Web Application Firewall DRS-regelgrupper och regler

Brandväggen för Azure Front Door-webbprogram (WAF) skyddar webbprogram mot vanliga sårbarheter och sårbarheter. Azure-hanterade regeluppsättningar är ett enkelt sätt att distribuera skydd mot en gemensam uppsättning säkerhetshot. Eftersom sådana regeluppsättningar hanteras av Azure uppdateras reglerna efter behov för att skydda mot nya attacksignaturer. Standardregeluppsättningen innehåller även de Microsoft Threat Intelligence Collection-regler som är skrivna i samarbete med Microsoft Intelligence-teamet för att ge ökad täckning, korrigeringar för specifika sårbarheter och bättre falsk positiv minskning.

Standardregeluppsättningar

Den Azure-hanterade standardregeluppsättningen (DRS) innehåller regler mot följande hotkategorier:

  • Skriptkörning över flera webbplatser
  • Java-attacker
  • Lokal filinkludering
  • PHP-inmatningsattacker
  • Fjärrkommandokörning
  • Införande av fjärrfil
  • Sessionskorrigering
  • Skydd mot SQL-inmatning
  • Protokollanfallare

Versionsnumret för DRS ökar när nya attacksignaturer läggs till i regeluppsättningen.

DRS är aktiverat som standard i identifieringsläge i dina WAF-principer. Du kan inaktivera eller aktivera enskilda regler i standardregeluppsättningen för att uppfylla dina programkrav. Du kan också ange specifika åtgärder per regel. De tillgängliga åtgärderna är: Tillåt, Blockera, Logga och Omdirigera.

Ibland kan du behöva utelämna vissa begärandeattribut från en WAF-utvärdering. Ett vanligt exempel är Active Directory-infogade token som används för autentisering. Du kan konfigurera en undantagslista för en hanterad regel, regelgrupp eller för hela regeluppsättningen. Mer information finns i Web Application Firewall (WAF) med Undantagslistor för Front Door.

Som standard använder DRS version 2.0 och senare avvikelsebedömning när en begäran matchar en regel, DRS-versioner tidigare än 2.0 blockerar begäranden som utlöser reglerna. Dessutom kan anpassade regler konfigureras i samma WAF-princip om du vill kringgå någon av de förkonfigurerade reglerna i standardregeluppsättningen.

Anpassade regler tillämpas alltid innan regler i standardregeluppsättningen utvärderas. Om en begäran matchar en anpassad regel tillämpas motsvarande regelåtgärd. Begäran blockeras eller skickas till serverdelen. Inga andra anpassade regler eller reglerna i standardregeluppsättningen bearbetas. Du kan också ta bort standardregeluppsättningen från dina WAF-principer.

Microsoft Threat Intelligence Collection-regler

Microsoft Threat Intelligence Collection-reglerna är skrivna i samarbete med Microsoft Threat Intelligence-teamet för att ge ökad täckning, korrigeringar för specifika sårbarheter och bättre falska positiva minskningar.

Vissa av de inbyggda DRS-reglerna är inaktiverade som standard eftersom de har ersatts av nyare regler i Microsoft Threat Intelligence Collection. Till exempel har regel-ID 942440, SQL Comment Sequence Detected., inaktiverats och ersatts av Microsoft Threat Intelligence Collection-regeln 99031002. Den ersatta regeln minskar risken för falska positiva identifieringar från legitima begäranden.

Avvikelsebedömning

När du använder DRS 2.0 eller senare använder din WAF avvikelsebedömning. Trafik som matchar en regel blockeras inte omedelbart, även om din WAF är i förebyggande läge. I stället definierar OWASP-regeluppsättningarna en allvarlighetsgrad för varje regel: Kritisk, Fel, Varning eller Meddelande. Allvarlighetsgraden påverkar ett numeriskt värde för begäran, som kallas avvikelsepoäng. Om en begäran ackumulerar en avvikelsepoäng på 5 eller högre vidtar WAF åtgärden för begäran.

