Partilhar via


Regras e grupos de regras do DRS da Firewall de Aplicações Web

O Firewall de Aplicativo Web do Azure no Azure Front Door protege aplicativos Web contra vulnerabilidades e explorações comuns. Os conjuntos de regras gerenciados pelo Azure fornecem uma maneira fácil de implantar proteção contra um conjunto comum de ameaças à segurança. Como o Azure gerencia esses conjuntos de regras, as regras são atualizadas conforme necessário para proteger contra novas assinaturas de ataque.

O Conjunto de Regras Padrão (DRS) também inclui as regras de Coleta de Inteligência de Ameaças da Microsoft que são escritas em parceria com a equipe de Inteligência da Microsoft para fornecer maior cobertura, patches para vulnerabilidades específicas e melhor redução de falsos positivos.

Nota

Quando uma versão do conjunto de regras é alterada em uma Política WAF, todas as personalizações existentes feitas no conjunto de regras serão redefinidas para os padrões do novo conjunto de regras. Consulte: Atualizando ou alterando a versão do conjunto de regras.

Conjuntos de regras padrão

O DRS gerenciado pelo Azure inclui regras contra as seguintes categorias de ameaça:

  • Scripting entre sites
  • Ataques Java
  • Inclusão de ficheiro local
  • Ataques de injeção PHP
  • Execução remota de comandos
  • Inclusão de ficheiro remoto
  • Fixação de sessão
  • Proteção contra injeção de SQL
  • Atacantes de protocolo

O número da versão do DRS é incrementado quando novas assinaturas de ataque são adicionadas ao conjunto de regras.

O DRS está habilitado por padrão no modo de deteção em suas políticas WAF. Você pode desabilitar ou habilitar regras individuais dentro do DRS para atender aos requisitos do seu aplicativo. Você também pode definir ações específicas por regra. As ações disponíveis são Permitir, Bloquear, Registrar e Redirecionar.

Às vezes, talvez seja necessário omitir determinados atributos de solicitação de uma avaliação de firewall de aplicativo Web (WAF). Um exemplo comum são os tokens inseridos no Ative Directory que são usados para autenticação. Você pode configurar uma lista de exclusão para uma regra gerenciada, um grupo de regras ou todo o conjunto de regras. Para obter mais informações, consulte Azure Web Application Firewall em listas de exclusão do Azure Front Door.

Por padrão, as versões 2.0 e superiores do DRS usam pontuação de anomalia quando uma solicitação corresponde a uma regra. As versões do DRS anteriores à 2.0 bloqueiam solicitações que acionam as regras. Além disso, as regras personalizadas podem ser configuradas na mesma política WAF se você quiser ignorar qualquer uma das regras pré-configuradas no DRS.

As regras personalizadas são sempre aplicadas antes que as regras no DRS sejam avaliadas. Se uma solicitação corresponder a uma regra personalizada, a ação de regra correspondente será aplicada. A solicitação é bloqueada ou passada para o back-end. Nenhuma outra regra personalizada ou as regras no DRS são processadas. Você também pode remover o DRS de suas políticas WAF.

Regras de Recolha de Informações sobre Ameaças da Microsoft

As regras da Coleta de Inteligência de Ameaças da Microsoft são escritas em parceria com a equipe de Inteligência de Ameaças da Microsoft para fornecer maior cobertura, patches para vulnerabilidades específicas e melhor redução de falsos positivos.

Por padrão, as regras do Microsoft Threat Intelligence Collection substituem algumas das regras DRS internas, fazendo com que elas sejam desabilitadas. Por exemplo, a ID da regra 942440, SQL Comment Sequence Detected, foi desativada e substituída pela regra Microsoft Threat Intelligence Collection 99031002. A regra substituída reduz o risco de deteções de falsos positivos a partir de pedidos legítimos.

