Dela via

DRS-regelgrupper och regler i Web Application Firewall (WAF)

Azure Web Application Firewall i Azure Front Door skyddar webbprogram från vanliga sårbarheter och sårbarheter. Azure-hanterade regeluppsättningar är ett enkelt sätt att distribuera skydd mot en gemensam uppsättning säkerhetshot. Eftersom Azure hanterar dessa regeluppsättningar uppdateras reglerna efter behov för att skydda mot nya attacksignaturer.

Standardregeluppsättningen (DRS) innehåller även Microsoft Threat Intelligence Collection-reglerna som är skrivna i samarbete med Microsoft Intelligence-teamet för att ge ökad täckning, korrigeringar för specifika sårbarheter och bättre falsk positiv minskning.

Kommentar

När en regeluppsättningsversion ändras i en WAF-princip återställs alla befintliga anpassningar som du har gjort till regeluppsättningen till standardinställningarna för den nya regeluppsättningen. Se: Uppgradera eller ändra regeluppsättningsversion.

Standardregeluppsättningar

Azure-hanterad DRS innehåller regler mot följande hotkategorier:

  • Skriptkörning över flera webbplatser
  • Java-attacker
  • Lokal fil inkludering
  • PHP-inmatningsattacker
  • Fjärrkommandokörning
  • Fjärrfilinkludering
  • Sessionsfixering
  • Skydd mot SQL-inmatning
  • Protokollangripare

Versionsnumret för DRS ökar när nya attacksignaturer läggs till i regeluppsättningen.

DRS är aktiverat som standard i identifieringsläge i dina WAF-principer. Du kan inaktivera eller aktivera enskilda regler i DRS för att uppfylla dina programkrav. Du kan också ange specifika åtgärder per regel. De tillgängliga åtgärderna är Tillåt, Blockera, Logga och Omdirigering.

Ibland kan du behöva utelämna vissa begärandeattribut från en WAF-utvärdering (Web Application Firewall). Ett vanligt exempel är Active Directory-infogade token som används för autentisering. Du kan konfigurera en undantagslista för en hanterad regel, en regelgrupp eller hela regeluppsättningen. Mer information finns i Azure Web Application Firewall på Azure Front Door-undantagslistor.

Som standard använder DRS version 2.0 och senare avvikelsebedömning när en begäran matchar en regel. DRS-versioner tidigare än 2.0-blockbegäranden som utlöser reglerna. Anpassade regler kan också konfigureras i samma WAF-princip om du vill kringgå någon av de förkonfigurerade reglerna i DRS.

Anpassade regler tillämpas alltid innan regler i DRS utvärderas. Om en begäran matchar en anpassad regel tillämpas motsvarande regelåtgärd. Begäran blockeras eller skickas till serverdelen. Inga andra anpassade regler eller reglerna i DRS bearbetas. Du kan också ta bort DRS från dina WAF-principer.

Microsoft Threat Intelligence Collection-regler

Microsoft Threat Intelligence Collection-reglerna är skrivna i samarbete med Microsoft Threat Intelligence-teamet för att ge ökad täckning, korrigeringar för specifika sårbarheter och bättre falska positiva minskningar.

Som standard ersätter Microsoft Threat Intelligence Collection-reglerna några av de inbyggda DRS-reglerna, vilket gör att de inaktiveras. Till exempel har regel-ID 942440, SQL Comment Sequence Detected, inaktiverats och ersatts av Microsoft Threat Intelligence Collection-regeln 99031002. Den ersatta regeln minskar risken för falska positiva identifieringar från legitima begäranden.

Avvikelsebedömning

När du använder DRS 2.0 eller senare använder din WAF avvikelsebedömning. Trafik som matchar alla regler blockeras inte omedelbart, även när din WAF är i förebyggande läge. I stället definierar OWASP-regeluppsättningarna en allvarlighetsgrad för varje regel: Kritisk, Fel, Varning eller Meddelande. Allvarlighetsgraden påverkar ett numeriskt värde för begäran, som kallas avvikelsepoäng. Om en begäran ackumulerar en avvikelsepoäng på 5 eller högre vidtar WAF åtgärden för begäran.

Allvarlighetsgrad för regel Värde som har bidragit till avvikelsepoäng
Kritiskt 5
Fel 4
Varning 3
Obs! 2

När du konfigurerar din WAF kan du bestämma hur WAF hanterar begäranden som överskrider tröskelvärdet för avvikelsepoäng på 5. De tre alternativen för avvikelsepoäng är Block, Log eller Redirect. Den åtgärd för avvikelsepoäng som du väljer vid tidpunkten för konfigurationen tillämpas på alla begäranden som överskrider tröskelvärdet för avvikelsepoäng.

Om till exempel avvikelsepoängen är 5 eller högre för en begäran och WAF är i förebyggande läge med avvikelsepoängsåtgärden inställd på Blockera, blockeras begäran. Om avvikelsepoängen är 5 eller högre för en begäran och WAF är i identifieringsläge loggas begäran men blockeras inte.

En enda kritisk regelmatchning räcker för att WAF ska blockera en begäran i förebyggande läge med åtgärden för avvikelsepoäng inställd på Blockera eftersom den övergripande avvikelsepoängen är 5. En varningsregelmatchning ökar dock bara avvikelsepoängen med 3, vilket inte räcker för att blockera trafiken. När en avvikelseregel utlöses visas en "matchad" åtgärd i loggarna. Om avvikelsepoängen är 5 eller högre utlöses en separat regel med åtgärden för avvikelsepoäng konfigurerad för regeluppsättningen. Standardåtgärden för avvikelsepoäng är Blockera, vilket resulterar i en loggpost med åtgärden blocked.