Regel allvarlighetsgrad Värde som har bidragit till avvikelsepoäng
Kritiskt 5
Fel 4
Varning 3
anslagstavlan, 2

När du konfigurerar din WAF kan du bestämma hur WAF hanterar begäranden som överskrider tröskelvärdet för avvikelsepoäng på 5. De tre alternativen för avvikelsepoäng är block, logg eller omdirigering. Åtgärden för avvikelsepoäng som du väljer vid tidpunkten för konfigurationen tillämpas på alla begäranden som överskrider tröskelvärdet för avvikelsepoäng.

Om till exempel avvikelsepoängen är 5 eller högre för en begäran och WAF är i förebyggande läge med åtgärden för avvikelsepoäng inställd på att blockera, blockeras begäran. Om avvikelsepoängen är 5 eller högre för en begäran och WAF är i identifieringsläge loggas begäran men blockeras inte.

En enda kritisk regelmatchning räcker för att WAF ska blockera en begäran i förebyggande läge med åtgärden för avvikelsepoäng inställd på att blockera, eftersom den övergripande avvikelsepoängen är 5. En varningsregelmatchning ökar dock bara avvikelsepoängen med 3, vilket inte räcker för att blockera trafiken. När en avvikelseregel utlöses visas en "matchad" åtgärd i loggarna. Om anomlypoängen är 5 eller högre utlöses en separat regel med åtgärden för avvikelsepoäng konfigurerad för regeluppsättningen. Standardåtgärden för avvikelsepoäng är blockering som resulterar i loggpost med åtgärden "blockerad".

När din WAF använder äldre version av standardregeluppsättningen (före DRS 2.0) körs din WAF i traditionellt läge. Trafik som matchar en regel betraktas oberoende av andra regelmatchningar. I traditionellt läge har du inte insyn i den fullständiga uppsättningen regler som en specifik begäran matchade.

Den version av drs som du använder avgör också vilka innehållstyper som stöds för kontroll av begärandetext. Mer information finns i Vilka innehållstyper stöder WAF? i vanliga frågor och svar.

DRS 2.1

DRS 2.1-regler ger bättre skydd än tidigare versioner av DRS. Den innehåller ytterligare regler som utvecklats av Microsoft Threat Intelligence-teamet och uppdateringar av signaturer för att minska falska positiva identifieringar. Det stöder även transformeringar utöver bara URL-avkodning.

DRS 2.1 innehåller 17 regelgrupper, enligt följande tabell. Varje grupp innehåller flera regler och du kan anpassa beteendet för enskilda regler, regelgrupper eller hela regeluppsättningen. Mer information finns i Justera Web Application Firewall (WAF) för Azure Front Door.

Anteckning

DRS 2.1 är endast tillgängligt i Azure Front Door Premium.

Regelgrupp Beskrivning
Allmänt Allmän grupp
METODFRAMTVINGANDE Låsningsmetoder (PUT, PATCH)
PROTOKOLLTILLÄMPNING Skydda mot protokoll- och kodningsproblem
PROTOKOLLATTACK Skydda mot rubrikinmatning, smuggling av begäranden och delning av svar
APPLICATION-ATTACK-LFI Skydda mot fil- och sökvägsattacker
APPLICATION-ATTACK-RFI Skydda mot RFI-attacker (remote file inclusion)
APPLICATION-ATTACK-RCE Skydda fjärrkodkörningsattacker igen
APPLICATION-ATTACK-PHP Skydda mot PHP-inmatningsattacker
APPLICATION-ATTACK-NodeJS Skydda mot Node JS-attacker
APPLICATION-ATTACK-XSS Skydda mot skriptattacker mellan webbplatser
APPLICATION-ATTACK-SQLI Skydda mot SQL-inmatningsattacker
APPLICATION-ATTACK-SESSION-FIXATION Skydda mot sessionskorrigeringsattacker
APPLICATION-ATTACK-SESSION-JAVA Skydda mot JAVA-attacker
MS-ThreatIntel-WebShells Skydda mot Web Shell-attacker
MS-ThreatIntel-AppSec Skydda mot AppSec-attacker
MS-ThreatIntel-SQLI Skydda mot SQLI-attacker
MS-ThreatIntel-CVEs Skydda mot CVE-attacker

Inaktiverade regler

Följande regler är inaktiverade som standard för DRS 2.1:

Regel-ID Regelgrupp Beskrivning Information
942110 SQLI SQL-inmatningsattack: Vanliga inmatningstester har identifierats Ersatt av MSTIC-regel 99031001
942150 SQLI SQL-inmatningsattack Ersatt av MSTIC-regel 99031003
942260 SQLI Identifierar grundläggande försök att kringgå SQL-autentisering 2/3 Ersätts av MSTIC-regel 99031004
942430 SQLI Begränsad SQL-teckenavvikelseidentifiering (args): antal specialtecken överskreds (12) För många falska positiva identifieringar.
942440 SQLI SQL-kommentarssekvens identifierad Ersatt av MSTIC-regel 99031002
99005006 MS-ThreatIntel-WebShells Spring4Shell-interaktionsförsök Aktivera regel för att förhindra SpringShell-sårbarhet
99001014 MS-ThreatIntel-CVEs Provad Spring Cloud-routningsuttryckinmatning CVE-2022-22963 Aktivera regel för att förhindra SpringShell-sårbarhet
99001015 MS-ThreatIntel-WebShells Försök till Spring Framework osäker klassobjekt utnyttjande CVE-2022-22965 Aktivera regel för att förhindra SpringShell-sårbarhet
99001016 MS-ThreatIntel-WebShells Provat Spring Cloud Gateway-aktuatorinmatning CVE-2022-22947 Aktivera regel för att förhindra SpringShell-sårbarhet

DRS 2.0

DRS 2.0-regler ger bättre skydd än tidigare versioner av DRS. Det stöder också transformeringar utöver bara URL-avkodning.

DRS 2.0 innehåller 17 regelgrupper, enligt följande tabell. Varje grupp innehåller flera regler och du kan inaktivera enskilda regler och hela regelgrupper.

Anteckning

DRS 2.0 är endast tillgängligt på Azure Front Door Premium.

Regelgrupp Beskrivning
Allmänt Allmän grupp
METODTILLÄMPNING Låsningsmetoder (PUT, PATCH)
PROTOKOLLTILLÄMPNING Skydda mot protokoll- och kodningsproblem
PROTOKOLLATTACK Skydda mot rubrikinmatning, smuggling av begäranden och delning av svar
APPLICATION-ATTACK-LFI Skydda mot fil- och sökvägsattacker
APPLICATION-ATTACK-RFI Skydda mot RFI-attacker (remote file inclusion)
APPLICATION-ATTACK-RCE Skydda igen fjärranslutna kodkörningsattacker
APPLICATION-ATTACK-PHP Skydda mot PHP-inmatningsattacker
APPLICATION-ATTACK-NodeJS Skydda mot Node JS-attacker
APPLICATION-ATTACK-XSS Skydda mot skriptattacker mellan webbplatser
APPLICATION-ATTACK-SQLI Skydda mot SQL-inmatningsattacker
APPLICATION-ATTACK-SESSION-FIXATION Skydda mot sessionskorrigeringsattacker
APPLICATION-ATTACK-SESSION-JAVA Skydda mot JAVA-attacker
MS-ThreatIntel-WebShells Skydda mot Web Shell-attacker
MS-ThreatIntel-AppSec Skydda mot AppSec-attacker
MS-ThreatIntel-SQLI Skydda mot SQLI-attacker
MS-ThreatIntel-CVEs Skydda mot CVE-attacker

DRS 1.1

Regelgrupp Beskrivning
PROTOKOLLATTACK Skydda mot rubrikinmatning, smuggling av begäranden och delning av svar
APPLICATION-ATTACK-LFI Skydda mot fil- och sökvägsattacker
APPLICATION-ATTACK-RFI Skydd mot fjärranslutna filinkluderingsattacker
APPLICATION-ATTACK-RCE Skydd mot fjärrkommandokörning
APPLICATION-ATTACK-PHP Skydda mot PHP-inmatningsattacker
APPLICATION-ATTACK-XSS Skydda mot skriptattacker mellan webbplatser
APPLICATION-ATTACK-SQLI Skydda mot SQL-inmatningsattacker
APPLICATION-ATTACK-SESSION-FIXATION Skydda mot sessionskorrigeringsattacker
APPLICATION-ATTACK-SESSION-JAVA Skydda mot JAVA-attacker
MS-ThreatIntel-WebShells Skydda mot Web Shell-attacker
MS-ThreatIntel-AppSec Skydda mot AppSec-attacker
MS-ThreatIntel-SQLI Skydda mot SQLI-attacker
MS-ThreatIntel-CVEs Skydda mot CVE-attacker