Pontuação de anomalias

Quando você usa o DRS 2.0 ou posterior, o WAF usa a pontuação de anomalias. O tráfego que corresponde a qualquer regra não é imediatamente bloqueado, mesmo quando o WAF está no modo de prevenção. Em vez disso, os conjuntos de regras OWASP definem uma gravidade para cada regra: Crítica, Erro, Aviso ou Aviso. A gravidade afeta um valor numérico para a solicitação, que é chamado de pontuação de anomalia. Se uma solicitação acumular uma pontuação de anomalia igual ou superior a 5, o WAF tomará medidas sobre a solicitação.

Severidade da regra O valor contribuiu para a pontuação de anomalia
Crítico 5
Erro 4
Aviso 3
Aviso 2

Ao configurar seu WAF, você pode decidir como o WAF lida com solicitações que excedem o limite de pontuação de anomalia de 5. As três opções de ação de pontuação de anomalia são Bloquear, Registrar ou Redirecionar. A ação de pontuação de anomalia selecionada no momento da configuração é aplicada a todas as solicitações que excedem o limite de pontuação de anomalia.

Por exemplo, se a pontuação de anomalia for 5 ou superior em uma solicitação e o WAF estiver no modo de Prevenção com a ação de pontuação de anomalia definida como Bloquear, a solicitação será bloqueada. Se a pontuação de anomalia for 5 ou superior em uma solicitação e o WAF estiver no modo de Deteção, a solicitação será registrada, mas não bloqueada.

Uma única correspondência de regra crítica é suficiente para o WAF bloquear uma solicitação quando estiver no modo de Prevenção com a ação de pontuação de anomalia definida como Bloquear porque a pontuação geral de anomalia é 5. No entanto, uma correspondência de regra de aviso só aumenta a pontuação de anomalia em 3, o que não é suficiente por si só para bloquear o tráfego. Quando uma regra de anomalia é acionada, ela mostra uma ação "correspondida" nos logs. Se a pontuação de anomalia for 5 ou maior, uma regra separada será acionada com a ação de pontuação de anomalia configurada para o conjunto de regras. A ação de pontuação de anomalia padrão é Bloquear, o que resulta em uma entrada de log com a ação blocked.

Quando o WAF usa uma versão mais antiga do conjunto de regras padrão (antes do DRS 2.0), o WAF é executado no modo tradicional. O tráfego que corresponde a qualquer regra é considerado independentemente de qualquer outra correspondência de regra. No modo tradicional, você não tem visibilidade do conjunto completo de regras que uma solicitação específica correspondeu.

A versão do DRS que você usa também determina quais tipos de conteúdo são suportados para inspeção de órgão de solicitação. Para obter mais informações, consulte Que tipos de conteúdo são suportados pelo WAF? nas Perguntas frequentes.

Atualizando ou alterando a versão do conjunto de regras

Se você estiver atualizando ou atribuindo uma nova versão do conjunto de regras e quiser preservar substituições e exclusões de regras existentes, é recomendável usar PowerShell, CLI, REST API ou modelos para fazer alterações na versão do conjunto de regras. Uma nova versão de um conjunto de regras pode ter regras mais recentes, grupos de regras adicionais e pode ter atualizações para assinaturas existentes para impor melhor segurança e reduzir falsos positivos. Recomenda-se validar as alterações em um ambiente de teste, ajustar se necessário e, em seguida, implantar em um ambiente de produção.

Nota

Se você estiver usando o portal do Azure para atribuir um novo conjunto de regras gerenciado a uma política WAF, todas as personalizações anteriores do conjunto de regras gerenciado existente, como estado da regra, ações de regra e exclusões de nível de regra, serão redefinidas para os padrões do novo conjunto de regras gerenciado. No entanto, quaisquer regras personalizadas ou configurações de política permanecerão inalteradas durante a atribuição do novo conjunto de regras. Você precisará redefinir substituições de regras e validar alterações antes de implantar em um ambiente de produção.

DRS 2,1

As regras do DRS 2.1 oferecem melhor proteção do que as versões anteriores do DRS. Ele inclui outras regras desenvolvidas pela equipe de Inteligência de Ameaças da Microsoft e atualizações de assinaturas para reduzir falsos positivos. Ele também suporta transformações além da decodificação de URL.

