Aracılığıyla paylaş


Web Uygulaması Güvenlik Duvarı DRS kural grupları ve kuralları

Azure Front Door'da Azure Web Uygulaması Güvenlik Duvarı, web uygulamalarını yaygın güvenlik açıklarından ve açıklardan yararlanmalardan korur. Azure tarafından yönetilen kural kümeleri, yaygın güvenlik tehditlerine karşı koruma dağıtmak için kolay bir yol sağlar. Azure bu kural kümelerini yönettiğinden, kurallar yeni saldırı imzalarına karşı korunmak için gerektiği şekilde güncelleştirilir.

Varsayılan Kural Kümesi (DRS), daha fazla kapsam, belirli güvenlik açıklarına yönelik düzeltme ekleri ve daha iyi hatalı pozitif azaltma sağlamak için Microsoft Intelligence ekibiyle ortaklaşa yazılmış Microsoft Tehdit Bilgileri Toplama kurallarını da içerir.

Not: Dikkat

WAF İlkesi'nde bir kural kümesi sürümü değiştirildiğinde, kural kümesinde yaptığınız tüm mevcut özelleştirmeler yeni kural kümesi için varsayılanlara sıfırlanır. Bkz. Kural kümesi sürümünü yükseltme veya değiştirme.

Varsayılan kural kümeleri

Azure tarafından yönetilen DRS, aşağıdaki tehdit kategorilerine karşı kurallar içerir:

  • Siteler arası komut dosyası çalıştırma
  • Java saldırıları
  • Yerel dosya ekleme
  • PHP enjeksiyon saldırıları
  • Uzaktan komut yürütme
  • Uzak dosya ekleme
  • Oturum sabitleme
  • SQL enjeksiyon koruması
  • Protokol saldırıları

Kural kümesine yeni saldırı imzaları eklendiğinde DRS'nin sürüm numarası artar.

DRS, WAF ilkelerinizde Algılama modunda varsayılan olarak etkindir. Uygulama gereksinimlerinizi karşılamak için DRS'de tek tek kuralları devre dışı bırakabilir veya etkinleştirebilirsiniz. Kural başına belirli eylemleri de ayarlayabilirsiniz. Kullanılabilir eylemler İzin, Engelle, Kaydet ve Yeniden Yönlendirme'dir.

Bazen bir web uygulaması güvenlik duvarı (WAF) değerlendirmesinden bazı istek özniteliklerini atlamanız gerekebilir. Yaygın bir örnek, kimlik doğrulaması için kullanılan Active Directory tarafından eklenen belirteçlerdir. Yönetilen kural, kural grubu veya kural kümesinin tamamı için bir dışlama listesi yapılandırabilirsiniz. Daha fazla bilgi için Azure Front Door'da Azure Web Uygulaması Güvenlik Duvarı dışlama listeleri bölümüne bakın.

Varsayılan olarak, DRS sürüm 2.0 ve üzeri bir istek bir kuralla eşleştiğinde anomali puanlaması kullanır. 2.0'dan önceki DRS sürümleri, kuralları tetikleyen istekleri engeller. Ayrıca, DRS'de önceden yapılandırılmış kurallardan herhangi birini atlamak istiyorsanız, özel kurallar aynı WAF ilkesinde yapılandırılabilir.

DRS'deki kurallar değerlendirilmeden önce her zaman özel kurallar uygulanır. bir istek özel bir kuralla eşleşiyorsa, ilgili kural eylemi uygulanır. İstek engellenir veya arka uçtan geçirilir. DRS'deki diğer özel kurallar veya kurallar işlenmez. DRS'yi WAF ilkelerinizden de kaldırabilirsiniz.

Microsoft Threat Intelligence Koleksiyonu kuralları

Microsoft Tehdit Bilgileri Toplama kuralları, daha fazla kapsam, belirli güvenlik açıklarına yönelik düzeltme ekleri ve daha iyi hatalı pozitif azaltma sağlamak için Microsoft Tehdit Bilgileri ekibiyle ortaklaşa yazılır.

Varsayılan olarak, Microsoft Threat Intelligence Toplama kuralları, bazı yerleşik DRS kurallarının yerine geçerek bunların devre dışı bırakılmasına neden olur. Örneğin, kural kimliği 942440, SQL Açıklama Sırası Algılandı, devre dışı bırakıldı ve 99031002 Microsoft Tehdit Bilgileri Koleksiyonu kuralıyla değiştirildi. Değiştirilen kural, meşru isteklerden hatalı pozitif algılama riskini azaltır.