DRS 1.0

Regelgrupp Beskrivning
PROTOKOLLATTACK Skydda mot rubrikinmatning, smuggling av begäranden och delning av svar
APPLICATION-ATTACK-LFI Skydda mot fil- och sökvägsattacker
APPLICATION-ATTACK-RFI Skydd mot fjärranslutna filinkluderingsattacker
APPLICATION-ATTACK-RCE Skydd mot fjärrkommandokörning
APPLICATION-ATTACK-PHP Skydda mot PHP-inmatningsattacker
APPLICATION-ATTACK-XSS Skydda mot skriptattacker mellan webbplatser
APPLICATION-ATTACK-SQLI Skydda mot SQL-inmatningsattacker
APPLICATION-ATTACK-SESSION-FIXATION Skydda mot sessionskorrigeringsattacker
APPLICATION-ATTACK-SESSION-JAVA Skydda mot JAVA-attacker
MS-ThreatIntel-WebShells Skydda mot Web Shell-attacker
MS-ThreatIntel-CVEs Skydda mot CVE-attacker

Robotregler

Regelgrupp Beskrivning
BadBots Skydda mot dåliga robotar
GoodBots Identifiera bra robotar
UnknownBots Identifiera okända robotar

Följande regelgrupper och regler är tillgängliga när du använder Web Application Firewall på Azure Front Door.

2.1 regeluppsättningar

Allmänt

RuleId Beskrivning
200002 Det gick inte att parsa begärandetexten.
200003 Begärandetexten i flera delar misslyckades med strikt validering

METODTILLÄMPNING

RuleId Beskrivning
911100 Metoden tillåts inte av principen

PROTOKOLLTILLÄMPNING

RuleId Beskrivning
920100 Ogiltig HTTP-begäranderad
920120 Försök till förbikoppling av flera delar/formulärdata
920121 Försök till förbikoppling av flera delar/formulärdata
920160 HTTP-huvudet för innehållslängd är inte numeriskt.
920170 GET- eller HEAD-begäran med brödtextinnehåll.
920171 GET- eller HEAD-begäran med Transfer-Encoding.
920180 POST-begäran saknar content-length-huvud.
920181 Innehållslängd och Transfer-Encoding rubriker finns 99001003
920190 Intervall: Ogiltigt värde för senaste byte.
920200 Intervall: För många fält (6 eller fler)
920201 Intervall: För många fält för pdf-begäran (35 eller mer)
920210 Flera/motstridiga anslutningshuvuddata hittades.
920220 Försök till url-kodning av missbruksattack
920230 Flera URL-kodning har identifierats
920240 Försök till url-kodning av missbruksattack
920260 Unicode Full/Half Width Abuse Attack Attempt
920270 Ogiltigt tecken i begäran (null-tecken)
920271 Ogiltigt tecken i begäran (icke utskrivbara tecken)
920280 Begäran saknar ett värdhuvud
920290 Tomt värdhuvud
920300 Begäran saknar ett accepthuvud
920310 Begäran har ett tomt accepthuvud
920311 Begäran har ett tomt accepthuvud
920320 Användaragenthuvud saknas
920330 Tomt användaragenthuvud
920340 Begäran som innehåller innehåll, men innehållstypsrubrik saknas
920341 Begäran som innehåller innehåll kräver innehållstyprubrik
920350 Värdrubrik är en numerisk IP-adress
920420 Innehållstyp för begäran tillåts inte av principen
920430 HTTP-protokollversion tillåts inte av principen
920440 URL-filnamnstillägget begränsas av principen
920450 HTTP-huvudet begränsas av principen
920470 Ogiltig rubrik för innehållstyp
920480 Charset för begärandeinnehållstyp tillåts inte av principen
920500 Försök att komma åt en säkerhetskopia eller arbetsfil