O DRS 2.1 inclui 17 grupos de regras, conforme mostrado na tabela a seguir. Cada grupo contém várias regras e você pode personalizar o comportamento para regras individuais, grupos de regras ou um conjunto de regras inteiro. O DRS 2.1 é baseado no Open Web Application Security Project (OWASP) Core Rule set (CRS) 3.3.2 e inclui regras de proteção proprietárias adicionais desenvolvidas pela equipe de Inteligência de Ameaças da Microsoft.

Para obter mais informações, consulte Tuning Web Application Firewall (WAF) for Azure Front Door.

Nota

O DRS 2.1 só está disponível no Azure Front Door Premium.

Grupo de regras ruleGroupName Description
General (Geral) Geral Grupo geral
APLICAÇÃO DO MÉTODO IMPOSIÇÃO DE MÉTODO Métodos de bloqueio (PUT, PATCH)
APLICAÇÃO DO PROTOCOLO IMPOSIÇÃO DE PROTOCOLO Proteja-se contra problemas de protocolo e codificação
PROTOCOLO-ATAQUE ATAQUE DE PROTOCOLO Proteja-se contra injeção de cabeçalho, contrabando de solicitações e divisão de respostas
APLICAÇÃO-ATAQUE-LFI LFI Proteja-se contra ataques de arquivos e caminhos
APLICAÇÃO-ATAQUE-RFI RFI Proteja-se contra ataques de inclusão remota de arquivos (RFI)
APLICAÇÃO-ATAQUE-RCE RCE Proteja novamente ataques de execução remota de código
APLICAÇÃO-ATTACK-PHP PHP Proteja-se contra ataques de injeção de PHP
APLICAÇÃO-ATAQUE-NodeJS NODEJS Proteja-se contra ataques JS de nó
APLICAÇÃO-ATTACK-XSS XSS Proteja-se contra ataques de script entre sites
APPLICATION-ATTACK-SQLI SQLI Proteja-se contra ataques de injeção de SQL
APPLICATION-ATTACK-SESSION-FIXATION FIX Proteja-se contra ataques de fixação de sessão
APLICAÇÃO-ATAQUE-SESSÃO-JAVA JAVA Proteja-se contra ataques JAVA
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Proteja-se contra ataques de shell da Web
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec Proteja-se contra ataques AppSec
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI Proteja-se contra ataques SQLI
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs Proteja-se contra ataques CVE

Regras desativadas

As regras a seguir são desabilitadas por padrão para o DRS 2.1.

ID da Regra Grupo de regras Description Detalhes
942110 SQLI Ataque de injeção de SQL: teste de injeção comum detetado Substituída regra MSTIC 99031001
942150 SQLI Ataque de Injeção do SQL Substituída pela regra MSTIC 99031003
942260 SQLI Deteta tentativas básicas de desvio de autenticação SQL 2/3 Substituída pela regra MSTIC 99031004
942430 SQLI Deteção de anomalia de caracteres SQL restritos (args): # de caracteres especiais excedidos (12) Demasiados falsos positivos
942440 SQLI Sequência de comentários SQL detetada Substituída regra MSTIC 99031002
99005006 MS-ThreatIntel-WebShells Tentativa de interação Spring4Shell Ativar regra para prevenir contra a vulnerabilidade do SpringShell
99001014 MS-ThreatIntel-CVEs Tentativa de injeção de expressão de roteamento do Spring Cloud CVE-2022-22963 Ativar regra para prevenir contra a vulnerabilidade do SpringShell
99001015 MS-ThreatIntel-WebShells Tentativa de exploração de objeto de classe não segura do Spring Framework CVE-2022-22965 Ativar regra para prevenir contra a vulnerabilidade do SpringShell
99001016 MS-ThreatIntel-WebShells Tentativa de injeção do Spring Cloud Gateway Actuator CVE-2022-22947 Ativar regra para prevenir contra a vulnerabilidade do SpringShell
99001017 MS-ThreatIntel-CVEs Tentativa de exploração de upload de arquivo Apache Struts CVE-2023-50164. Ativar regra para prevenir contra a vulnerabilidade do Apache Struts

DRS 2,0

As regras do DRS 2.0 oferecem melhor proteção do que as versões anteriores do DRS. O DRS 2.0 também suporta transformações além da decodificação de URL.