När din WAF använder en äldre version av standardregeluppsättningen (före DRS 2.0) körs din WAF i traditionellt läge. Trafik som matchar en regel betraktas oberoende av andra regelmatchningar. I traditionellt läge har du inte insyn i den fullständiga uppsättningen regler som en specifik begäran matchade.

Den version av DRS som du använder avgör också vilka innehållstyper som stöds för kontroll av begärandetext. Mer information finns i Vilka innehållstyper stöder WAF i Vanliga frågor och svar.

Paranoianivå

Varje regel tilldelas en specifik Paranoia-nivå (PL). Regler som konfigurerats i Paranoia Level 1 (PL1) är mindre aggressiva och utlöser nästan aldrig en falsk positiv identifiering. De ger baslinjesäkerhet med minimalt behov av finjustering. Regler i PL2 upptäcker fler attacker, men de förväntas utlösa falska positiva resultat, som bör finjusteras.

Som standard konfigureras DRS 2.2 på Paranoia Level 1 (PL1) och alla PL2-regler är inaktiverade. Om du vill köra WAF på PL2 kan du aktivera alla PL2-regler manuellt. För tidigare regeluppsättningar innehåller DRS 2.1 och CRS 3.2 regler som definierats för Paranoia Level 2, som omfattar både PL1- och PL2-regler. Om du föredrar att arbeta strikt på PL1 kan du inaktivera specifika PL2-regler eller ange deras åtgärd till Log.

Paranoianivåerna 3 och 4 stöds för närvarande inte i Azure WAF.

Uppgradera eller ändra regeluppsättningsversion

Om du uppgraderar eller tilldelar en ny regeluppsättningsversion och vill bevara befintliga regel åsidosättningar och undantag rekommenderar vi att du använder PowerShell, CLI, REST API eller en mall för att göra regeluppsättningsversionsändringar. En ny version av en regeluppsättning kan ha nyare regler, ytterligare regelgrupper och kan ha uppdateringar av befintliga signaturer för att upprätthålla bättre säkerhet och minska falska positiva identifieringar. Vi rekommenderar att du verifierar ändringar i en testmiljö, finjusterar om det behövs och sedan distribuerar i en produktionsmiljö.

Kommentar

Om du använder Azure-portalen för att tilldela en ny hanterad regeluppsättning till en WAF-princip återställs alla tidigare anpassningar från den befintliga hanterade regeluppsättningen, till exempel regeltillstånd, regelåtgärder och undantag på regelnivå till standardinställningarna för den nya hanterade regeluppsättningen. Anpassade regler eller principinställningar påverkas dock inte under tilldelningen av den nya regeluppsättningen. Du måste omdefiniera regel åsidosättningar och verifiera ändringar innan du distribuerar i en produktionsmiljö.

DRS 2.2

Viktigt!

För närvarande kan du inte tilldela DRS 2.2, även om det visas som tillgängligt i Azure-portalen.

DRS 2.2-regler ger bättre skydd än tidigare versioner av DRS. Den innehåller andra regler som utvecklats av Microsoft Threat Intelligence-teamet och uppdateringar av signaturer för att minska falska positiva identifieringar. Den stöder även transformeringar utöver bara URL-avkodning.

DRS 2.2 innehåller 18 regelgrupper, enligt följande tabell. Varje grupp innehåller flera regler och du kan anpassa beteendet för enskilda regler, regelgrupper eller en hel regeluppsättning. DRS 2.2 har baslinje från Open Web Application Security Project (OWASP) Core Rule Set (CRS) 3.3.4 och innehåller ytterligare skyddsregler som utvecklats av Microsoft Threat Intelligence-teamet.

Inaktiverade regler

DRS 2.2-regler som konfigurerats i Paranoia Level 2 är inaktiverade som standard. Du kan låta deras tillstånd vara inaktiverat om du vill behålla din WAF-princip konfigurerad i Paranoia Level 1. Om du vill öka principens paranoianivå kan du på ett säkert sätt ändra reglernas tillstånd till aktiverat och deras åtgärd till loggläge. Analysera loggen, gör den finjustering som krävs och aktivera reglerna i enlighet med detta. Mer information finns i Justera brandväggen för webbaserade program (WAF) för Azure Front Door - och Paranoia-nivå.

Vissa OWASP-regler ersätts av Microsoft-skapade ersättningar. De ursprungliga reglerna är inaktiverade som standard och deras beskrivningar slutar med "(ersätts av ...)".

Regelgrupp regelgruppnamn beskrivning
Allmänt Allmänt Allmän grupp
METODFRAMTVINGANDE METOD-TILLÄMPNING Låsningsmetoder (PUT, PATCH)
PROTOKOLLTILLÄMPNING PROTOKOLL-TILLÄMPNING Skydda mot protokoll- och kodningsproblem
PROTOKOLLATTACK PROTOKOLL–ATTACK Skydda mot huvudinmatning, smuggling av begäranden och delning av svar
APPLICATION-ATTACK-LFI (PROGRAM-ATTACK-LFI) LFI (LFI) Skydda mot fil- och sökvägsattacker
APPLICATION-ATTACK-RFI (PROGRAM-ATTACK-RGI) RFI Skydda mot RFI-attacker (remote file inclusion)
APPLIKATION-ATTACK-RCE RCE (på engelska) Skydda igen fjärrkodkörningsattacker
APPLIKATION-ATTACK-PHP PHP Skydda mot PHP-inmatningsattacker
APPLIKATION-ATTACK-NodeJS NODEJS Skydda mot Node JS-attacker
APPLIKATION-ATTACK-XSS XSS (på engelska) Skydda mot skriptattacker mellan webbplatser
APPLICATION-ATTACK-SQLI SQLI (SQLI) Skydda mot SQL-inmatningsattacker
APPLIKATIONSATTACK-SESSIONSFIXERING REPARERA Skydda mot sessionskorrigeringsattacker
APPLICATION-ATTACK-SESSION-JAVA JAVA Skydda mot JAVA-attacker
MS-HotIntel-WebShells MS-ThreatIntel-WebShells Skydda mot web shell-attacker
MS-HotIntelligens-AppSec MS-ThreatIntel-AppSec Skydda mot AppSec-attacker
MS-HotIntel-SQLI MS-ThreatIntel-SQLI Skydda mot SQLI-attacker
MS-ThreatIntel-CVE:er MS-ThreatIntel-CVEs Skydda mot CVE-attacker
MS-ThreatIntel-XSS MS-ThreatIntel-XSS Skydda mot XSS-attacker

