Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure Front Door'da Azure Web Uygulaması Güvenlik Duvarı, web uygulamalarını yaygın güvenlik açıklarından ve açıklardan yararlanmalardan korur. Azure tarafından yönetilen kural kümeleri, yaygın güvenlik tehditlerine karşı koruma dağıtmak için kolay bir yol sağlar. Azure bu kural kümelerini yönettiğinden, kurallar yeni saldırı imzalarına karşı korunmak için gerektiği şekilde güncelleştirilir.
Varsayılan Kural Kümesi (DRS), daha fazla kapsam, belirli güvenlik açıklarına yönelik düzeltme ekleri ve daha iyi hatalı pozitif azaltma sağlamak için Microsoft Intelligence ekibiyle ortaklaşa yazılmış Microsoft Tehdit Bilgileri Toplama kurallarını da içerir.
Not: Dikkat
WAF İlkesi'nde bir kural kümesi sürümü değiştirildiğinde, kural kümesinde yaptığınız tüm mevcut özelleştirmeler yeni kural kümesi için varsayılanlara sıfırlanır. Bkz. Kural kümesi sürümünü yükseltme veya değiştirme.
Varsayılan kural kümeleri
Azure tarafından yönetilen DRS, aşağıdaki tehdit kategorilerine karşı kurallar içerir:
- Siteler arası komut dosyası çalıştırma
- Java saldırıları
- Yerel dosya ekleme
- PHP enjeksiyon saldırıları
- Uzaktan komut yürütme
- Uzak dosya ekleme
- Oturum sabitleme
- SQL enjeksiyon koruması
- Protokol saldırıları
Kural kümesine yeni saldırı imzaları eklendiğinde DRS'nin sürüm numarası artar.
DRS, WAF ilkelerinizde Algılama modunda varsayılan olarak etkindir. Uygulama gereksinimlerinizi karşılamak için DRS'de tek tek kuralları devre dışı bırakabilir veya etkinleştirebilirsiniz. Kural başına belirli eylemleri de ayarlayabilirsiniz. Kullanılabilir eylemler İzin, Engelle, Kaydet ve Yeniden Yönlendirme'dir.
Bazen bir web uygulaması güvenlik duvarı (WAF) değerlendirmesinden bazı istek özniteliklerini atlamanız gerekebilir. Yaygın bir örnek, kimlik doğrulaması için kullanılan Active Directory tarafından eklenen belirteçlerdir. Yönetilen kural, kural grubu veya kural kümesinin tamamı için bir dışlama listesi yapılandırabilirsiniz. Daha fazla bilgi için Azure Front Door'da Azure Web Uygulaması Güvenlik Duvarı dışlama listeleri bölümüne bakın.
Varsayılan olarak, DRS sürüm 2.0 ve üzeri bir istek bir kuralla eşleştiğinde anomali puanlaması kullanır. 2.0'dan önceki DRS sürümleri, kuralları tetikleyen istekleri engeller. Ayrıca, DRS'de önceden yapılandırılmış kurallardan herhangi birini atlamak istiyorsanız, özel kurallar aynı WAF ilkesinde yapılandırılabilir.
DRS'deki kurallar değerlendirilmeden önce her zaman özel kurallar uygulanır. bir istek özel bir kuralla eşleşiyorsa, ilgili kural eylemi uygulanır. İstek engellenir veya arka uçtan geçirilir. DRS'deki diğer özel kurallar veya kurallar işlenmez. DRS'yi WAF ilkelerinizden de kaldırabilirsiniz.
Microsoft Threat Intelligence Koleksiyonu kuralları
Microsoft Tehdit Bilgileri Toplama kuralları, daha fazla kapsam, belirli güvenlik açıklarına yönelik düzeltme ekleri ve daha iyi hatalı pozitif azaltma sağlamak için Microsoft Tehdit Bilgileri ekibiyle ortaklaşa yazılır.
Varsayılan olarak, Microsoft Threat Intelligence Toplama kuralları, bazı yerleşik DRS kurallarının yerine geçerek bunların devre dışı bırakılmasına neden olur. Örneğin, kural kimliği 942440, SQL Açıklama Sırası Algılandı, devre dışı bırakıldı ve 99031002 Microsoft Tehdit Bilgileri Koleksiyonu kuralıyla değiştirildi. Değiştirilen kural, meşru isteklerden hatalı pozitif algılama riskini azaltır.
Anomali puanlaması
DRS 2.0 veya sonraki bir sürümü kullandığınızda WAF'niz anomali puanlaması kullanır. WAF'niz önleme modundayken bile herhangi bir kuralla eşleşen trafik hemen engellenmez. Bunun yerine, OWASP kural kümeleri her kural için bir önem derecesi tanımlar: Kritik, Hata, Uyarı veya Bildirim. Önem derecesi, anomali puanı olarak adlandırılan istek için sayısal bir değeri etkiler. bir istek 5 veya daha büyük bir anomali puanı biriktirirse, WAF istek üzerinde eylemde bulunur.
Kural önem derecesi | Anomali puanına katkıda bulunan değer |
---|---|
Kritik | 5 |
Hata | 4 |
Uyarı | 3 |
Not | 2 |
WAF'nizi yapılandırırken, WAF'nin anomali puanı eşiği olan 5'i aşan istekleri nasıl işleyeceklerine karar vekleyebilirsiniz. Üç anomali puanı eylem seçeneği Engelle, Günlük veya Yeniden Yönlendirme'dir. Yapılandırma sırasında seçtiğiniz anomali puanı eylemi, anomali puanı eşiğini aşan tüm isteklere uygulanır.
Örneğin, bir istekte anomali puanı 5 veya daha büyükse ve WAF Anomali puanı eylemi Engelle olarak ayarlanmış önleme modundaysa istek engellenir. Bir istekte anomali puanı 5 veya daha büyükse ve WAF Algılama modundaysa istek günlüğe kaydedilir ancak engellenmez.