O DRS 2.0 inclui 17 grupos de regras, conforme mostrado na tabela a seguir. Cada grupo contém várias regras. Você pode desabilitar regras individuais e grupos de regras inteiros.

Nota

O DRS 2.0 só está disponível no Azure Front Door Premium.

Grupo de regras ruleGroupName Description
General (Geral) Geral Grupo geral
APLICAÇÃO DO MÉTODO IMPOSIÇÃO DE MÉTODO Métodos de bloqueio (PUT, PATCH)
APLICAÇÃO DO PROTOCOLO IMPOSIÇÃO DE PROTOCOLO Proteja-se contra problemas de protocolo e codificação
PROTOCOLO-ATAQUE ATAQUE DE PROTOCOLO Proteja-se contra injeção de cabeçalho, contrabando de solicitações e divisão de respostas
APLICAÇÃO-ATAQUE-LFI LFI Proteja-se contra ataques de arquivos e caminhos
APLICAÇÃO-ATAQUE-RFI RFI Proteja-se contra ataques de inclusão remota de arquivos (RFI)
APLICAÇÃO-ATAQUE-RCE RCE Proteja novamente ataques de execução remota de código
APLICAÇÃO-ATTACK-PHP PHP Proteja-se contra ataques de injeção de PHP
APLICAÇÃO-ATAQUE-NodeJS NODEJS Proteja-se contra ataques JS de nó
APLICAÇÃO-ATTACK-XSS XSS Proteja-se contra ataques de script entre sites
APPLICATION-ATTACK-SQLI SQLI Proteja-se contra ataques de injeção de SQL
APPLICATION-ATTACK-SESSION-FIXATION FIX Proteja-se contra ataques de fixação de sessão
APLICAÇÃO-ATAQUE-SESSÃO-JAVA JAVA Proteja-se contra ataques JAVA
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Proteja-se contra ataques de shell da Web
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec Proteja-se contra ataques AppSec
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI Proteja-se contra ataques SQLI
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs Proteja-se contra ataques CVE

DRS 1,1

Grupo de regras ruleGroupName Description
PROTOCOLO-ATAQUE ATAQUE DE PROTOCOLO Proteja-se contra injeção de cabeçalho, contrabando de solicitações e divisão de respostas
APLICAÇÃO-ATAQUE-LFI LFI Proteja-se contra ataques de arquivos e caminhos
APLICAÇÃO-ATAQUE-RFI RFI Proteção contra ataques de inclusão remota de arquivos
APLICAÇÃO-ATAQUE-RCE RCE Proteção contra execução remota de comandos
APLICAÇÃO-ATTACK-PHP PHP Proteja-se contra ataques de injeção de PHP
APLICAÇÃO-ATTACK-XSS XSS Proteja-se contra ataques de script entre sites
APPLICATION-ATTACK-SQLI SQLI Proteja-se contra ataques de injeção de SQL
APPLICATION-ATTACK-SESSION-FIXATION FIX Proteja-se contra ataques de fixação de sessão
APLICAÇÃO-ATAQUE-SESSÃO-JAVA JAVA Proteja-se contra ataques JAVA
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Proteja-se contra ataques de shell da Web
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec Proteja-se contra ataques AppSec
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI Proteja-se contra ataques SQLI
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs Proteja-se contra ataques CVE

DRS 1,0

Grupo de regras ruleGroupName Description
PROTOCOLO-ATAQUE ATAQUE DE PROTOCOLO Proteja-se contra injeção de cabeçalho, contrabando de solicitações e divisão de respostas
APLICAÇÃO-ATAQUE-LFI LFI Proteja-se contra ataques de arquivos e caminhos
APLICAÇÃO-ATAQUE-RFI RFI Proteção contra ataques de inclusão remota de arquivos
APLICAÇÃO-ATAQUE-RCE RCE Proteção contra execução remota de comandos
APLICAÇÃO-ATTACK-PHP PHP Proteja-se contra ataques de injeção de PHP
APLICAÇÃO-ATTACK-XSS XSS Proteja-se contra ataques de script entre sites
APPLICATION-ATTACK-SQLI SQLI Proteja-se contra ataques de injeção de SQL
APPLICATION-ATTACK-SESSION-FIXATION FIX Proteja-se contra ataques de fixação de sessão
APLICAÇÃO-ATAQUE-SESSÃO-JAVA JAVA Proteja-se contra ataques JAVA
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Proteja-se contra ataques de shell da Web
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs Proteja-se contra ataques CVE