DRS 2.1

DRS 2.1-regler ger bättre skydd än tidigare versioner av DRS. Den innehåller andra regler som utvecklats av Microsoft Threat Intelligence-teamet och uppdateringar av signaturer för att minska falska positiva identifieringar. Den stöder även transformeringar utöver bara URL-avkodning.

DRS 2.1 innehåller 17 regelgrupper, enligt följande tabell. Varje grupp innehåller flera regler och du kan anpassa beteendet för enskilda regler, regelgrupper eller en hel regeluppsättning. DRS 2.1 har baslinje från OWASP(Open Web Application Security Project) Core Rule Set (CRS) 3.3.2 och innehåller ytterligare skyddsregler som utvecklats av Microsoft Threat Intelligence-teamet.

Mer information finns i Justera brandväggen för webbaserade program (WAF) för Azure Front Door.

Kommentar

DRS 2.1 är endast tillgängligt på Azure Front Door Premium.

Regelgrupp regelgruppnamn beskrivning
Allmänt Allmänt Allmän grupp
METODFRAMTVINGANDE METOD-TILLÄMPNING Låsningsmetoder (PUT, PATCH)
PROTOKOLLTILLÄMPNING PROTOKOLL-TILLÄMPNING Skydda mot protokoll- och kodningsproblem
PROTOKOLLATTACK PROTOKOLL–ATTACK Skydda mot huvudinmatning, smuggling av begäranden och delning av svar
APPLICATION-ATTACK-LFI (PROGRAM-ATTACK-LFI) LFI (LFI) Skydda mot fil- och sökvägsattacker
APPLICATION-ATTACK-RFI (PROGRAM-ATTACK-RGI) RFI Skydda mot RFI-attacker (remote file inclusion)
APPLIKATION-ATTACK-RCE RCE (på engelska) Skydda igen fjärrkodkörningsattacker
APPLIKATION-ATTACK-PHP PHP Skydda mot PHP-inmatningsattacker
APPLIKATION-ATTACK-NodeJS NODEJS Skydda mot Node JS-attacker
APPLIKATION-ATTACK-XSS XSS (på engelska) Skydda mot skriptattacker mellan webbplatser
APPLICATION-ATTACK-SQLI SQLI (SQLI) Skydda mot SQL-inmatningsattacker
APPLIKATIONSATTACK-SESSIONSFIXERING REPARERA Skydda mot sessionskorrigeringsattacker
APPLICATION-ATTACK-SESSION-JAVA JAVA Skydda mot JAVA-attacker
MS-HotIntel-WebShells MS-ThreatIntel-WebShells Skydda mot web shell-attacker
MS-HotIntelligens-AppSec MS-ThreatIntel-AppSec Skydda mot AppSec-attacker
MS-HotIntel-SQLI MS-ThreatIntel-SQLI Skydda mot SQLI-attacker
MS-ThreatIntel-CVE:er MS-ThreatIntel-CVEs Skydda mot CVE-attacker

Inaktiverade regler

Följande regler är inaktiverade som standard för DRS 2.1.

Regel-ID Regelgrupp beskrivning Detaljer
942110 SQLI (SQLI) SQL-inmatningsattack: Vanliga inmatningstester har identifierats Ersatt av MSTIC-regel 99031001
942150 SQLI (SQLI) SQL-inmatningsattack Ersatt av MSTIC-regel 99031003
942260 SQLI (SQLI) Identifierar grundläggande SQL-autentisering som kringgår försök 2/3 Ersatt av MSTIC-regel 99031004
942430 SQLI (SQLI) Begränsad SQL-teckenavvikelseidentifiering (args): antal specialtecken som överskridits (12) För många falska positiva identifieringar
942440 SQLI (SQLI) SQL-kommentarssekvens identifierad Ersatt av MSTIC-regel 99031002
99005006 MS-ThreatIntel-WebShells Spring4Shell-interaktionsförsök Aktivera regel för att förhindra SpringShell-sårbarhet
99001014 MS-ThreatIntel-CVEs Försök till Spring Cloud routing-expression injection CVE-2022-22963 Aktivera regel för att förhindra SpringShell-sårbarhet
99001015 MS-ThreatIntel-WebShells Försök till spring framework osäker klassobjekt utnyttjande CVE-2022-22965 Aktivera regel för att förhindra SpringShell-sårbarhet
99001016 MS-ThreatIntel-WebShells Provad Spring Cloud Gateway-aktuatorinmatning CVE-2022-22947 Aktivera regel för att förhindra SpringShell-sårbarhet
99001017 MS-ThreatIntel-CVEs Försök till Apache Struts-filuppladdningsexploatering CVE-2023-50164 Aktivera regel för att förhindra apache struts-sårbarhet

DRS 2.0

DRS 2.0-regler ger bättre skydd än tidigare versioner av DRS. DRS 2.0 stöder även transformeringar utöver bara URL-avkodning.

DRS 2.0 innehåller 17 regelgrupper, enligt följande tabell. Varje grupp innehåller flera regler. Du kan inaktivera enskilda regler och hela regelgrupper.

Kommentar

DRS 2.0 är endast tillgängligt på Azure Front Door Premium.