Genel anomali puanı 5 olduğundan, önleme modunda anomali puanı eylemi Engelle olarak ayarlandığında WAF'nin bir isteği engellemesi için tek bir Kritik kural eşleşmesi yeterlidir. Ancak, bir Uyarı kuralı eşleşmesi anomali puanını yalnızca 3 artırır ve bu da trafiği engellemek için tek başına yeterli değildir. Bir anomali kuralı tetiklendiğinde, günlüklerde "eşleştirildi" eylemi gösterilir. Anomali puanı 5 veya daha büyükse, kural kümesi için yapılandırılmış anomali puanı eylemiyle ayrı bir kural tetiklenmiş olur. Varsayılan anomali puan eylemi Engelle'dir ve bu da eylemiyle blocked
bir günlük girişiyle sonuçlanır.
WAF'niz Varsayılan Kural Kümesi'nin eski bir sürümünü (DRS 2.0'dan önce) kullandığında, WAF'niz geleneksel modda çalışır. Herhangi bir kuralla eşleşen trafik, diğer kural eşleşmelerinden bağımsız olarak kabul edilir. Geleneksel modda, belirli bir isteğin eşleştirdiği kurallar kümesinin tamamını göremezsiniz.
Kullandığınız DRS sürümü, istek gövdesi denetimi için hangi içerik türlerinin destekleneceğini de belirler. Daha fazla bilgi için SSS bölümündeki WAF hangi içerik türlerini destekler bölümüne bakın.
Paranoya düzeyi
Her kural belirli bir Paranoya Düzeyinde (PL) atanır. Paranoya Düzey 1'de (PL1) yapılandırılan kurallar daha az agresiftir ve hatalı pozitif sonuçları neredeyse hiç tetiklemez. Bunlar, ince ayara en az ihtiyaç duyan temel güvenlik sağlar. PL2'deki kurallar daha fazla saldırı algılar, ancak ince ayar yapılması gereken yanlış pozitifleri tetiklemeleri beklenir.
Varsayılan olarak, tüm DRS kuralı sürümleri, hem PL1 hem de PL2'de atanan kurallar dahil olmak üzere Paranoya Seviye 2'de önceden yapılandırılmıştır. WAF'yi yalnızca PL1 ile kullanmak istiyorsanız, PL2 kurallarının herhangi birini veya tümünü devre dışı bırakabilir veya eylemlerini 'log' olarak değiştirebilirsiniz. PL3 ve PL4 şu anda Azure WAF'de desteklenmiyor.
Kural kümesi sürümünü yükseltme veya değiştirme
Yükseltiyorsanız veya yeni bir kural kümesi sürümü atıyorsanız ve mevcut kural geçersiz kılmalarını ve dışlamalarını korumak istiyorsanız, kural kümesi sürüm değişiklikleri yapmak için PowerShell, CLI, REST API veya şablon kullanmanız önerilir. Kural kümesinin yeni bir sürümünde daha yeni kurallar, ek kural grupları olabilir ve daha iyi güvenlik sağlamak ve hatalı pozitif sonuçları azaltmak için mevcut imzalarda güncelleştirmeler olabilir. Test ortamındaki değişiklikleri doğrulamanız, gerekirse ince ayar yapmanızı ve ardından üretim ortamında dağıtmanız önerilir.
Not: Dikkat
WaF ilkesine yeni bir yönetilen kural kümesi atamak için Azure portalını kullanıyorsanız, mevcut yönetilen kural kümesindeki kural durumu, kural eylemleri ve kural düzeyi dışlamaları gibi önceki tüm özelleştirmeler yeni yönetilen kural kümesinin varsayılanlarına sıfırlanır. Ancak, tüm özel kurallar veya ilke ayarları yeni kural kümesi ataması sırasında etkilenmez. Üretim ortamında dağıtmadan önce kural geçersiz kılmalarını yeniden tanımlamanız ve değişiklikleri doğrulamanız gerekir.
DRS 2.1
DRS 2.1 kuralları, DRS'nin önceki sürümlerinden daha iyi koruma sağlar. Microsoft Threat Intelligence ekibi tarafından geliştirilen diğer kuralları ve hatalı pozitif sonuçları azaltmak için imzalarda yapılan güncelleştirmeleri içerir. Ayrıca yalnızca URL kodunu çözmenin ötesinde dönüştürmeleri de destekler.
DRS 2.1, aşağıdaki tabloda gösterildiği gibi 17 kural grubu içerir. Her grup birden çok kural içerir ve tek tek kurallar, kural grupları veya kural kümesinin tamamı için davranışı özelleştirebilirsiniz. DRS 2.1, Open Web Application Security Project (OWASP) Çekirdek Kural Kümesi (CRS) 3.3.2'nin temelini oluşturur ve Microsoft Threat Intelligence ekibi tarafından geliştirilen ek özel koruma kuralları içerir.
Daha fazla bilgi için bkz. Azure Front Door için ayarlama Web Uygulaması Güvenlik Duvarı (WAF).
Not: Dikkat
DRS 2.1 yalnızca Azure Front Door Premium'da kullanılabilir.
Kural grubu | ruleGroupName | Açıklama |
---|---|---|
Genel | Genel | Genel grup |
YÖNTEM ZORLAMA | YÖNTEM-ZORLAMA | Kilitleme yöntemleri (PUT, PATCH) |
PROTOKOL ZORLAMA | PROTOKOL-ZORLAMA | Protokol ve kodlama sorunlarına karşı koruma |
PROTOKOL SALDıRıSı | PROTOKOL-SALDIRI | Üst bilgi ekleme, istek kaçakçılığı ve yanıt bölmeye karşı koruma |
UYGULAMA-SALDIRI-LFI | LFI (Türkçe) | Dosya ve yol saldırılarına karşı koruma |
UYGULAMA-SALDIRI-RFI | RFI | Uzak dosya ekleme (RFI) saldırılarına karşı koruma |
UYGULAMA-SALDIRI-RCE | RCE (Türkçe) | Uzaktan kod yürütme saldırılarını yeniden koruma |
UYGULAMA-SALDIRISI-PHP | PHP | PHP ekleme saldırılarına karşı koruma |
UYGULAMA-SALDIRISI-NodeJS | NODEJS (DÜĞÜMJS) | Node JS saldırılarına karşı koruma |
UYGULAMA-SALDIRI-XSS | XSS (İngilizce) | Siteler arası betik saldırılarına karşı koruma |
UYGULAMA-SALDIRISI-SQLI | SQLI (SQLI) | SQL enjeksiyon saldırılarına karşı koruma |
UYGULAMA-SALDIRI-OTURUM-SABİTLEME | DÜZELTMEK | Oturum sabitlenme saldırılarına karşı koruma |
UYGULAMA-SALDIRI-OTURUMU-JAVA | JAVA | JAVA saldırılarına karşı koruma |
MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Web kabuğu saldırılarına karşı koruma |
MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | AppSec saldırılarına karşı koruma |
MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | SQLI saldırılarına karşı koruma |
MS-TehditIntel-CVE'ler | MS-ThreatIntel-CVEs | CVE saldırılarına karşı koruma |
Devre dışı bırakılan kurallar
Aşağıdaki kurallar DRS 2.1 için varsayılan olarak devre dışı bırakılmıştır.