Gerenciador de Bot 1.0

O conjunto de regras do Bot Manager 1.0 fornece proteção contra bots mal-intencionados e deteção de bons bots. As regras fornecem controle granular sobre bots detetados pelo WAF, categorizando o tráfego de bots como Bom, Ruim ou Desconhecido.

Grupo de regras Description
BadBots Proteja-se contra bots maliciosos
GoodBots Identifique bons bots
DesconhecidoBots Identificar bots desconhecidos

Gerenciador de Bot 1.1

O conjunto de regras do Bot Manager 1.1 é um aprimoramento do conjunto de regras do Bot Manager 1.0. Ele fornece proteção aprimorada contra bots mal-intencionados e aumenta a boa deteção de bots.

Grupo de regras Description
BadBots Proteja-se contra bots maliciosos
GoodBots Identifique bons bots
DesconhecidoBots Identificar bots desconhecidos

Os seguintes grupos de regras e regras estão disponíveis quando você usa o Firewall de Aplicativo Web do Azure na Porta da Frente do Azure.

2.1 Conjuntos de regras

Geral

RuleId Description
200002 Falha ao analisar o corpo da solicitação
200003 O corpo da solicitação de várias partes falhou na validação estrita

Aplicação do método

RuleId Description
911100 O método não é permitido pela política

Imposição de protocolo

RuleId Description
920100 Linha de solicitação HTTP inválida.
920120 Tentativa de desvio de dados de várias partes/formulários.
920121 Tentativa de desvio de dados de várias partes/formulários.
920160 O cabeçalho HTTP Content-Length não é numérico.
920170 Solicitação GET ou HEAD com conteúdo corporal.
920171 Solicitação GET ou HEAD com codificação de transferência.
920180 Solicitação POST ausente Content-Length Header.
920181 Os cabeçalhos Content-Length e Transfer-Encoding apresentam 99001003.
920190 Intervalo: Valor do último byte inválido.
920200 Intervalo: demasiados campos (6 ou mais).
920201 Intervalo: Demasiados campos para pedido pdf (35 ou mais).
920210 Dados de cabeçalho de conexão múltiplos/conflitantes encontrados.
920220 Tentativa de ataque de abuso de codificação de URL.
920230 Codificação de URL múltipla detetada.
920240 Tentativa de ataque de abuso de codificação de URL.
920260 Tentativa de ataque de abuso de largura total/meia Unicode.
920270 Caractere inválido na solicitação (caractere nulo).
920271 Caractere inválido na solicitação (caracteres não imprimíveis).
920280 Solicitação faltando um cabeçalho de host.
920290 Cabeçalho de host vazio.
920300 Pedido em falta um cabeçalho Accept.
920310 A solicitação tem um cabeçalho Accept vazio.
920311 A solicitação tem um cabeçalho Accept vazio.
920320 Cabeçalho do agente de usuário ausente.
920330 Cabeçalho vazio do agente do usuário.
920340 Cabeçalho Request Containing Content, but Missing Content-Type.
920341 A solicitação que contém conteúdo requer o cabeçalho Content-Type.
920350 O cabeçalho do host é um endereço IP numérico.
920420 O tipo de conteúdo de solicitação não é permitido pela política.
920430 A versão do protocolo HTTP não é permitida pela política.
920440 A extensão de arquivo de URL é restrita pela política.
920450 O cabeçalho HTTP é restrito pela política.
920470 Cabeçalho Illegal-Content-Type.
920480 O charset do tipo de conteúdo de solicitação não é permitido pela política.
920500 Tente acessar um backup ou arquivo de trabalho.