Regelgrupp regelgruppnamn beskrivning
Allmänt Allmänt Allmän grupp
METODFRAMTVINGANDE METOD-TILLÄMPNING Låsningsmetoder (PUT, PATCH)
PROTOKOLLTILLÄMPNING PROTOKOLL-TILLÄMPNING Skydda mot protokoll- och kodningsproblem
PROTOKOLLATTACK PROTOKOLL–ATTACK Skydda mot huvudinmatning, smuggling av begäranden och delning av svar
APPLICATION-ATTACK-LFI (PROGRAM-ATTACK-LFI) LFI (LFI) Skydda mot fil- och sökvägsattacker
APPLICATION-ATTACK-RFI (PROGRAM-ATTACK-RGI) RFI Skydda mot RFI-attacker (remote file inclusion)
APPLIKATION-ATTACK-RCE RCE (på engelska) Skydda igen fjärrkodkörningsattacker
APPLIKATION-ATTACK-PHP PHP Skydda mot PHP-inmatningsattacker
APPLIKATION-ATTACK-NodeJS NODEJS Skydda mot Node JS-attacker
APPLIKATION-ATTACK-XSS XSS (på engelska) Skydda mot skriptattacker mellan webbplatser
APPLICATION-ATTACK-SQLI SQLI (SQLI) Skydda mot SQL-inmatningsattacker
APPLIKATIONSATTACK-SESSIONSFIXERING REPARERA Skydda mot sessionskorrigeringsattacker
APPLICATION-ATTACK-SESSION-JAVA JAVA Skydda mot JAVA-attacker
MS-HotIntel-WebShells MS-ThreatIntel-WebShells Skydda mot web shell-attacker
MS-HotIntelligens-AppSec MS-ThreatIntel-AppSec Skydda mot AppSec-attacker
MS-HotIntel-SQLI MS-ThreatIntel-SQLI Skydda mot SQLI-attacker
MS-ThreatIntel-CVE:er MS-ThreatIntel-CVEs Skydda mot CVE-attacker

DRS 1.1

Regelgrupp regelgruppnamn beskrivning
PROTOKOLLATTACK PROTOKOLL–ATTACK Skydda mot huvudinmatning, smuggling av begäranden och delning av svar
APPLICATION-ATTACK-LFI (PROGRAM-ATTACK-LFI) LFI (LFI) Skydda mot fil- och sökvägsattacker
APPLICATION-ATTACK-RFI (PROGRAM-ATTACK-RGI) RFI Skydd mot fjärrfilinkluderingsattacker
APPLIKATION-ATTACK-RCE RCE (på engelska) Skydd mot fjärrkommandokörning
APPLIKATION-ATTACK-PHP PHP Skydda mot PHP-inmatningsattacker
APPLIKATION-ATTACK-XSS XSS (på engelska) Skydda mot skriptattacker mellan webbplatser
APPLICATION-ATTACK-SQLI SQLI (SQLI) Skydda mot SQL-inmatningsattacker
APPLIKATIONSATTACK-SESSIONSFIXERING REPARERA Skydda mot sessionskorrigeringsattacker
APPLICATION-ATTACK-SESSION-JAVA JAVA Skydda mot JAVA-attacker
MS-HotIntel-WebShells MS-ThreatIntel-WebShells Skydda mot web shell-attacker
MS-HotIntelligens-AppSec MS-ThreatIntel-AppSec Skydda mot AppSec-attacker
MS-HotIntel-SQLI MS-ThreatIntel-SQLI Skydda mot SQLI-attacker
MS-ThreatIntel-CVE:er MS-ThreatIntel-CVEs Skydda mot CVE-attacker

DRS 1,0

Regelgrupp regelgruppnamn beskrivning
PROTOKOLLATTACK PROTOKOLL–ATTACK Skydda mot huvudinmatning, smuggling av begäranden och delning av svar
APPLICATION-ATTACK-LFI (PROGRAM-ATTACK-LFI) LFI (LFI) Skydda mot fil- och sökvägsattacker
APPLICATION-ATTACK-RFI (PROGRAM-ATTACK-RGI) RFI Skydd mot fjärrfilinkluderingsattacker
APPLIKATION-ATTACK-RCE RCE (på engelska) Skydd mot fjärrkommandokörning
APPLIKATION-ATTACK-PHP PHP Skydda mot PHP-inmatningsattacker
APPLIKATION-ATTACK-XSS XSS (på engelska) Skydda mot skriptattacker mellan webbplatser
APPLICATION-ATTACK-SQLI SQLI (SQLI) Skydda mot SQL-inmatningsattacker
APPLIKATIONSATTACK-SESSIONSFIXERING REPARERA Skydda mot sessionskorrigeringsattacker
APPLICATION-ATTACK-SESSION-JAVA JAVA Skydda mot JAVA-attacker
MS-HotIntel-WebShells MS-ThreatIntel-WebShells Skydda mot web shell-attacker
MS-ThreatIntel-CVE:er MS-ThreatIntel-CVEs Skydda mot CVE-attacker

Bot Manager 1,0

Bot Manager 1.0-regeluppsättningen ger skydd mot skadliga robotar och identifiering av bra robotar. Reglerna ger detaljerad kontroll över robotar som identifierats av WAF genom att kategorisera robottrafik som bra, dåliga eller okända robotar.

Regelgrupp beskrivning
BadBots (på engelska) Skydda mot dåliga robotar
GoodBots (på engelska) Identifiera bra robotar
UnknownBots (Okända robotar) Identifiera okända robotar

Bot Manager 1,1

Bot Manager 1.1-regeluppsättningen är en förbättring av Bot Manager 1.0-regeluppsättningen. Det ger förbättrat skydd mot skadliga robotar och ökar bra robotidentifiering.

Regelgrupp beskrivning
BadBots (på engelska) Skydda mot dåliga robotar
GoodBots (på engelska) Identifiera bra robotar
UnknownBots (Okända robotar) Identifiera okända robotar

Följande regelgrupper och regler är tillgängliga när du använder Azure Web Application Firewall på Azure Front Door.