Kural Kimliği | Kural grubu | Açıklama | Ayrıntılar |
---|---|---|---|
942110 | SQLI (SQLI) | SQL Enjeksiyon Saldırısı: Sık Karşılaşılan Enjeksiyon Testi Tespit Edildi | MSTIC kuralı 99031001 ile değiştirildi |
942150 | SQLI (SQLI) | SQL Enjeksiyon Saldırısı | YERINE MSTIC kuralı 99031003 |
942260 | SQLI (SQLI) | 2/3'te temel SQL kimlik doğrulaması atlama girişimlerini algılar | YERINE MSTIC kuralı 99031004 |
942430 | SQLI (SQLI) | Kısıtlanmış SQL Karakter Anomalisi Algılama (args): Özel karakter sayısı aşıldı (12) | Çok fazla hatalı pozitif sonuç |
942440 | SQLI (SQLI) | SQL Açıklama Sırası Algılandı | MSTIC kuralı 99031002 ile değiştirildi |
99005006 | MS-ThreatIntel-WebShells | Spring4Shell Etkileşim Girişimi | SpringShell güvenlik açığına karşı önlemek için kuralı etkinleştirme |
99001014 | MS-ThreatIntel-CVEs | Spring Cloud yönlendirme-ifadesi ekleme girişimi CVE-2022-22963 | SpringShell güvenlik açığına karşı önlemek için kuralı etkinleştirme |
99001015 | MS-ThreatIntel-WebShells | Spring Framework güvenli olmayan sınıf nesnesi yararlanma girişimi CVE-2022-22965 | SpringShell güvenlik açığına karşı önlemek için kuralı etkinleştirme |
99001016 | MS-ThreatIntel-WebShells | Spring Cloud Gateway Aktüatörü ekleme girişimi CVE-2022-22947 | SpringShell güvenlik açığına karşı önlemek için kuralı etkinleştirme |
99001017 | MS-ThreatIntel-CVEs | Apache Struts dosya karşıya yükleme açığından yararlanma girişimi CVE-2023-50164 | Apache Struts güvenlik açığına karşı önlemek için kuralı etkinleştirme |
DRS 2.0
DRS 2.0 kuralları, DRS'nin önceki sürümlerinden daha iyi koruma sağlar. DRS 2.0, yalnızca URL kodunu çözmenin ötesinde dönüştürmeleri de destekler.
DRS 2.0, aşağıdaki tabloda gösterildiği gibi 17 kural grubu içerir. Her grup birden çok kural içerir. Tek tek kuralları ve kural gruplarının tamamını devre dışı bırakabilirsiniz.
Not: Dikkat
DRS 2.0 yalnızca Azure Front Door Premium'da kullanılabilir.
Kural grubu | ruleGroupName | Açıklama |
---|---|---|
Genel | Genel | Genel grup |
YÖNTEM ZORLAMA | YÖNTEM-ZORLAMA | Kilitleme yöntemleri (PUT, PATCH) |
PROTOKOL ZORLAMA | PROTOKOL-ZORLAMA | Protokol ve kodlama sorunlarına karşı koruma |
PROTOKOL SALDıRıSı | PROTOKOL-SALDIRI | Üst bilgi ekleme, istek kaçakçılığı ve yanıt bölmeye karşı koruma |
UYGULAMA-SALDIRI-LFI | LFI (Türkçe) | Dosya ve yol saldırılarına karşı koruma |
UYGULAMA-SALDIRI-RFI | RFI | Uzak dosya ekleme (RFI) saldırılarına karşı koruma |
UYGULAMA-SALDIRI-RCE | RCE (Türkçe) | Uzaktan kod yürütme saldırılarını yeniden koruma |
UYGULAMA-SALDIRISI-PHP | PHP | PHP ekleme saldırılarına karşı koruma |
UYGULAMA-SALDIRISI-NodeJS | NODEJS (DÜĞÜMJS) | Node JS saldırılarına karşı koruma |
UYGULAMA-SALDIRI-XSS | XSS (İngilizce) | Siteler arası betik saldırılarına karşı koruma |
UYGULAMA-SALDIRISI-SQLI | SQLI (SQLI) | SQL enjeksiyon saldırılarına karşı koruma |
UYGULAMA-SALDIRI-OTURUM-SABİTLEME | DÜZELTMEK | Oturum sabitlenme saldırılarına karşı koruma |
UYGULAMA-SALDIRI-OTURUMU-JAVA | JAVA | JAVA saldırılarına karşı koruma |
MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Web kabuğu saldırılarına karşı koruma |
MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | AppSec saldırılarına karşı koruma |
MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | SQLI saldırılarına karşı koruma |
MS-TehditIntel-CVE'ler | MS-ThreatIntel-CVEs | CVE saldırılarına karşı koruma |
DRS 1.1
Kural grubu | ruleGroupName | Açıklama |
---|---|---|
PROTOKOL SALDıRıSı | PROTOKOL-SALDIRI | Üst bilgi ekleme, istek kaçakçılığı ve yanıt bölmeye karşı koruma |
UYGULAMA-SALDIRI-LFI | LFI (Türkçe) | Dosya ve yol saldırılarına karşı koruma |
UYGULAMA-SALDIRI-RFI | RFI | Uzak dosya ekleme saldırılarına karşı koruma |
UYGULAMA-SALDIRI-RCE | RCE (Türkçe) | Uzaktan komut yürütmeye karşı koruma |
UYGULAMA-SALDIRISI-PHP | PHP | PHP ekleme saldırılarına karşı koruma |
UYGULAMA-SALDIRI-XSS | XSS (İngilizce) | Siteler arası betik saldırılarına karşı koruma |