Ataque de protocolo

RuleId Description
921110 Ataque de contrabando de solicitação HTTP
921120 Ataque de divisão de resposta HTTP
921130 Ataque de divisão de resposta HTTP
921140 Ataque de injeção de cabeçalho HTTP via cabeçalhos
921150 Ataque de injeção de cabeçalho HTTP via carga útil (CR/LF detetado)
921151 Ataque de injeção de cabeçalho HTTP via carga útil (CR/LF detetado)
921160 Ataque de injeção de cabeçalho HTTP via carga útil (CR/LF e nome do cabeçalho detetados)
921190 Divisão HTTP (CR/LF no nome do arquivo de solicitação detetado)
921200 Ataque de injeção LDAP

LFI: Inclusão de arquivo local

RuleId Description
930100 Ataque de Travessia de Caminho (/.. /)
930110 Ataque de Travessia de Caminho (/.. /)
930120 Tentativa de acesso a ficheiros do SO
930130 Tentativa de acesso restrito a arquivos

RFI: Inclusão remota de arquivos

RuleId Description
931100 Possível ataque de inclusão remota de arquivos (RFI): parâmetro de URL usando o endereço IP
931110 Possível ataque de inclusão remota de arquivos (RFI): nome de parâmetro vulnerável comum de RFI usado com carga útil de URL
931120 Possível ataque de inclusão remota de arquivos (RFI): carga útil de URL usada com caractere de ponto de interrogação à direita (?)
931130 Possível ataque de inclusão remota de arquivos (RFI): referência/link fora do domínio

RCE: Execução remota de comandos

RuleId Description
932100 Execução de Comando Remoto: Unix Command Injection
932105 Execução de Comando Remoto: Unix Command Injection
932110 Execução remota de comando: Windows Command Injection
932115 Execução remota de comando: Windows Command Injection
932120 Execução de comando remoto: comando do Windows PowerShell encontrado
932130 Execução remota de comando: Vulnerabilidade de expressão ou confluência de shell Unix (CVE-2022-26134) encontrada
932140 Execução de comando remoto: Comando FOR/IF do Windows encontrado
932150 Execução de Comando Remoto: Execução Direta de Comandos Unix
932160 Execução de Comando Remoto: Código Unix Shell Encontrado
932170 Execução remota de comando: Shellshock (CVE-2014-6271)
932171 Execução remota de comando: Shellshock (CVE-2014-6271)
932180 Tentativa de carregamento de arquivo restrito

Ataques PHP

RuleId Description
933100 PHP Injection Attack: Tag de abertura/fechamento encontrada
933110 Ataque de injeção de PHP: Upload de arquivo de script PHP encontrado
933120 PHP Injection Attack: Diretiva de configuração encontrada
933130 Ataque de injeção de PHP: variáveis encontradas
933140 Ataque de injeção de PHP: fluxo de E/S encontrado
933150 Ataque de injeção de PHP: Nome da função PHP de alto risco encontrado
933151 Ataque de injeção de PHP: Nome da função PHP de médio risco encontrado
933160 Ataque de injeção de PHP: chamada de função PHP de alto risco encontrada
933170 Ataque de injeção de PHP: injeção de objeto serializado
933180 Ataque de injeção de PHP: chamada de função variável encontrada
933200 PHP Injection Attack: Esquema de wrapper detetado
933210 Ataque de injeção de PHP: chamada de função variável encontrada