PROTOKOLLATTACK

RuleId Beskrivning
921110 HTTP-begärandesmugglingsattack
921120 HTTP-svarsdelningsattack
921130 HTTP-svarsdelningsattack
921140 HTTP-rubrikinmatningsattack via rubriker
921150 HTTP-rubrikinmatningsattack via nyttolast (CR/LF har identifierats)
921151 HTTP-rubrikinmatningsattack via nyttolast (CR/LF har identifierats)
921160 HTTP-rubrikinmatningsattack via nyttolast (CR/LF och rubriknamn har identifierats)
921190 HTTP-delning (CR/LF i begärandefilnamn har identifierats)
921200 LDAP-inmatningsattack

LFI – lokal filinkludering

RuleId Beskrivning
930100 Väg bläddringsattack (/.. /)
930110 Väg bläddringsattack (/.. /)
930120 Försök att komma åt OS-fil
930130 Försök att begränsa filåtkomst

RFI – Filinkludering med fjärranslutning

RuleId Beskrivning
931100 Möjlig RFI-attack (Remote File Inclusion): URL-parameter med IP-adress
931110 Möjlig RFI-attack (Remote File Inclusion): Common RFI Vulnerable Parameter Name used w/URL Payload
931120 Möjlig RFI-attack (Remote File Inclusion): URL Payload Used w/Trailing Question Mark Character (?)
931130 Möjlig RFI-attack (Remote File Inclusion): Off-Domain-referens/länk

RCE – Körning av fjärrkommando

RuleId Beskrivning
932100 Fjärrkommandokörning: Unix-kommandoinmatning
932105 Fjärrkommandokörning: Unix-kommandoinmatning
932110 Fjärrkommandokörning: Windows-kommandoinmatning
932115 Fjärrkommandokörning: Windows-kommandoinmatning
932120 Fjärrkommandokörning: Windows PowerShell kommandot hittades
932130 Fjärrkommandokörning: Unix Shell-uttryck eller säkerhetsrisk för confluence (CVE-2022-26134) hittades
932140 Fjärrkommandokörning: Windows FOR/IF-kommandot hittades
932150 Fjärrkommandokörning: Direct Unix-kommandokörning
932160 Fjärrkommandokörning: Unix Shell-kod hittades
932170 Fjärrkommandokörning: Shellshock (CVE-2014-6271)
932171 Fjärrkommandokörning: Shellshock (CVE-2014-6271)
932180 Försök att ladda upp begränsad fil

PHP-attacker

RuleId Beskrivning
933100 PHP-inmatningsattack: Öppna/stänga tagg hittades
933110 PHP-inmatningsattack: PHP-skriptfiluppladdning hittades
933120 PHP-inmatningsattack: Konfigurationsdirektiv hittades
933130 PHP-inmatningsattack: Variabler hittades
933140 PHP-inmatningsattack: I/O Stream hittades
933150 PHP-inmatningsattack: High-Risk PHP-funktionsnamn hittades
933151 PHP-inmatningsattack: Medium-Risk PHP-funktionsnamn hittades
933160 PHP-inmatningsattack: High-Risk PHP-funktionsanrop hittades
933170 PHP-inmatningsattack: Serialiserad objektinmatning
933180 PHP-inmatningsattack: Variabelfunktionsanrop hittades
933200 PHP-inmatningsattack: Wrapper-schema har identifierats
933210 PHP-inmatningsattack: Variabelfunktionsanrop hittades

