5 | 2 | Ataque de Injeção do SQL |
| 942390 | Crítica - 5 | 2 | Ataque de Injeção do SQL |
| 942400 | Crítica - 5 | 2 | Ataque de Injeção do SQL |
| 942410 | Crítica - 5 | 2 | Ataque de Injeção do SQL |
| 942430 | Advertência - 3 | 2 | Deteção de anomalia de caracteres SQL restritos (args): # de caracteres especiais excedidos (12) |
| 942440 | Crítica - 5 | 2 | Sequência de comentários SQL detetada |
| 942450 | Crítica - 5 | 2 | Codificação SQL Hex Identificada |
| 942470 | Crítica - 5 | 2 | Ataque de Injeção do SQL |
| 942480 | Crítica - 5 | 2 | Ataque de Injeção do SQL |
| 942500 | Crítica - 5 | 1 | Comentário in-line do MySQL detetado |
| 942510 | Crítica - 5 | 2 | Tentativa de desvio SQLi por ticks ou backticks detetados |
Fixação de sessão
| ID da Regra | Gravidade da pontuação de anomalia | Nível de paranoia | Descrição |
|---|---|---|---|
| 943100 | Crítica - 5 | 1 | Possível ataque de fixação de sessão: definindo valores de cookie em HTML |
| 943110 | Crítica - 5 | 1 | Possível ataque de fixação de sessão: nome do parâmetro SessionID com referenciador fora do domínio |
| 943120 | Crítica - 5 | 1 | Possível ataque de fixação de sessão: nome do parâmetro SessionID sem referenciador |
Ataques Java
| ID da Regra | Gravidade da pontuação de anomalia | Nível de paranoia | Descrição |
|---|---|---|---|
| 944100 | Crítica - 5 | 1 | Execução remota de comandos: Apache Struts, Oracle WebLogic |
| 944110 | Crítica - 5 | 1 | Deteta a execução potencial de carga útil |
| 944120 | Crítica - 5 | 1 | Possível execução de carga útil e execução remota de comandos |
| 944130 | Crítica - 5 | 1 | Classes Java suspeitas |
| 944200 | Crítica - 5 | 2 | Exploração da desserialização Java Apache Commons |
| 944210 | Crítica - 5 | 2 | Possível uso da serialização Java |
| 944240 | Crítica - 5 | 2 | Execução remota de comando: serialização Java e vulnerabilidade Log4j (CVE-2021-44228, CVE-2021-45046) |
| 944250 | Crítica - 5 | 2 | Execução remota de comando: método Java suspeito detetado |
EM-ThreatIntel-WebShells
| ID da Regra | Gravidade da pontuação de anomalia | Nível de paranoia | Descrição |
|---|---|---|---|
| 99005002 | Crítica - 5 | 2 | Tentativa de interação do Web Shell (POST) |
| 99005003 | Crítica - 5 | 2 | Tentativa de Upload do Web Shell (POST) - CHOPPER PHP |
| 99005004 | Crítica - 5 | 2 | Tentativa de carregamento do Web Shell (POST) - CHOPPER ASPX |
| 99005005 | Crítica - 5 | 2 | Tentativa de interação do Web Shell |
| 99005006 | Crítica - 5 | 2 | Tentativa de interação Spring4Shell |
MS-ThreatIntel-AppSec (Inteligência de Ameaças e Segurança de Aplicações)
| ID da Regra | Gravidade da pontuação de anomalia | Nível de paranoia | Descrição |
|---|---|---|---|
| 99030001 | Crítica - 5 | 2 | Evasão transversal de caminho em cabeçalhos (/.. /./.. /) |
| 99030002 | Crítica - 5 | 2 | Evasão Transversal de Caminho no Corpo de Solicitação (/.. /./.. /) |
EM-ThreatIntel-SQLI
| ID da Regra | Gravidade da pontuação de anomalia | Nível de paranoia | Descrição |
|---|---|---|---|
| 99031001 | Advertência - 3 | 2 | Ataque de injeção de SQL: teste de injeção comum detetado |
| 99031002 | Crítica - 5 | 2 | Sequência de comentários SQL detetada |
| 99031003 | Crítica - 5 | 2 | Ataque de Injeção do SQL |
| 99031004 | Crítica - 5 | 2 | Deteta tentativas básicas de desvio de autenticação SQL 2/3 |
EM-ThreatIntel-CVEs
| ID da Regra | Gravidade da pontuação de anomalia | Nível de paranoia | Descrição |
|---|---|---|---|
| 99001001 | Crítica - 5 | 2 | Tentativa de exploração da API REST F5 tmui (CVE-2020-5902) com credenciais conhecidas |
| 99001002 | Crítica - 5 | 2 | Tentativa de travessia do diretório Citrix NSC_USER CVE-2019-19781 |
| 99001003 | Crítica - 5 | 2 | Tentativa de exploração do Atlassian Confluence Widget Connector CVE-2019-3396 |
| 99001004 | Crítica - 5 | 2 | Tentativa de exploração de modelo personalizado do Pulse Secure CVE-2020-8243 |
| 99001005 | Crítica - 5 | 2 | Tentativa de exploração do conversor de tipo do SharePoint CVE-2020-0932 |
| 99001006 | Crítica - 5 | 2 | Tentativa de passagem do diretório Pulse Connect CVE-2019-11510 |
| 99001007 | Crítica - 5 | 2 | Tentativa de inclusão de arquivo local Junos OS J-Web CVE-2020-1631 |
| 99001008 | Crítica - 5 | 2 | Tentativa de travessia do caminho Fortinet CVE-2018-13379 |
| 99001009 | Crítica - 5 | 2 | Tentativa de injeção de Apache struts ognl CVE-2017-5638 |
| 99001010 | Crítica - 5 | 2 | Tentativa de injeção de ognl no Apache struts CVE-2017-12611 |
| 99001011 | Crítica - 5 | 2 | Tentativa de travessia do caminho Oracle WebLogic CVE-2020-14882 |
| 99001012 | Crítica - 5 | 2 | Tentativa de exploração de desserialização insegura Telerik WebUI CVE-2019-18935 |
| 99001013 | Crítica - 5 | 2 | Tentativa de desserialização XML não segura do SharePoint CVE-2019-0604 |
| 99001014 | Crítica - 5 | 2 | Tentativa de injeção de expressão de roteamento do Spring Cloud CVE-2022-22963 |
| 99001015 | Crítica - 5 | 2 | Tentativa de exploração de objeto de classe não segura do Spring Framework CVE-2022-22965 |
| 99001016 | Crítica - 5 | 2 | Tentativa de injeção do Spring Cloud Gateway Actuator CVE-2022-22947 |
| 99001017 | Crítica - 5 | 2 | Tentativa de exploração de upload do arquivo Apache Struts CVE-2023-50164 |
Nota
Ao revisar os logs do WAF, você poderá ver a ID da regra 949110. A descrição da regra pode incluir Inbound Anomaly Score Exceeded.
Esta regra indica que a pontuação total de anomalia para o pedido excedeu a pontuação máxima permitida. Para obter mais informações, consulte Pontuação de anomalias.
Ao ajustar suas políticas do WAF, você precisa investigar as outras regras que foram acionadas pela solicitação para que você possa ajustar a configuração do WAF. Para obter mais informações, consulte Ajustando o Firewall de Aplicativo Web do Azure para a Porta da Frente do Azure.