Ataques JS de nó

RuleId Description
934100 Node.js Ataque de injeção

XSS: Scripts entre sites

RuleId Description
941100 Ataque XSS detetado via libinjection
941101 Ataque XSS detetado via libinjection
A regra deteta solicitações com um Referer cabeçalho
941110 Filtro XSS - Categoria 1: Vetor de tag de script
941120 Filtro XSS - Categoria 2: Vetor do manipulador de eventos
941130 Filtro XSS - Categoria 3: Vetor de atributo
941140 Filtro XSS - Categoria 4: Vetor URI JavaScript
941150 Filtro XSS - Categoria 5: Atributos HTML não permitidos
941160 NoScript XSS InjectionChecker: Injeção de HTML
941170 NoScript XSS InjectionChecker: Injeção de atributos
941180 Palavras-chave da lista de bloqueio do validador de nós
941190 XSS usando folhas de estilo
941200 XSS usando quadros VML
941210 XSS usando JavaScript ofuscado
941220 XSS usando script VB ofuscado
941230 XSS usando embed tag
941240 XSS usando import ou implementation atributo
941250 Filtros XSS do IE - Ataque detetado
941260 XSS usando meta tag
941270 XSS usando link href
941280 XSS usando base tag
941290 XSS usando applet tag
941300 XSS usando object tag
941310 Filtro XSS de codificação malformado US-ASCII - Ataque detetado
941320 Possível ataque XSS detetado - manipulador de tags HTML
941330 Filtros XSS do IE - Ataque detetado
941340 Filtros XSS do IE - Ataque detetado
941350 Codificação UTF-7 IE XSS - Ataque detetado
941360 Ofuscação de JavaScript detetada
941370 Variável global JavaScript encontrada
941380 Injeção de modelo do lado do cliente AngularJS detetada

SQLI: Injeção de SQL

RuleId Description
942100 Ataque de injeção de SQL detetado via libinjection.
942110 Ataque de injeção de SQL: teste de injeção comum detetado.
942120 Ataque de injeção de SQL: operador SQL detetado.
942140 Ataque de injeção de SQL: nomes de banco de dados comuns detetados.
942150 Ataque de injeção de SQL.
942160 Deteta testes SQLI cegos usando sleep() ou benchmark().
942170 Deteta benchmark SQL e tentativas de injeção de suspensão, incluindo consultas condicionais.
942180 Deteta tentativas básicas de desvio de autenticação SQL 1/3.
942190 Deteta a execução de código MSSQL e tentativas de coleta de informações.
942200 Deteta injeções ofuscadas de comentário/espaço do MySQL e terminação de backtick.
942210 Deteta tentativas de injeção de SQL encadeadas 1/2.
942220 Procurando por ataques de estouro de inteiro, estes são retirados de skipfish, exceto 3.0.00738585072007e-308 é o "número mágico" crash.
942230 Deteta tentativas de injeção condicional de SQL.
942240 Deteta o switch de charset MySQL e tentativas de DoS MSSQL.
942250 Deteta MATCH CONTRA, MERGE e EXECUTE injeções IMEDIATAS.
942260 Deteta tentativas básicas de desvio de autenticação SQL 2/3.
942270 Procurando injeção básica de SQL. String de ataque comum para MySQL, Oracle e outros.
942280 Deteta a injeção de pg_sleep Postgres, aguarda ataques de atraso e tentativas de desligamento do banco de dados.
942290 Localiza tentativas básicas de injeção de SQL do MongoDB.
942300 Deteta comentários, condições e injeções de ch(a)r do MySQL.
942310 Deteta tentativas encadeadas de injeção de SQL 2/2.
942320 Deteta injeções de procedimento/função armazenadas MySQL e PostgreSQL.
942330 Deteta sondagens clássicas de injeção de SQL 1/2.
942340 Deteta tentativas básicas de desvio de autenticação SQL 3/3.
942350 Deteta a injeção de UDF do MySQL e outras tentativas de manipulação de dados/estrutura.
942360 Deteta injeção básica concatenada de SQL e tentativas de SQLLFI.
942361 Deteta a injeção básica de SQL com base na alteração ou união de palavras-chave.
942370 Deteta sondagens clássicas de injeção de SQL 2/2.
942380 Ataque de injeção de SQL.
942390 Ataque de injeção de SQL.
942400 Ataque de injeção de SQL.
942410 Ataque de injeção de SQL.
942430 Deteção de anomalia de caracteres SQL restritos (args): # de caracteres especiais excedidos (12).
942440 Sequência de comentários SQL detetada.
942450 Codificação SQL Hex Identificada.
942460 Meta-Character Anomaly Detection Alert - Caracteres repetitivos que não são palavras.
942470 Ataque de injeção de SQL.
942480 Ataque de injeção de SQL.
942500 Comentário in-line MySQL detetado.
942510 Tentativa de desvio SQLi por ticks ou backticks detetados.