UYGULAMA-SALDIRISI-SQLI | SQLI (SQLI) | SQL enjeksiyon saldırılarına karşı koruma |
UYGULAMA-SALDIRI-OTURUM-SABİTLEME | DÜZELTMEK | Oturum sabitlenme saldırılarına karşı koruma |
UYGULAMA-SALDIRI-OTURUMU-JAVA | JAVA | JAVA saldırılarına karşı koruma |
MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Web kabuğu saldırılarına karşı koruma |
MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | AppSec saldırılarına karşı koruma |
MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | SQLI saldırılarına karşı koruma |
MS-TehditIntel-CVE'ler | MS-ThreatIntel-CVEs | CVE saldırılarına karşı koruma |
DRS 1.0
Kural grubu | ruleGroupName | Açıklama |
---|---|---|
PROTOKOL SALDıRıSı | PROTOKOL-SALDIRI | Üst bilgi ekleme, istek kaçakçılığı ve yanıt bölmeye karşı koruma |
UYGULAMA-SALDIRI-LFI | LFI (Türkçe) | Dosya ve yol saldırılarına karşı koruma |
UYGULAMA-SALDIRI-RFI | RFI | Uzak dosya ekleme saldırılarına karşı koruma |
UYGULAMA-SALDIRI-RCE | RCE (Türkçe) | Uzaktan komut yürütmeye karşı koruma |
UYGULAMA-SALDIRISI-PHP | PHP | PHP ekleme saldırılarına karşı koruma |
UYGULAMA-SALDIRI-XSS | XSS (İngilizce) | Siteler arası betik saldırılarına karşı koruma |
UYGULAMA-SALDIRISI-SQLI | SQLI (SQLI) | SQL enjeksiyon saldırılarına karşı koruma |
UYGULAMA-SALDIRI-OTURUM-SABİTLEME | DÜZELTMEK | Oturum sabitlenme saldırılarına karşı koruma |
UYGULAMA-SALDIRI-OTURUMU-JAVA | JAVA | JAVA saldırılarına karşı koruma |
MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Web kabuğu saldırılarına karşı koruma |
MS-TehditIntel-CVE'ler | MS-ThreatIntel-CVEs | CVE saldırılarına karşı koruma |
Bot Yöneticisi 1.0
Bot Manager 1.0 kural kümesi, kötü amaçlı botlara karşı koruma ve iyi botların algılanması sağlar. Kurallar, bot trafiğini İyi, Kötü veya Bilinmeyen botlar olarak kategorilere ayırarak WAF tarafından algılanan botlar üzerinde ayrıntılı denetim sağlar.
Kural grubu | Açıklama |
---|---|
Kötü Botlar | Kötü botlara karşı koruma |
İyi Botlar | İyi botları belirleme |
Bilinmeyen Botlar | Bilinmeyen botları tanımlama |
Bot Yöneticisi 1.1
Bot Manager 1.1 kural kümesi, Bot Manager 1.0 kural kümesinde yapılan bir geliştirmedir. Kötü amaçlı botlara karşı gelişmiş koruma sağlar ve iyi bot algılamayı artırır.
Kural grubu | Açıklama |
---|---|
Kötü Botlar | Kötü botlara karşı koruma |
İyi Botlar | İyi botları belirleme |
Bilinmeyen Botlar | Bilinmeyen botları tanımlama |
Azure Front Door'da Azure Web Uygulaması Güvenlik Duvarı kullandığınızda aşağıdaki kural grupları ve kuralları kullanılabilir.
2.1 kural kümeleri
Genel
Kural Kimliği | Anomali puanının şiddeti | Paranoya Düzeyi | Açıklama |
---|---|---|---|
200002 | Kritik - 5 | 1 | İstek gövdesi ayrıştırılamadı |
200003 | Kritik - 5 | 1 | Çok parçalı istek gövdesi sıkı doğrulamayı geçemedi. |
Yöntem uygulaması
Kural Kimliği | Anomali puanının şiddeti | Paranoya Düzeyi | Açıklama |
---|---|---|---|
911100 | Kritik - 5 | 1 | İlke gereği yönteme izin verilmez |
Protokol uygulama
Kural Kimliği | Anomali puanının şiddeti | Paranoya Düzeyi | Açıklama |
---|---|---|---|
920100 | Bildirim - 2 | 1 | Geçersiz HTTP İstek Satırı |
920120 | Kritik - 5 | 1 | Çok parçalı/form-veri atlama girişimi |
920121 | Kritik - 5 | 2 | Çok parçalı/form-veri atlama girişimi |
920160 | Kritik - 5 | 1 | İçerik Uzunluğu HTTP üst bilgisi bir sayı değil. |
920170 | Kritik - 5 | 1 | Gövde İçeriği ile GET veya HEAD İsteği |
920171 | Kritik - 5 | 1 | Transfer-Encoding ile GET veya HEAD İsteği |
920180 | Bildirim - 2 | 1 | POST isteği eksik İçerik Uzunluğu Üst Bilgisi |
920181 | Uyarı - 3 | 1 | İçerik Uzunluğu ve Aktarım Kodlama üst bilgileri 99001003 |
920190 | Uyarı - 3 | 1 | Aralık: Geçersiz Son Bayt Değeri |
920200 | Uyarı - 3 | 2 | Aralık: Çok fazla alan (6 veya daha fazla) |
920201 | Uyarı - 3 | 2 | Aralık: PDF isteği için çok fazla alan (35 veya daha fazla) |
920210 | Uyarı - 3 | 1 | Birden Çok/Çakışan Bağlantı Üst Bilgisi Verileri Bulundu |
920220 | Uyarı - 3 | 1 | URL Kodlama Kötüye Kullanımı Saldırı Girişimi |