2.2 regeluppsättningar

Allmänt

Regel-ID Allvarlighetsgrad för avvikelsepoäng Paranoianivå beskrivning
200002 Kritisk – 5 1 Det gick inte att parsa begärandetexten.
200003 Kritisk – 5 1 Begärandetexten för flera delar misslyckades med strikt validering

Metodframtvingande

Regel-ID Allvarlighetsgrad för avvikelsepoäng Paranoianivå beskrivning
911100 Kritisk – 5 1 Metoden tillåts inte av principen

Protokolltillämpning

Regel-ID Allvarlighetsgrad för avvikelsepoäng Paranoianivå beskrivning
920100 Meddelande - 2 1 Ogiltig HTTP-begäranderad
920120 Kritisk – 5 1 Försök att kringgå flera delar/formulärdata
920121 Kritisk – 5 2 Försök att kringgå flera delar/formulärdata
920160 Kritisk – 5 1 HTTP-huvudet för innehållslängd är inte numeriskt.
920170 Kritisk – 5 1 GET- eller HEAD-begäran med kroppsdata.
920171 Kritisk – 5 1 GET- eller HEAD-begäran med Transfer-Encoding.
920180 Meddelande - 2 1 POST utan innehållslängd eller Transfer-Encoding rubriker.
920181 Varning - 3 1 Innehållslängd och Transfer-Encoding rubriker som finns
920190 Varning - 3 1 Intervall: Ogiltigt värde för sista byte.
920200 Varning - 3 2 Intervall: För många fält (6 eller fler)
920201 Varning - 3 2 Intervall: För många fält för pdf-begäran (63 eller fler)
920210 Varning - 3 1 Flera/motstridiga anslutningshuvuddata hittades.
920220 Varning - 3 1 Försök till missbruk av URL-kodning
920230 Varning - 3 2 Flera URL-kodning har identifierats
920240 Varning - 3 1 Försök till missbruk av URL-kodning
920260 Varning - 3 1 Försök till angrepp med Unicode full-/halvbredds missbruk
920270 Kritisk – 5 1 Ogiltigt tecken i begäran (nulltecken)
920271 Kritisk – 5 2 Ogiltigt tecken i begäran (icke utskrivbara tecken)
920280 Varning - 3 1 Begäran saknar ett värdhuvud
920290 Varning - 3 1 Tomt värdhuvud
920300 Meddelande - 2 2 Begäran saknar en Accept-header
920310 Meddelande - 2 1 Begäran har ett tomt accepthuvud
920311 Meddelande - 2 1 Begäran har ett tomt accepthuvud
920320 Meddelande - 2 2 Sidhuvud för användaragent saknas
920330 Meddelande - 2 1 Tomt användaragenthuvud
920340 Meddelande - 2 1 Begäran som innehåller innehåll, men innehållstypsrubrik saknas
920341 Kritisk – 5 2 Begäran som innehåller innehåll kräver rubrik av innehållstyp
920350 Varning - 3 1 Värdrubriken är en numerisk IP-adress
920420 Kritisk – 5 2 Innehållstyp för begäran är inte tillåten enligt policyn
920430 Kritisk – 5 1 HTTP-protokollversion tillåts inte enligt policyn
920440 Kritisk – 5 1 URL-filnamnstillägget begränsas av principen
920450 Kritisk – 5 1 HTTP-huvudet begränsas av principen
920470 Kritisk – 5 1 Ogiltigt innehållstypshuvud
920480 Kritisk – 5 1 Charset för begärans innehållstyp tillåts inte av policyn
920500 Kritisk – 5 1 Försök att komma åt en säkerhetskopia eller arbetsfil
920530 Kritisk – 5 1 Begränsa teckenuppsättningsparametern i innehållstyprubriken till max en gång
920620 Kritisk – 5 1 Flera begärandehuvuden av innehållstyp

Protokollattack

Regel-ID Allvarlighetsgrad för avvikelsepoäng Paranoianivå beskrivning
921110 Kritisk – 5 1 HTTP-begärandesmugglingsattack
921120 Kritisk – 5 1 HTTP-svarsdelningsattack
921130 Kritisk – 5 1 HTTP-svarsdelningsattack
921140 Kritisk – 5 1 HTTP-rubrikinmatningsattack via rubriker
921150 Kritisk – 5 1 HTTP-rubrikinmatningsattack via nyttolast (CR/LF har identifierats)
921151 Kritisk – 5 2 HTTP-rubrikinmatningsattack via nyttolast (CR/LF har identifierats)
921160 Kritisk – 5 1 HTTP-rubrikinmatningsattack via nyttolast (CR/LF och rubriknamn har identifierats)
921190 Kritisk – 5 1 HTTP-delning (CR/LF i filnamnet för begäran har identifierats)
921200 Kritisk – 5 1 LDAP-inmatningsattack
921422 Kritisk – 5 2 Identifiera innehållstyper i rubriken Innehållstyp utanför den faktiska innehållstypdeklarationen

LFI: Lokal filinkludering

Regel-ID Allvarlighetsgrad för avvikelsepoäng Paranoianivå beskrivning
930100 Kritisk – 5 1 Väg bläddringsattack (/.. /)
930110 Kritisk – 5 1 Väg bläddringsattack (/.. /)
930120 Kritisk – 5 1 Försök att komma åt operativsystemets fil
930130 Kritisk – 5 1 Försök till begränsad filåtkomst