Node JS-attacker

RuleId Beskrivning
934100 Node.js inmatningsattack

XSS – skript mellan webbplatser

RuleId Beskrivning
941100 XSS-attack identifierad via libinjection
941101 XSS-attack identifierad via libinjection.
Den här regeln identifierar begäranden med ett referenshuvud .
941110 XSS-filter – kategori 1: Skripttaggvektor
941120 XSS-filter – kategori 2: Händelsehanterarvektor
941130 XSS-filter – Kategori 3: Attributvektor
941140 XSS-filter – kategori 4: JavaScript URI-vektor
941150 XSS-filter – Kategori 5: Otillåtna HTML-attribut
941160 NoScript XSS InjectionChecker: HTML-inmatning
941170 NoScript XSS InjectionChecker: Attributinmatning
941180 Node-Validator nyckelord för svarta listor
941190 XSS med formatmallar
941200 XSS med VML-ramar
941210 XSS med fördunklade JavaScript
941220 XSS med fördunklade VB-skript
941230 XSS med taggen "embed"
941240 XSS med attributet "import" eller "implementation"
941250 IE XSS-filter – Angrepp har identifierats.
941260 XSS med taggen "meta"
941270 XSS med hjälp av "link" href
941280 XSS med "base"-tagg
941290 XSS med taggen "applet"
941300 XSS med hjälp av objekttaggen
941310 US-ASCII Felformat XSS-kodningsfilter – attack har identifierats.
941320 Möjlig XSS-attack har identifierats – HTML-tagghanterare
941330 IE XSS-filter – angrepp har identifierats.
941340 IE XSS-filter – angrepp har identifierats.
941350 UTF-7 Kodnings-IE XSS – Attack identifierad.
941360 JavaScript-obfuscation har identifierats.
941370 Global JavaScript-variabel hittades
941380 AngularJS-mallinmatning på klientsidan har identifierats

Anteckning

Den här artikeln innehåller referenser till termen svartlista, en term som Microsoft inte längre använder. När termen tas bort från programvaran tar vi bort den från den här artikeln.

SQLI – SQL-inmatning

RuleId Beskrivning
942100 SQL-inmatningsattack identifierad via libinjection
942110 SQL-inmatningsattack: Vanliga inmatningstester har identifierats
942120 SQL-inmatningsattack: SQL-operatör identifierad
942140 SQL-inmatningsattack: Vanliga databasnamn har identifierats
942150 SQL-inmatningsattack
942160 Identifierar blinda sqli-tester med hjälp av sleep() eller benchmark().
942170 Identifierar SQL-benchmark- och vilolägesinmatningsförsök, inklusive villkorsstyrda frågor
942180 Identifierar grundläggande försök att kringgå SQL-autentisering 1/3
942190 Identifierar MSSQL-kodkörning och insamling av informationsförsök
942200 Identifierar MySQL comment-/space-obfuscated inmatningar och backtick-avslutning
942210 Identifierar länkade SQL-inmatningsförsök 1/2
942220 Letar du efter heltal spill attacker, dessa tas från skipfish, utom 3.0.00738585072007e-308 är den "magiska nummer" krasch
942230 Identifierar försök till villkorlig SQL-inmatning
942240 Identifierar MySQL-teckenuppsättningsväxel och MSSQL DoS-försök
942250 Identifierar MATCH AGAINST, MERGE och EXECUTE IMMEDIATE injections
942260 Identifierar grundläggande försök att kringgå SQL-autentisering 2/3
942270 Letar efter grundläggande SQL-inmatning. Vanliga attacksträngar för mysql, oracle och andra.
942280 Identifierar Postgres pg_sleep inmatning, vänta på fördröjningsattacker och försök till databasavstängning
942290 Hittar grundläggande MongoDB SQL-inmatningsförsök
942300 Identifierar MySQL-kommentarer, villkor och ch(a)r-inmatningar
942310 Identifierar länkade SQL-inmatningsförsök 2/2
942320 Identifierar lagrad procedur/funktionsinmatning i MySQL och PostgreSQL
942330 Identifierar klassiska SQL-inmatningssökningar 1/2
942340 Identifierar grundläggande försök att kringgå SQL-autentisering 3/3
942350 Identifierar MySQL UDF-inmatning och andra försök till data-/strukturmanipulering
942360 Identifierar sammanfogade grundläggande SQL-inmatnings- och SQLLFI-försök
942361 Identifierar grundläggande SQL-inmatning baserat på nyckelordsförändrande eller union
942370 Identifierar klassiska SQL-inmatningssökningar 2/2
942380 SQL-inmatningsattack
942390 SQL-inmatningsattack
942400 SQL-inmatningsattack
942410 SQL-inmatningsattack
942430 Begränsad SQL-teckenavvikelseidentifiering (args): antal specialtecken överskreds (12)
942440 SQL-kommentarssekvens identifierad
942450 IDENTIFIERAD SQL Hex-kodning
942460 Meta-Character avisering om avvikelseidentifiering – repetitiva icke-ordtecken
942470 SQL-inmatningsattack
942480 SQL-inmatningsattack
942500 En infogad MySQL-kommentar har identifierats.
942510 SQLi bypass-försök av tick eller backticks har identifierats.