920230 | Uyarı - 3 | 2 | Birden Çok URL Kodlama Algılandı |
920240 | Uyarı - 3 | 1 | URL Kodlama Kötüye Kullanımı Saldırı Girişimi |
920260 | Uyarı - 3 | 1 | Unicode Tam/Yarı Genişlikli Kötüye Kullanım Saldırısı Girişimi |
920270 | Kritik - 5 | 1 | İstekte geçersiz karakter (null karakter) |
920271 | Kritik - 5 | 2 | İstekte geçersiz karakter (yazdırılamayan karakterler) |
920280 | Uyarı - 3 | 1 | Ana Bilgisayar Üst Bilgisi Eksik İsteği |
920290 | Uyarı - 3 | 1 | Boş Konak Üst Bilgisi |
920300 | Bildirim - 2 | 2 | Kabul Üst Bilgisi Eksik İsteği |
920310 | Bildirim - 2 | 1 | İsteğin Kabul Üst Bilgisi Boş |
920311 | Bildirim - 2 | 1 | İsteğin Kabul Üst Bilgisi Boş |
920320 | Bildirim - 2 | 2 | Eksik Kullanıcı Aracısı Üst Bilgisi |
920330 | Bildirim - 2 | 1 | Boş Kullanıcı Aracısı Üst Bilgisi |
920340 | Bildirim - 2 | 1 | İçerik İçeren İstek, ancak İçerik Türü üst bilgisi eksik |
920341 | Kritik - 5 | 2 | İçerik içeren istek için content-Type üst bilgisi gerekir |
920350 | Uyarı - 3 | 1 | Ana bilgisayar üst bilgisi sayısal bir IP adresidir |
920420 | Kritik - 5 | 1 | İstek içerik türüne ilke tarafından izin verilmiyor |
920430 | Kritik - 5 | 1 | http protokolü sürümüne ilke tarafından izin verilmiyor |
920440 | Kritik - 5 | 1 | URL dosya uzantısı ilkeyle kısıtlandı |
920450 | Kritik - 5 | 1 | HTTP üst bilgisi ilkeyle kısıtlandı |
920470 | Kritik - 5 | 1 | Geçersiz İçerik Türü üst bilgisi |
920480 | Kritik - 5 | 1 | İstek içerik türü karakter kümesine ilke tarafından izin verilmiyor |
920500 | Kritik - 5 | 1 | Yedekleme veya çalışma dosyasına erişme girişimi |
Protokol saldırısı
Kural Kimliği | Anomali puanının şiddeti | Paranoya Düzeyi | Açıklama |
---|---|---|---|
921110 | Kritik - 5 | 1 | HTTP İstek Kaçakçılık Saldırısı |
921120 | Kritik - 5 | 1 | HTTP Yanıt Bölme Saldırısı |
921130 | Kritik - 5 | 1 | HTTP Yanıt Bölme Saldırısı |
921140 | Kritik - 5 | 1 | HTTP Başlığı Üzerinden Başlık Enjeksiyon Saldırısı |
921150 | Kritik - 5 | 1 | Yük aracılığıyla HTTP Üst Bilgi Ekleme Saldırısı (CR/LF algılandı) |
921151 | Kritik - 5 | 2 | Yük aracılığıyla HTTP Üst Bilgi Ekleme Saldırısı (CR/LF algılandı) |
921160 | Kritik - 5 | 1 | Yük aracılığıyla HTTP Üst Bilgi Ekleme Saldırısı (CR/LF ve üst bilgi adının algılanması) |
921190 | Kritik - 5 | 1 | HTTP Bölme (istek dosya adında CR/LF algılandı) |
921200 | Kritik - 5 | 1 | LDAP Enjeksiyon Saldırısı |
LFI: Yerel dosya ekleme
Kural Kimliği | Anomali puanının şiddeti | Paranoya Düzeyi | Açıklama |
---|---|---|---|
930100 | Kritik - 5 | 1 | Yol Geçişi Saldırısı (/.. /) |
930110 | Kritik - 5 | 1 | Yol Geçişi Saldırısı (/.. /) |
930120 | Kritik - 5 | 1 | İşletim Sistemi Dosya Erişim Denemesi |
930130 | Kritik - 5 | 1 | Kısıtlanmış Dosya Erişimi Denemesi |
RFI: Uzak dosya ekleme
Kural Kimliği | Anomali puanının şiddeti | Paranoya Düzeyi | Açıklama |
---|---|---|---|
931100 | Kritik - 5 | 1 | Olası Uzak Dosya Ekleme (RFI) Saldırısı: IP adresini kullanarak URL Parametresi |
931110 | Kritik - 5 | 1 | Olası Uzak Dosya Ekleme (RFI) Saldırısı: Url Yükünde Kullanılan Yaygın RFI Güvenlik Açığı Olan Parametre Adı |
931120 | Kritik - 5 | 1 | Olası Uzak Dosya Ekleme (RFI) Saldırısı: URL Yükü Sondaki Soru İşareti Karakteri (?) ile Kullanıldı |
931130 | Kritik - 5 | 2 | Olası Uzak Dosya Ekleme (RFI) Saldırısı: Etki Alanı Dışı Başvuru/Bağlantı |
RCE: Uzaktan komut yürütme
Kural Kimliği | Anomali puanının şiddeti | Paranoya Düzeyi | Açıklama |
---|---|---|---|
932100 | Kritik - 5 | 1 | Uzaktan Komut Yürütme: Unix Komut Enjeksiyonu |
932105 | Kritik - 5 | 1 | Uzaktan Komut Yürütme: Unix Komut Enjeksiyonu |
932110 | Kritik - 5 | 1 | Uzaktan Komut Yürütme: Windows Komut Enjeksiyonu |
932115 | Kritik - 5 | 1 | Uzaktan Komut Yürütme: Windows Komut Enjeksiyonu |
932120 | Kritik - 5 | 1 | Uzaktan Komut Yürütme: Windows PowerShell Komutu Bulundu |
932130 | Kritik - 5 | 1 | Uzaktan Komut Yürütme: Unix Kabuk İfadesi veya Confluence Güvenlik Açığı (CVE-2022-26134) Bulundu |
932140 | Kritik - 5 | 1 | Uzaktan Komut Yürütme: Windows FOR/IF Komutu Bulundu |