Anomali puanlaması

DRS 2.0 veya sonraki bir sürümü kullandığınızda WAF'niz anomali puanlaması kullanır. WAF'niz önleme modundayken bile herhangi bir kuralla eşleşen trafik hemen engellenmez. Bunun yerine, OWASP kural kümeleri her kural için bir önem derecesi tanımlar: Kritik, Hata, Uyarı veya Bildirim. Önem derecesi, anomali puanı olarak adlandırılan istek için sayısal bir değeri etkiler. bir istek 5 veya daha büyük bir anomali puanı biriktirirse, WAF istek üzerinde eylemde bulunur.

Kural önem derecesi Anomali puanına katkıda bulunan değer
Kritik 5
Hata 4
Uyarı 3
Not 2

WAF'nizi yapılandırırken, WAF'nin anomali puanı eşiği olan 5'i aşan istekleri nasıl işleyeceklerine karar vekleyebilirsiniz. Üç anomali puanı eylem seçeneği Engelle, Günlük veya Yeniden Yönlendirme'dir. Yapılandırma sırasında seçtiğiniz anomali puanı eylemi, anomali puanı eşiğini aşan tüm isteklere uygulanır.

Örneğin, bir istekte anomali puanı 5 veya daha büyükse ve WAF Anomali puanı eylemi Engelle olarak ayarlanmış önleme modundaysa istek engellenir. Bir istekte anomali puanı 5 veya daha büyükse ve WAF Algılama modundaysa istek günlüğe kaydedilir ancak engellenmez.

Genel anomali puanı 5 olduğundan, önleme modunda anomali puanı eylemi Engelle olarak ayarlandığında WAF'nin bir isteği engellemesi için tek bir Kritik kural eşleşmesi yeterlidir. Ancak, bir Uyarı kuralı eşleşmesi anomali puanını yalnızca 3 artırır ve bu da trafiği engellemek için tek başına yeterli değildir. Bir anomali kuralı tetiklendiğinde, günlüklerde "eşleştirildi" eylemi gösterilir. Anomali puanı 5 veya daha büyükse, kural kümesi için yapılandırılmış anomali puanı eylemiyle ayrı bir kural tetiklenmiş olur. Varsayılan anomali puan eylemi Engelle'dir ve bu da eylemiyle blockedbir günlük girişiyle sonuçlanır.

WAF'niz Varsayılan Kural Kümesi'nin eski bir sürümünü (DRS 2.0'dan önce) kullandığında, WAF'niz geleneksel modda çalışır. Herhangi bir kuralla eşleşen trafik, diğer kural eşleşmelerinden bağımsız olarak kabul edilir. Geleneksel modda, belirli bir isteğin eşleştirdiği kurallar kümesinin tamamını göremezsiniz.

Kullandığınız DRS sürümü, istek gövdesi denetimi için hangi içerik türlerinin destekleneceğini de belirler. Daha fazla bilgi için SSS bölümündeki WAF hangi içerik türlerini destekler bölümüne bakın.

Paranoya düzeyi

Her kural belirli bir Paranoya Düzeyinde (PL) atanır. Paranoya Düzey 1'de (PL1) yapılandırılan kurallar daha az agresiftir ve hatalı pozitif sonuçları neredeyse hiç tetiklemez. Bunlar, ince ayara en az ihtiyaç duyan temel güvenlik sağlar. PL2'deki kurallar daha fazla saldırı algılar, ancak ince ayar yapılması gereken yanlış pozitifleri tetiklemeleri beklenir.

Varsayılan olarak, tüm DRS kuralı sürümleri, hem PL1 hem de PL2'de atanan kurallar dahil olmak üzere Paranoya Seviye 2'de önceden yapılandırılmıştır. WAF'yi yalnızca PL1 ile kullanmak istiyorsanız, PL2 kurallarının herhangi birini veya tümünü devre dışı bırakabilir veya eylemlerini 'log' olarak değiştirebilirsiniz. PL3 ve PL4 şu anda Azure WAF'de desteklenmiyor.

Kural kümesi sürümünü yükseltme veya değiştirme

Yükseltiyorsanız veya yeni bir kural kümesi sürümü atıyorsanız ve mevcut kural geçersiz kılmalarını ve dışlamalarını korumak istiyorsanız, kural kümesi sürüm değişiklikleri yapmak için PowerShell, CLI, REST API veya şablon kullanmanız önerilir. Kural kümesinin yeni bir sürümünde daha yeni kurallar, ek kural grupları olabilir ve daha iyi güvenlik sağlamak ve hatalı pozitif sonuçları azaltmak için mevcut imzalarda güncelleştirmeler olabilir. Test ortamındaki değişiklikleri doğrulamanız, gerekirse ince ayar yapmanızı ve ardından üretim ortamında dağıtmanız önerilir.