SESSIONSKORRIGERING

RuleId Beskrivning
943100 Möjlig sessionsfixeringsattack: Ange cookievärden i HTML
943110 Möjlig sessionskorrigeringsattack: Parameternamn för SessionID med Off-Domain referent
943120 Möjlig sessionskorrigeringsattack: Parameternamn för SessionID utan referens

JAVA-attacker

RuleId Beskrivning
944100 Fjärrkommandokörning: Apache Struts, Oracle WebLogic
944110 Identifierar potentiell nyttolastkörning
944120 Möjlig nyttolastkörning och fjärrkommandokörning
944130 Misstänkta Java-klasser
944200 Utnyttjande av Java-deserialisering Apache Commons
944210 Möjlig användning av Java-serialisering
944240 Fjärrkommandokörning: Java-serialisering och Log4j-sårbarhet (CVE-2021-44228, CVE-2021-45046)
944250 Fjärrkommandokörning: Misstänkt Java-metod har identifierats

MS-ThreatIntel-WebShells

RuleId Beskrivning
99005002 Web Shell Interaction Attempt (POST)
99005003 Uppladdningsförsök för Web Shell (POST) – CHOPPER PHP
99005004 Uppladdningsförsök för Web Shell (POST) – CHOPPER ASPX
99005005 Web Shell-interaktionsförsök
99005006 Spring4Shell-interaktionsförsök

MS-ThreatIntel-AppSec

RuleId Beskrivning
99030001 Path Traversal Evasion i Rubriker (/.. /./.. /)
99030002 Path Traversal Evasion i begärandetexten (/.. /./.. /)

MS-ThreatIntel-SQLI

RuleId Beskrivning
99031001 SQL-inmatningsattack: Vanliga inmatningstester har identifierats
99031002 SQL-kommentarsekvens identifierad.
99031003 SQL-inmatningsattack
99031004 Identifierar grundläggande försök att kringgå SQL-autentisering 2/3

MS-ThreatIntel-CVEs

RuleId Beskrivning
99001001 F5 tmui-försök (CVE-2020-5902) REST API-utnyttjande med kända autentiseringsuppgifter
99001002 Citrix-försök NSC_USER katalogbläddrings-CVE-2019-19781
99001003 Försök Atlassian Confluence Widget Connector utnyttjande CVE-2019-3396
99001004 Försökte Pulse Secure anpassad mall utnyttjande CVE-2020-8243
99001005 Försök till exploatering av SharePoint-typkonverterare CVE-2020-0932
99001006 Försökte Pulse Connect-katalogbläddrings-CVE-2019-11510
99001007 Försökte Junos OS J-Web lokal fil inkludering CVE-2020-1631
99001008 Fortinet-sökvägsförsök genom bläddrings-CVE-2018-13379
99001009 Försökte Apache struts ognl injektion CVE-2017-5638
99001010 Försökte Apache struts ognl injektion CVE-2017-12611
99001011 Försök till Oracle WebLogic-sökväg genom bläddrings-CVE-2020-14882
99001012 Försökte Telerik WebUI osäker deserialisering utnyttjande CVE-2019-18935
99001013 Försök till oskyddad XML-deserialisering i SharePoint CVE-2019-0604
99001014 Provad Spring Cloud-routningsuttryckinmatning CVE-2022-22963
99001015 Försök till Spring Framework osäker klassobjekt utnyttjande CVE-2022-22965
99001016 Provad Spring Cloud Gateway-ställdoninmatning CVE-2022-22947

Anteckning

När du granskar waf-loggarna kan du se regel-ID 949110. Beskrivningen av regeln kan innehålla Inkommande avvikelsepoäng har överskridits.

Den här regeln anger att den totala avvikelsepoängen för begäran överskred den högsta tillåtna poängen. Mer information finns i Avvikelsebedömning.

När du finjusterar dina WAF-principer måste du undersöka de andra reglerna som utlöstes av begäran så att du kan justera waf-konfigurationen. Mer information finns i Justera Web Application Firewall (WAF) för Azure Front Door.

Nästa steg