932150 | Kritik - 5 | 1 | Uzaktan Komut Yürütme: Doğrudan Unix Komut Yürütme |
932160 | Kritik - 5 | 1 | Uzaktan Komut Yürütme: Unix Kabuk Kodu Bulundu |
932170 | Kritik - 5 | 1 | Uzaktan Komut Yürütme: Shellshock (CVE-2014-6271) |
932171 | Kritik - 5 | 1 | Uzaktan Komut Yürütme: Shellshock (CVE-2014-6271) |
932180 | Kritik - 5 | 1 | Kısıtlanmış Dosya Yükleme Denemesi |
PHP saldırıları
Kural Kimliği | Anomali puanının şiddeti | Paranoya Düzeyi | Açıklama |
---|---|---|---|
933100 | Kritik - 5 | 1 | PHP Ekleme Saldırısı: Açma/Kapatma Etiketi Bulundu |
933110 | Kritik - 5 | 1 | PHP Sızma Saldırısı: PHP Betik Dosya Yüklemesi Bulundu |
933120 | Kritik - 5 | 1 | PHP Ekleme Saldırısı: Yapılandırma Yönergesi Bulundu |
933130 | Kritik - 5 | 1 | PHP Ekleme Saldırısı: Değişkenler Bulundu |
933140 | Kritik - 5 | 1 | PHP Ekleme Saldırısı: G/Ç Akışı Bulundu |
933150 | Kritik - 5 | 1 | PHP Ekleme Saldırısı: Yüksek Riskli PHP İşlev Adı Bulundu |
933151 | Kritik - 5 | 2 | PHP Ekleme Saldırısı: Orta Riskli PHP İşlev Adı Bulundu |
933160 | Kritik - 5 | 1 | PHP Ekleme Saldırısı: Yüksek Riskli PHP İşlev Çağrısı Bulundu |
933170 | Kritik - 5 | 1 | PHP Ekleme Saldırısı: Serileştirilmiş Nesne Ekleme |
933180 | Kritik - 5 | 1 | PHP Ekleme Saldırısı: Değişken İşlev Çağrısı Bulundu |
933200 | Kritik - 5 | 1 | PHP Enjeksiyon Saldırısı: Sarmalayıcı şeması algılandı |
933210 | Kritik - 5 | 1 | PHP Ekleme Saldırısı: Değişken İşlev Çağrısı Bulundu |
Düğüm JS saldırıları
Kural Kimliği | Anomali puanının şiddeti | Paranoya Düzeyi | Açıklama |
---|---|---|---|
934100 | Kritik - 5 | 1 | Node.js Enjeksiyon Saldırısı |
XSS: Siteler arası betik çalıştırma
Kural Kimliği | Anomali puanının şiddeti | Paranoya Düzeyi | Açıklama |
---|---|---|---|
941100 | Kritik - 5 | 1 | Libinjection aracılığıyla XSS Saldırısı Algılandı |
941101 | Kritik - 5 | 2 | Libinjection aracılığıyla XSS Saldırısı Algılandı Kural, istekleri bir Referer başlığı ile algılar |
941110 | Kritik - 5 | 1 | XSS Filtresi - Kategori 1: Komut Dosyası Etiketi Vektörü |
941120 | Kritik - 5 | 1 | XSS Filtresi - Kategori 2: Olay İşleyici Vektör |
941130 | Kritik - 5 | 1 | XSS Filtresi - Kategori 3: Öznitelik Vektör |
941140 | Kritik - 5 | 1 | XSS Filtresi - Kategori 4: JavaScript URI Vektör |
941150 | Kritik - 5 | 2 | XSS Filtresi - Kategori 5: İzin Verilmeyen HTML Öznitelikleri |
941160 | Kritik - 5 | 1 | NoScript XSS InjectionChecker: HTML Ekleme |
941170 | Kritik - 5 | 1 | NoScript XSS InjectionChecker: Öznitelik Enjeksiyonu |
941180 | Kritik - 5 | 1 | Node-Validator Blok Listesi Anahtar Sözcükleri |
941190 | Kritik - 5 | 1 | Stil sayfalarını kullanan XSS |
941200 | Kritik - 5 | 1 | VML çerçeveleri kullanan XSS |
941210 | Kritik - 5 | 1 | Belirsiz JavaScript kullanan XSS |
941220 | Kritik - 5 | 1 | Gizlenmiş VB Komut Dosyası kullanan XSS |
941230 | Kritik - 5 | 1 |
embed etiketini kullanarak XSS |
941240 | Kritik - 5 | 1 | XSS, import veya implementation özniteliğini kullanarak |
941250 | Kritik - 5 | 1 | IE XSS Filtreleri - Saldırı Algılandı |
941260 | Kritik - 5 | 1 |
meta etiketini kullanarak XSS |
941270 | Kritik - 5 | 1 |
link href kullanarak XSS |
941280 | Kritik - 5 | 1 |
base etiketini kullanarak XSS |
941290 | Kritik - 5 | 1 |
applet etiketini kullanarak XSS |
941300 | Kritik - 5 | 1 |
object etiketini kullanarak XSS |
941310 | Kritik - 5 | 1 | US-ASCII Hatalı Biçimlendirilmiş Kodlama XSS Filtresi - Saldırı Algılandı |
941320 | Kritik - 5 | 2 | Olası XSS Saldırısı Algılandı - HTML Etiketi İşleyicisi |
941330 | Kritik - 5 | 2 | IE XSS Filtreleri - Saldırı Algılandı |
941340 | Kritik - 5 | 2 | IE XSS Filtreleri - Saldırı Algılandı |
941350 | Kritik - 5 | 1 | UTF-7 Kodlama IE XSS - Saldırı Algılandı |
941360 | Kritik - 5 | 1 | JavaScript gizleme algılandı |
941370 | Kritik - 5 | 1 | JavaScript genel değişkeni bulundu |
941380 | Kritik - 5 | 2 | AngularJS müşteri tarafı şablon ekleme işlemi algılandı |
SQLI: SQL enjeksiyonu