Not: Dikkat

WaF ilkesine yeni bir yönetilen kural kümesi atamak için Azure portalını kullanıyorsanız, mevcut yönetilen kural kümesindeki kural durumu, kural eylemleri ve kural düzeyi dışlamaları gibi önceki tüm özelleştirmeler yeni yönetilen kural kümesinin varsayılanlarına sıfırlanır. Ancak, tüm özel kurallar veya ilke ayarları yeni kural kümesi ataması sırasında etkilenmez. Üretim ortamında dağıtmadan önce kural geçersiz kılmalarını yeniden tanımlamanız ve değişiklikleri doğrulamanız gerekir.

DRS 2.1

DRS 2.1 kuralları, DRS'nin önceki sürümlerinden daha iyi koruma sağlar. Microsoft Threat Intelligence ekibi tarafından geliştirilen diğer kuralları ve hatalı pozitif sonuçları azaltmak için imzalarda yapılan güncelleştirmeleri içerir. Ayrıca yalnızca URL kodunu çözmenin ötesinde dönüştürmeleri de destekler.

DRS 2.1, aşağıdaki tabloda gösterildiği gibi 17 kural grubu içerir. Her grup birden çok kural içerir ve tek tek kurallar, kural grupları veya kural kümesinin tamamı için davranışı özelleştirebilirsiniz. DRS 2.1, Open Web Application Security Project (OWASP) Çekirdek Kural Kümesi (CRS) 3.3.2'nin temelini oluşturur ve Microsoft Threat Intelligence ekibi tarafından geliştirilen ek özel koruma kuralları içerir.

Daha fazla bilgi için bkz. Azure Front Door için ayarlama Web Uygulaması Güvenlik Duvarı (WAF).

Not: Dikkat

DRS 2.1 yalnızca Azure Front Door Premium'da kullanılabilir.

Kural grubu ruleGroupName Açıklama
Genel Genel Genel grup
YÖNTEM ZORLAMA YÖNTEM-ZORLAMA Kilitleme yöntemleri (PUT, PATCH)
PROTOKOL ZORLAMA PROTOKOL-ZORLAMA Protokol ve kodlama sorunlarına karşı koruma
PROTOKOL SALDıRıSı PROTOKOL-SALDIRI Üst bilgi ekleme, istek kaçakçılığı ve yanıt bölmeye karşı koruma
UYGULAMA-SALDIRI-LFI LFI (Türkçe) Dosya ve yol saldırılarına karşı koruma
UYGULAMA-SALDIRI-RFI RFI Uzak dosya ekleme (RFI) saldırılarına karşı koruma
UYGULAMA-SALDIRI-RCE RCE (Türkçe) Uzaktan kod yürütme saldırılarını yeniden koruma
UYGULAMA-SALDIRISI-PHP PHP PHP ekleme saldırılarına karşı koruma
UYGULAMA-SALDIRISI-NodeJS NODEJS (DÜĞÜMJS) Node JS saldırılarına karşı koruma
UYGULAMA-SALDIRI-XSS XSS (İngilizce) Siteler arası betik saldırılarına karşı koruma
UYGULAMA-SALDIRISI-SQLI SQLI (SQLI) SQL enjeksiyon saldırılarına karşı koruma
UYGULAMA-SALDIRI-OTURUM-SABİTLEME DÜZELTMEK Oturum sabitlenme saldırılarına karşı koruma
UYGULAMA-SALDIRI-OTURUMU-JAVA JAVA JAVA saldırılarına karşı koruma
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Web kabuğu saldırılarına karşı koruma
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec AppSec saldırılarına karşı koruma
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI SQLI saldırılarına karşı koruma
MS-TehditIntel-CVE'ler MS-ThreatIntel-CVEs CVE saldırılarına karşı koruma

Devre dışı bırakılan kurallar

Aşağıdaki kurallar DRS 2.1 için varsayılan olarak devre dışı bırakılmıştır.