RFI: Fjärrfilinkludering

Regel-ID Allvarlighetsgrad för avvikelsepoäng Paranoianivå beskrivning
931100 Kritisk – 5 2 Möjlig RFI-attack (Remote File Inclusion): URL-parameter med IP-adress
931110 Kritisk – 5 1 Möjlig RFI-attack (Remote File Inclusion): Common RFI Vulnerable Parameter Name used w/URL Payload
931120 Kritisk – 5 1 Möjlig RFI-attack (Remote File Inclusion): URL Payload Used w/Trailing Question Mark Character (?)
931130 Kritisk – 5 2 Möjlig RFI-attack (Remote File Inclusion): Referens/länk utanför domänen

RCE: Fjärrkommandokörning

Regel-ID Allvarlighetsgrad för avvikelsepoäng Paranoianivå beskrivning
932100 Kritisk – 5 1 Fjärrkommandokörning: Unix-kommandoinmatning
932105 Kritisk – 5 1 Fjärrkommandokörning: Unix-kommandoinmatning
932110 Kritisk – 5 1 Fjärrkommandokörning: Windows-kommandoinmatning
932115 Kritisk – 5 1 Fjärrkommandokörning: Windows-kommandoinmatning
932120 Kritisk – 5 1 Fjärrkommandokörning: Windows PowerShell-kommandot hittades
932130 Kritisk – 5 1 Fjärrkommandokörning: Unix Shell-uttryck eller sårbarhet för sammanflöde (CVE-2022-26134) hittades
932140 Kritisk – 5 1 Fjärrkommandokörning: Windows FOR/IF-kommandot hittades
932150 Kritisk – 5 1 Fjärrkommandokörning: Direct Unix-kommandokörning
932160 Kritisk – 5 1 Fjärrkommandokörning: Unix Shell-kod hittades
932170 Kritisk – 5 1 Fjärrkommandokörning: Shellshock (CVE-2014-6271)
932171 Kritisk – 5 1 Fjärrkommandokörning: Shellshock (CVE-2014-6271)
932180 Kritisk – 5 1 Försök att ladda upp begränsad fil

PHP-attacker

Regel-ID Allvarlighetsgrad för avvikelsepoäng Paranoianivå beskrivning
933100 Kritisk – 5 1 PHP-inmatningsattack: ÖPPEN PHP-tagg hittades
933110 Kritisk – 5 1 PHP-inmatningsattack: PHP-skriptfiluppladdning hittades
933120 Kritisk – 5 1 PHP-inmatningsattack: Konfigurationsdirektivet hittades
933130 Kritisk – 5 1 PHP-inmatningsattack: Variabler hittades
933140 Kritisk – 5 1 PHP-inmatningsattack: I/O Stream hittades
933150 Kritisk – 5 1 PHP-inmatningsattack: Php-funktionsnamn med hög risk hittades
933151 Kritisk – 5 2 PHP-inmatningsattack: Php-funktionsnamn med medelhög risk hittades
933160 Kritisk – 5 1 PHP-inmatningsattack: Php-funktionsanrop med hög risk hittades
933170 Kritisk – 5 1 PHP-inmatningsattack: Serialiserad objektinmatning
933180 Kritisk – 5 1 PHP-inmatningsattack: Variabelfunktionsanrop hittades
933200 Kritisk – 5 1 PHP-inmatningsattack: Wrapper-schema har identifierats
933210 Kritisk – 5 1 PHP-inmatningsattack: Variabelfunktionsanrop hittades

Node JS-attacker

Regel-ID Allvarlighetsgrad för avvikelsepoäng Paranoianivå beskrivning
934100 Kritisk – 5 1 Node.js inmatningsattack

XSS: Skript mellan webbplatser

Regel-ID Allvarlighetsgrad för avvikelsepoäng Paranoianivå beskrivning
941100 Kritisk – 5 1 XSS-attack identifierad via libinjection
941101 Kritisk – 5 2 XSS-attack identifierad via libinjection
941110 Kritisk – 5 1 XSS-filter – kategori 1: Skripttaggvektor
941120 Kritisk – 5 2 XSS-filter – kategori 2: Händelsehanterarvektor
941130 Kritisk – 5 1 XSS-filter – Kategori 3: Attributvektor
941140 Kritisk – 5 1 XSS-filter – kategori 4: Javascript URI-vektor
941150 Kritisk – 5 2 XSS-filter – kategori 5: Otillåtna HTML-attribut
941160 Kritisk – 5 1 NoScript XSS InjectionChecker: HTML-inmatning
941170 Kritisk – 5 1 NoScript XSS InjectionChecker: Attributinmatning
941180 Kritisk – 5 1 Nyckelord för nodverifierarens svarta lista
941190 Kritisk – 5 1 IE XSS-filter – attack har identifierats.
941200 Kritisk – 5 1 IE XSS-filter – attack har identifierats.
941210 Kritisk – 5 1 IE XSS-filter – attack har identifierats.
941220 Kritisk – 5 1 IE XSS-filter – attack har identifierats.
941230 Kritisk – 5 1 IE XSS-filter – attack har identifierats.
941240 Kritisk – 5 1 IE XSS-filter – attack har identifierats.
941250 Kritisk – 5 1 IE XSS-filter – attack har identifierats.
941260 Kritisk – 5 1 IE XSS-filter – attack har identifierats.
941270 Kritisk – 5 1 IE XSS-filter – attack har identifierats.
941280 Kritisk – 5 1 IE XSS-filter – attack har identifierats.
941290 Kritisk – 5 1 IE XSS-filter – attack har identifierats.
941300 Kritisk – 5 1 IE XSS-filter – attack har identifierats.
941310 Kritisk – 5 1 US-ASCII felaktigt kodande XSS-filter – Angrepp har identifierats.
941320 Kritisk – 5 2 Möjlig XSS-attack identifierad – HTML-tagghanterare
941330 Kritisk – 5 2 IE XSS-filter – attack har identifierats.
941340 Kritisk – 5 2 IE XSS-filter – attack har identifierats.
941350 Kritisk – 5 1 UTF-7-kodning IE XSS – Angrepp upptäckt.
941360 Kritisk – 5 1 JSFuck/Hieroglyphy obfuscation upptäckt
941370 Kritisk – 5 1 JavaScript global variabel hittades
941380 Kritisk – 5 2 AngularJS-mallinmatning på klientsidan har identifierats