Kural Kimliği | Anomali puanının şiddeti | Paranoya Düzeyi | Açıklama |
---|---|---|---|
942100 | Kritik - 5 | 1 | LIbinjection yoluyla SQL Ekleme Saldırısı Algılandı |
942110 | Uyarı - 3 | 2 | SQL Enjeksiyon Saldırısı: Sık Karşılaşılan Enjeksiyon Testi Tespit Edildi |
942120 | Kritik - 5 | 2 | SQL Ekleme Saldırısı: SQL İşleci Algılandı |
942140 | Kritik - 5 | 1 | SQL Ekleme Saldırısı: Ortak VERITABANı Adları Algılandı |
942150 | Kritik - 5 | 2 | SQL Enjeksiyon Saldırısı |
942160 | Kritik - 5 | 1 | sleep() veya benchmark() kullanarak kör SQLI testlerini algılar |
942170 | Kritik - 5 | 1 | Koşullu sorgular dahil olmak üzere SQL karşılaştırma ve uyku ekleme girişimlerini algılar |
942180 | Kritik - 5 | 2 | Temel SQL kimlik doğrulama atlama girişimlerini algılar 1/3 |
942190 | Kritik - 5 | 1 | MSSQL kod yürütme ve bilgi toplama girişimlerini algılar |
942200 | Kritik - 5 | 2 | MySQL açıklama/boşluk karartılmış eklemeleri ve backtick sonlandırmayı algılar |
942210 | Kritik - 5 | 2 | Zincirleme SQL ekleme denemelerini algılar 1/2 |
942220 | Kritik - 5 | 1 | Tamsayı taşması saldırıları aranıyor, bunlar skipfish'ten alınıyor, ancak 3.0.00738585072007e-308 "sihirli sayı" kilitlenmesi |
942230 | Kritik - 5 | 1 | Koşullu SQL ekleme girişimlerini algılar |
942240 | Kritik - 5 | 1 | MySQL karakter kümesi anahtarını ve MSSQL DoS girişimlerini algılar |
942250 | Kritik - 5 | 1 | MATCH AGAINST, MERGE ve ANINDA ÇALIŞTIRMA enjeksiyonlarını tespit eder. |
942260 | Kritik - 5 | 2 | 2/3'te temel SQL kimlik doğrulaması atlama girişimlerini algılar |
942270 | Kritik - 5 | 1 | Temel SQL enjeksiyonu aranıyor. MySQL, Oracle ve diğerleri için ortak saldırı dizesi |
942280 | Kritik - 5 | 1 | Postgres pg_sleep eklemeyi, gecikme saldırılarını beklemeyi ve veritabanı kapatma girişimlerini algılar |
942290 | Kritik - 5 | 1 | Temel MongoDB SQL ekleme girişimlerini bulur |
942300 | Kritik - 5 | 2 | MySQL açıklamalarını, koşullarını ve ch(a)r eklemelerini algılar |
942310 | Kritik - 5 | 2 | Zincirleme SQL ekleme girişimlerini algılar 2/2 |
942320 | Kritik - 5 | 1 | MySQL ve PostgreSQL saklı yordamını/işlev eklemelerini algılar |
942330 | Kritik - 5 | 2 | Klasik SQL ekleme yoklamalarını algılar 1/2 |
942340 | Kritik - 5 | 2 | 3/3 temel SQL kimlik doğrulama atlama girişimlerini algılar |
942350 | Kritik - 5 | 1 | MySQL UDF ekleme ve diğer veri/yapı işleme girişimlerini algılar |
942360 | Kritik - 5 | 1 | Birleştirilmiş temel SQL ekleme ve SQLLFI girişimlerini algılar |
942361 | Kritik - 5 | 2 | Anahtar sözcük değişikliğine veya birleşime göre temel SQL eklemeyi algılar |
942370 | Kritik - 5 | 2 | Klasik SQL ekleme yoklamalarını algılar 2/2 |
942380 | Kritik - 5 | 2 | SQL Enjeksiyon Saldırısı |
942390 | Kritik - 5 | 2 | SQL Enjeksiyon Saldırısı |
942400 | Kritik - 5 | 2 | SQL Enjeksiyon Saldırısı |
942410 | Kritik - 5 | 2 | SQL Enjeksiyon Saldırısı |
942430 | Uyarı - 3 | 2 | Kısıtlanmış SQL Karakter Anomalisi Algılama (args): Özel karakter sayısı aşıldı (12) |
942440 | Kritik - 5 | 2 | SQL Açıklama Sırası Algılandı |
942450 | Kritik - 5 | 2 | SQL Onaltılık Kodlaması Belirlendi |
942470 | Kritik - 5 | 2 | SQL Enjeksiyon Saldırısı |
942480 | Kritik - 5 | 2 | SQL Enjeksiyon Saldırısı |
942500 | Kritik - 5 | 1 | MySQL satır içi açıklama algılandı |
942510 | Kritik - 5 | 2 | Tırnak veya geri tırnak işaretleri ile SQL güvenlik açığını aşma girişimi algılandı |
Oturum sabitleme
Kural Kimliği | Anomali puanının şiddeti | Paranoya Düzeyi | Açıklama |
---|---|---|---|
943100 | Kritik - 5 | 1 | Olası Oturum Düzeltme Saldırısı: HTML'de Tanımlama Bilgisi Değerlerini Ayarlama |
943110 | Kritik - 5 | 1 | Olası Oturum Düzeltme Saldırısı: Etki Alanı Dışı Başvuran ile SessionID Parametre Adı |
943120 | Kritik - 5 | 1 | Olası Oturum Düzeltme Saldırısı: Başvuran Olmadan SessionID Parametre Adı |
Java saldırıları
Kural Kimliği | Anomali puanının şiddeti | Paranoya Düzeyi | Açıklama |
---|---|---|---|
944100 | Kritik - 5 | 1 | Uzaktan Komut Yürütme: Apache Struts, Oracle WebLogic |