Fixação de sessão

RuleId Description
943100 Possível ataque de fixação de sessão: definindo valores de cookie em HTML
943110 Possível ataque de fixação de sessão: nome do parâmetro SessionID com referenciador fora do domínio
943120 Possível ataque de fixação de sessão: nome do parâmetro SessionID sem referenciador

Ataques Java

RuleId Description
944100 Execução remota de comandos: Apache Struts, Oracle WebLogic
944110 Deteta a execução potencial de carga útil
944120 Possível execução de carga útil e execução remota de comandos
944130 Classes Java suspeitas
944200 Exploração da desserialização Java Apache Commons
944210 Possível uso da serialização Java
944240 Execução remota de comando: serialização Java e vulnerabilidade Log4j (CVE-2021-44228, CVE-2021-45046)
944250 Execução remota de comando: método Java suspeito detetado

MS-ThreatIntel-WebShells

RuleId Description
99005002 Tentativa de interação do Web Shell (POST)
99005003 Tentativa de Upload do Web Shell (POST) - CHOPPER PHP
99005004 Tentativa de carregamento do Web Shell (POST) - CHOPPER ASPX
99005005 Tentativa de interação do Web Shell
99005006 Tentativa de interação Spring4Shell

MS-ThreatIntel-AppSec

RuleId Description
99030001 Evasão transversal de caminho em cabeçalhos (/.. /./.. /)
99030002 Evasão Transversal de Caminho no Corpo de Solicitação (/.. /./.. /)

MS-ThreatIntel-SQLI

RuleId Description
99031001 Ataque de injeção de SQL: teste de injeção comum detetado
99031002 Sequência de comentários SQL detetada
99031003 Ataque de Injeção do SQL
99031004 Deteta tentativas básicas de desvio de autenticação SQL 2/3

MS-ThreatIntel-CVEs

RuleId Description
99001001 Tentativa de exploração da API REST F5 tmui (CVE-2020-5902) com credenciais conhecidas
99001002 Tentativa de travessia do diretório Citrix NSC_USER CVE-2019-19781
99001003 Tentativa de exploração do Atlassian Confluence Widget Connector CVE-2019-3396
99001004 Tentativa de exploração de modelo personalizado do Pulse Secure CVE-2020-8243
99001005 Tentativa de exploração do conversor de tipo do SharePoint CVE-2020-0932
99001006 Tentativa de passagem do diretório Pulse Connect CVE-2019-11510
99001007 Tentativa de inclusão de arquivo local Junos OS J-Web CVE-2020-1631
99001008 Tentativa de travessia do caminho Fortinet CVE-2018-13379
99001009 Tentativa de injeção de Apache struts ognl CVE-2017-5638
99001010 Tentativa de injeção de ognl no Apache struts CVE-2017-12611
99001011 Tentativa de travessia do caminho Oracle WebLogic CVE-2020-14882
99001012 Tentativa de exploração de desserialização insegura Telerik WebUI CVE-2019-18935
99001013 Tentativa de desserialização XML não segura do SharePoint CVE-2019-0604
99001014 Tentativa de injeção de expressão de roteamento do Spring Cloud CVE-2022-22963
99001015 Tentativa de exploração de objeto de classe não segura do Spring Framework CVE-2022-22965
99001016 Tentativa de injeção do Spring Cloud Gateway Actuator CVE-2022-22947
99001017 Tentativa de exploração de upload do arquivo Apache Struts CVE-2023-50164

Nota

Ao revisar os logs do WAF, você poderá ver a ID da regra 949110. A descrição da regra pode incluir Inbound Anomaly Score Exceeded.

Esta regra indica que a pontuação total de anomalia para o pedido excedeu a pontuação máxima permitida. Para obter mais informações, consulte Pontuação de anomalias.

Ao ajustar suas políticas do WAF, você precisa investigar as outras regras que foram acionadas pela solicitação para que você possa ajustar a configuração do WAF. Para obter mais informações, consulte Ajustando o Firewall de Aplicativo Web do Azure para a Porta da Frente do Azure.

Próximos passos