SQLI: SQL-inmatning

Regel-ID Allvarlighetsgrad för avvikelsepoäng Paranoianivå beskrivning
942100 Kritisk – 5 1 SQL-inmatningsattack identifierad via libinjection
942110 Varning - 3 2 SQL-inmatningsattack: Vanliga inmatningstester har identifierats
942120 Kritisk – 5 2 SQL-inmatningsattack: SQL-operatorn har identifierats
942140 Kritisk – 5 1 SQL-inmatningsattack: Vanliga DB-namn har identifierats
942150 Kritisk – 5 2 SQL-inmatningsattack (ersatt av regel #99031003)
942160 Kritisk – 5 1 Identifierar blinda sqli-tester med hjälp av sleep() eller benchmark().
942170 Kritisk – 5 1 Identifierar SQL-benchmark- och vilolägesinmatningsförsök, inklusive villkorsfrågor
942180 Kritisk – 5 2 Identifierar grundläggande försök att kringgå SQL-autentisering 1/3
942190 Kritisk – 5 1 Identifierar MSSQL-kodkörning och informationsinsamlingsförsök
942200 Kritisk – 5 2 Identifierar MySQL-kommentar-/mellanrumsobfuskering och backtick-avslutning
942210 Kritisk – 5 2 Identifierar länkade SQL-inmatningsförsök 1/2
942220 Kritisk – 5 1 När du letar efter attacker med heltalsöverflöd tas dessa från skipfish, förutom 3.0.00738585072007e-308 är det "magiska numret" som orsakar kraschen
942230 Kritisk – 5 1 Identifierar försök till villkorlig SQL-inmatning
942240 Kritisk – 5 1 Identifierar MySQL-teckenuppsättningsväxel och MSSQL DoS-försök
942250 Kritisk – 5 1 Identifierar MATCH AGAINST-, MERGE- och EXECUTE IMMEDIATE-injektioner
942260 Kritisk – 5 2 Identifierar grundläggande SQL-autentiseringsförsök för kringgående 2/3 (ersatt av regel #99031004)
942270 Kritisk – 5 1 Letar du efter grundläggande SQL-injektion. Gemensam attacksträng för mysql, orakel och andra.
942280 Kritisk – 5 1 Identifierar Postgres pg_sleep inmatning, väntefördröjningsattacker och försök till databasavstängning
942290 Kritisk – 5 1 Hittar grundläggande MongoDB SQL-inmatningsförsök
942300 Kritisk – 5 2 Identifierar MySQL-kommentarer, villkor och ch(a)r-injektioner
942310 Kritisk – 5 2 Identifierar länkade SQL-inmatningsförsök 2/2
942320 Kritisk – 5 1 Identifierar MySQL- och PostgreSQL-lagrade procedurer/funktionsinmatningar
942330 Kritisk – 5 2 Identifierar klassiska SQL-inmatningsavsökningar 1/3
942340 Kritisk – 5 2 Identifierar grundläggande SQL-autentisering förbikopplingsförsök 3/3 (ersatt av regel #99031006)
942350 Kritisk – 5 1 Identifierar MySQL UDF-inmatning och andra försök till data-/strukturmanipulering
942360 Kritisk – 5 1 Identifierar sammanfogade grundläggande SQL-inmatnings- och SQLLFI-försök
942361 Kritisk – 5 2 Identifierar grundläggande SQL-inmatning baserat på nyckelordsförändrande eller union
942370 Kritisk – 5 2 Identifierar klassiska SQL-inmatningsavsökningar 2/3
942380 Kritisk – 5 2 SQL-inmatningsattack
942390 Kritisk – 5 2 SQL-inmatningsattack
942400 Kritisk – 5 2 SQL-inmatningsattack
942410 Kritisk – 5 2 SQL-inmatningsattack
942430 Varning - 3 2 Begränsad SQL-teckenavvikelseidentifiering (args): antal specialtecken som överskridits (12) (ersatt av regel #99031005)
942440 Kritisk – 5 2 SQL-kommentarssekvens identifierad (ersatt av regel #99031002).
942450 Kritisk – 5 2 SQL Hex-kodning identifierad
942470 Kritisk – 5 2 SQL-inmatningsattack
942480 Kritisk – 5 2 SQL-inmatningsattack
942500 Kritisk – 5 1 MySQL inline-kommentar har identifierats.
942510 Kritisk – 5 2 SQLi-förbikopplingsförsök av fästingar eller backticks har identifierats.

Sessionsfixering

Regel-ID Allvarlighetsgrad för avvikelsepoäng Paranoianivå beskrivning
943100 Kritisk – 5 1 Möjlig sessionskorrigeringsattack: Ange cookievärden i HTML
943110 Kritisk – 5 1 Möjlig sessionskorrigeringsattack: Sessions-ID-parameternamn med referens utanför domän
943120 Kritisk – 5 1 Möjlig sessionskorrigeringsattack: Sessions-ID-parameternamn utan referens

Java-attacker

Regel-ID Allvarlighetsgrad för avvikelsepoäng Paranoianivå beskrivning
944100 Kritisk – 5 1 Fjärrkommandokörning: Misstänkt Java-klass har identifierats
944110 Kritisk – 5 1 Fjärrkommandokörning: Java-processkapning (CVE-2017-9805)
944120 Kritisk – 5 1 Fjärrkommandokörning: Java-serialisering (CVE-2015-5842)
944130 Kritisk – 5 1 Misstänkt Java-klass har identifierats
944200 Kritisk – 5 2 Magiska bytes identifierade, sannolik Java-serialisering används
944210 Kritisk – 5 2 Magiska byte identifierade Base64-kodning, sannolik Java-serialisering i bruk
944240 Kritisk – 5 2 Fjärrkommandokörning: Java-serialisering och Log4j-sårbarhet (CVE-2021-44228, CVE-2021-45046)
944250 Kritisk – 5 2 Fjärrkommandokörning: Misstänkt Java-metod har identifierats