944110 | Kritik - 5 | 1 | Olası yük yürütmesini algılar |
944120 | Kritik - 5 | 1 | Olası yük yürütme ve uzaktan komut yürütme |
944130 | Kritik - 5 | 1 | Şüpheli Java sınıfları |
944200 | Kritik - 5 | 2 | Java seri durumdan çıkarma işleminin Apache Commons ile kötüye kullanımı |
944210 | Kritik - 5 | 2 | Java serileştirmesinin olası kullanımı |
944240 | Kritik - 5 | 2 | Uzaktan Komut Yürütme: Java serileştirme ve Log4j güvenlik açığı (CVE-2021-44228, CVE-2021-45046) |
944250 | Kritik - 5 | 2 | Uzaktan Komut Yürütme: Şüpheli Java yöntemi algılandı |
MS-ThreatIntel-WebShells
Kural Kimliği | Anomali puanının şiddeti | Paranoya Düzeyi | Açıklama |
---|---|---|---|
99005002 | Kritik - 5 | 2 | Web Kabuğu Etkileşim Girişimi (POST) |
99005003 | Kritik - 5 | 2 | Web Kabuğu Karşıya Yükleme Denemesi (POST) - CHOPPER PHP |
99005004 | Kritik - 5 | 2 | Web Kabuğu Karşıya Yükleme Denemesi (POST) - CHOPPER ASPX |
99005005 | Kritik - 5 | 2 | Web Shell Etkileşim Denemesi |
99005006 | Kritik - 5 | 2 | Spring4Shell Etkileşim Girişimi |
MS-ThreatIntel-AppSec
Kural Kimliği | Anomali puanının şiddeti | Paranoya Düzeyi | Açıklama |
---|---|---|---|
99030001 | Kritik - 5 | 2 | Üst Bilgilerde Yol Geçişi Kaçışı (/.. /./.. /) |
99030002 | Kritik - 5 | 2 | İstek Gövdesinde Yol Geçişi Kaçışı (/.. /./.. /) |
MS-ThreatIntel-SQLI
Kural Kimliği | Anomali puanının şiddeti | Paranoya Düzeyi | Açıklama |
---|---|---|---|
99031001 | Uyarı - 3 | 2 | SQL Enjeksiyon Saldırısı: Sık Karşılaşılan Enjeksiyon Testi Tespit Edildi |
99031002 | Kritik - 5 | 2 | SQL Açıklama Sırası Algılandı |
99031003 | Kritik - 5 | 2 | SQL Enjeksiyon Saldırısı |
99031004 | Kritik - 5 | 2 | 2/3'te temel SQL kimlik doğrulaması atlama girişimlerini algılar |
MS-ThreatIntel-CVEs
Kural Kimliği | Anomali puanının şiddeti | Paranoya Düzeyi | Açıklama |
---|---|---|---|
99001001 | Kritik - 5 | 2 | Bilinen kimlik bilgileriyle F5 tmui (CVE-2020-5902) REST API yararlanma girişimi |
99001002 | Kritik - 5 | 2 | Citrix NSC_USER dizin geçişi CVE-2019-19781 denendi |
99001003 | Kritik - 5 | 2 | Atlassian Confluence Widget Bağlayıcısı yararlanma girişimi CVE-2019-3396 |
99001004 | Kritik - 5 | 2 | Pulse Secure özel şablonla sömürme girişimi CVE-2020-8243 |
99001005 | Kritik - 5 | 2 | SharePoint tip dönüştürücü istismar girişimi CVE-2020-0932 |
99001006 | Kritik - 5 | 2 | Pulse Connect dizin geçiş girişimi CVE-2019-11510 |
99001007 | Kritik - 5 | 2 | Junos OS J-Web yerel dosya dahil etme girişimi CVE-2020-1631 |
99001008 | Kritik - 5 | 2 | Fortinet yol geçişi saldırısı denemesi CVE-2018-13379 |
99001009 | Kritik - 5 | 2 | Apache Struts OGNL enjeksiyonu girişimi CVE-2017-5638 |
99001010 | Kritik - 5 | 2 | Apache Struts OGNL enjeksiyonu girişimi CVE-2017-12611 |
99001011 | Kritik - 5 | 2 | Oracle WebLogic CVE-2020-14882 yol geçişi denendi |
99001012 | Kritik - 5 | 2 | Telerik WebUI güvenli olmayan seri durumdan çıkarma girişimi CVE-2019-18935 |
99001013 | Kritik - 5 | 2 | SharePoint güvenli olmayan XML seri durumdan çıkarma CVE-2019-0604 denendi |
99001014 | Kritik - 5 | 2 | Spring Cloud yönlendirme-ifadesi ekleme girişimi CVE-2022-22963 |
99001015 | Kritik - 5 | 2 | Spring Framework güvenli olmayan sınıf nesnesi yararlanma girişimi CVE-2022-22965 |
99001016 | Kritik - 5 | 2 | Spring Cloud Gateway Aktüatörü ekleme girişimi CVE-2022-22947 |
99001017 | Kritik - 5 | 2 | Apache Struts dosya karşıya yükleme açığından yararlanma girişimi CVE-2023-50164 |
Not: Dikkat
WAF günlüklerinizi gözden geçirirken kural kimliği 949110'ı görebilirsiniz. Kural açıklaması, Gelen Anomali Puanı Aşıldı ifadesini içerebilir.
Bu kural, istek için toplam anomali puanının izin verilen maksimum puanı aştığını gösterir. Daha fazla bilgi için bkz Anomali puanlaması.
WAF ilkelerinizi ayarlarken, WAF'nizin yapılandırmasını ayarlayabilmeniz için istek tarafından tetiklenen diğer kuralları araştırmanız gerekir. Daha fazla bilgi için Azure Front Door için Azure Web Uygulaması Güvenlik Duvarı Ayarlama bölümüne bakın.