MS-ThreatIntel-WebShells

Regel-ID Allvarlighetsgrad för avvikelsepoäng Paranoianivå beskrivning
99005002 Kritisk – 5 2 Interaktionsförsök med webbshell (POST)
99005003 Kritisk – 5 2 Web Shell Upload Attempt (POST) – CHOPPER PHP
99005004 Kritisk – 5 2 Web Shell Upload Attempt (POST) – CHOPPER ASPX
99005005 Kritisk – 5 2 Interaktionsförsök för Web Shell
99005006 Kritisk – 5 2 Spring4Shell-interaktionsförsök

MS-ThreatIntel-AppSec

Regel-ID Allvarlighetsgrad för avvikelsepoäng Paranoianivå beskrivning
99030001 Kritisk – 5 2 Path Traversal Evasion i Headers (/.. /./.. /)
99030002 Kritisk – 5 2 Path Traversal Evasion in Request Body (/.. /./.. /)
99030003 Kritisk – 5 2 URL-kodad filsökväg
99030004 Kritisk – 5 2 Brotli-kodning saknas från stödwebbläsaren med https-referens
99030005 Kritisk – 5 2 Brotli-kodning saknas i webbläsare med stöd över HTTP/2
99030006 Kritisk – 5 2 Ogiltigt tecken i begärt filnamn

MS-ThreatIntel-SQLI

Regel-ID Allvarlighetsgrad för avvikelsepoäng Paranoianivå beskrivning
99031001 Varning - 3 2 SQL-inmatningsattack: Vanliga inmatningstester har identifierats (ersätter regel #942110)
99031002 Kritisk – 5 2 SQL-kommentarssekvens identifierad (ersätter regel #942440).
99031003 Kritisk – 5 2 SQL-inmatningsattack (ersätter regel #942150)
99031004 Kritisk – 5 2 Identifierar grundläggande SQL-autentisering förbikopplingsförsök 2/3 (ersätter regel #942260)
99031005 Varning - 3 2 Begränsad SQL-teckenavvikelseidentifiering (args): antal specialtecken som överskridits (12) (ersätter regel #942430)
99031006 Kritisk – 5 2 Identifierar grundläggande SQL-autentisering förbikopplingsförsök 3/3 (ersätter regel #942340)

MS-ThreatIntel-CVEs

Regel-ID Allvarlighetsgrad för avvikelsepoäng Paranoianivå beskrivning
99001001 Kritisk – 5 2 Försök till F5 tmui (CVE-2020-5902) REST API-exploatering med kända autentiseringsuppgifter
99001002 Kritisk – 5 2 Citrix-NSC_USER katalog traverserings-CVE-2019-19781
99001003 Kritisk – 5 2 Försök till exploatering av Atlassian Confluence Widget Connector CVE-2019-3396
99001004 Kritisk – 5 2 Försökte Pulse Secure anpassad mall utnyttjande CVE-2020-8243
99001005 Kritisk – 5 2 Försök till exploatering av SharePoint-typkonverterare CVE-2020-0932
99001006 Kritisk – 5 2 Försökte Pulse Connect katalog traversering CVE-2019-11510
99001007 Kritisk – 5 2 Försökte Junos OS J-Web lokal fil inkludering CVE-2020-1631
99001008 Kritisk – 5 2 Fortinet-sökvägsförsök genom bläddrings-CVE-2018-13379
99001009 Kritisk – 5 2 Försök till Apache struts ognl injektion CVE-2017-5638
99001010 Kritisk – 5 2 Försök till Apache struts ognl injektion CVE-2017-12611
99001011 Kritisk – 5 2 Försök till Oracle WebLogic-sökvägsblädderings-CVE-2020-14882
99001012 Kritisk – 5 2 Försökte Telerik WebUI osäker deserialisering utnyttjande CVE-2019-18935
99001013 Kritisk – 5 2 Försök till osäker XML-deserialisering i SharePoint CVE-2019-0604
99001014 Kritisk – 5 2 Försök till Spring Cloud routing-expression injection CVE-2022-22963
99001015 Kritisk – 5 2 Försök till spring framework osäker klassobjekt utnyttjande CVE-2022-22965
99001016 Kritisk – 5 2 Provad Spring Cloud Gateway-aktuatorinmatning CVE-2022-22947
99001017 Kritisk – 5 2 Försök till Apache Struts-filuppladdningsexploatering CVE-2023-50164

MS-ThreatIntel-XSS

Regel-ID Allvarlighetsgrad för avvikelsepoäng Paranoianivå beskrivning
99032001 Kritisk – 5 1 XSS-filter – kategori 2: Händelsehanterarvektor (ersätter regel #941120)
99032002 Kritisk – 5 2 Möjlig RFI-attack (Remote File Inclusion): Off-Domain Reference/Link (ersätta regel #931130)

Kommentar

  • När du granskar waf-loggarna kan du se regel-ID 949110. Beskrivningen av regeln kan innehålla inkommande avvikelsepoäng som överskridits. Den här regeln anger att den totala avvikelsepoängen för begäran överskred den högsta tillåtna poängen. Mer information finns i Avvikelsebedömning.

  • När du justerar dina WAF-principer måste du undersöka de andra reglerna som utlöstes av begäran så att du kan justera WAF-konfigurationen. Mer information finns i Justera Azure Web Application Firewall för Azure Front Door.

Relaterat innehåll

  • Last updated on