Kural Kimliği Kural grubu Açıklama Ayrıntılar
942110 SQLI (SQLI) SQL Enjeksiyon Saldırısı: Sık Karşılaşılan Enjeksiyon Testi Tespit Edildi MSTIC kuralı 99031001 ile değiştirildi
942150 SQLI (SQLI) SQL Enjeksiyon Saldırısı YERINE MSTIC kuralı 99031003
942260 SQLI (SQLI) 2/3'te temel SQL kimlik doğrulaması atlama girişimlerini algılar YERINE MSTIC kuralı 99031004
942430 SQLI (SQLI) Kısıtlanmış SQL Karakter Anomalisi Algılama (args): Özel karakter sayısı aşıldı (12) Çok fazla hatalı pozitif sonuç
942440 SQLI (SQLI) SQL Açıklama Sırası Algılandı MSTIC kuralı 99031002 ile değiştirildi
99005006 MS-ThreatIntel-WebShells Spring4Shell Etkileşim Girişimi SpringShell güvenlik açığına karşı önlemek için kuralı etkinleştirme
99001014 MS-ThreatIntel-CVEs Spring Cloud yönlendirme-ifadesi ekleme girişimi CVE-2022-22963 SpringShell güvenlik açığına karşı önlemek için kuralı etkinleştirme
99001015 MS-ThreatIntel-WebShells Spring Framework güvenli olmayan sınıf nesnesi yararlanma girişimi CVE-2022-22965 SpringShell güvenlik açığına karşı önlemek için kuralı etkinleştirme
99001016 MS-ThreatIntel-WebShells Spring Cloud Gateway Aktüatörü ekleme girişimi CVE-2022-22947 SpringShell güvenlik açığına karşı önlemek için kuralı etkinleştirme
99001017 MS-ThreatIntel-CVEs Apache Struts dosya karşıya yükleme açığından yararlanma girişimi CVE-2023-50164 Apache Struts güvenlik açığına karşı önlemek için kuralı etkinleştirme

DRS 2.0

DRS 2.0 kuralları, DRS'nin önceki sürümlerinden daha iyi koruma sağlar. DRS 2.0, yalnızca URL kodunu çözmenin ötesinde dönüştürmeleri de destekler.

DRS 2.0, aşağıdaki tabloda gösterildiği gibi 17 kural grubu içerir. Her grup birden çok kural içerir. Tek tek kuralları ve kural gruplarının tamamını devre dışı bırakabilirsiniz.

Not: Dikkat

DRS 2.0 yalnızca Azure Front Door Premium'da kullanılabilir.

Kural grubu ruleGroupName Açıklama
Genel Genel Genel grup
YÖNTEM ZORLAMA YÖNTEM-ZORLAMA Kilitleme yöntemleri (PUT, PATCH)
PROTOKOL ZORLAMA PROTOKOL-ZORLAMA Protokol ve kodlama sorunlarına karşı koruma
PROTOKOL SALDıRıSı PROTOKOL-SALDIRI Üst bilgi ekleme, istek kaçakçılığı ve yanıt bölmeye karşı koruma
UYGULAMA-SALDIRI-LFI LFI (Türkçe) Dosya ve yol saldırılarına karşı koruma
UYGULAMA-SALDIRI-RFI RFI Uzak dosya ekleme (RFI) saldırılarına karşı koruma
UYGULAMA-SALDIRI-RCE RCE (Türkçe) Uzaktan kod yürütme saldırılarını yeniden koruma
UYGULAMA-SALDIRISI-PHP PHP PHP ekleme saldırılarına karşı koruma
UYGULAMA-SALDIRISI-NodeJS NODEJS (DÜĞÜMJS) Node JS saldırılarına karşı koruma
UYGULAMA-SALDIRI-XSS XSS (İngilizce) Siteler arası betik saldırılarına karşı koruma
UYGULAMA-SALDIRISI-SQLI SQLI (SQLI) SQL enjeksiyon saldırılarına karşı koruma
UYGULAMA-SALDIRI-OTURUM-SABİTLEME DÜZELTMEK Oturum sabitlenme saldırılarına karşı koruma
UYGULAMA-SALDIRI-OTURUMU-JAVA JAVA JAVA saldırılarına karşı koruma
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Web kabuğu saldırılarına karşı koruma
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec AppSec saldırılarına karşı koruma
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI SQLI saldırılarına karşı koruma
MS-TehditIntel-CVE'ler MS-ThreatIntel-CVEs CVE saldırılarına karşı koruma

DRS 1.1

Kural grubu ruleGroupName Açıklama
PROTOKOL SALDıRıSı PROTOKOL-SALDIRI Üst bilgi ekleme, istek kaçakçılığı ve yanıt bölmeye karşı koruma
UYGULAMA-SALDIRI-LFI LFI (Türkçe) Dosya ve yol saldırılarına karşı koruma
UYGULAMA-SALDIRI-RFI RFI Uzak dosya ekleme saldırılarına karşı koruma
UYGULAMA-SALDIRI-RCE RCE (Türkçe) Uzaktan komut yürütmeye karşı koruma
UYGULAMA-SALDIRISI-PHP PHP PHP ekleme saldırılarına karşı koruma
UYGULAMA-SALDIRI-XSS XSS (İngilizce) Siteler arası betik saldırılarına karşı koruma
UYGULAMA-SALDIRISI-SQLI SQLI (SQLI) SQL enjeksiyon saldırılarına karşı koruma
UYGULAMA-SALDIRI-OTURUM-SABİTLEME DÜZELTMEK Oturum sabitlenme saldırılarına karşı koruma
UYGULAMA-SALDIRI-OTURUMU-JAVA JAVA JAVA saldırılarına karşı koruma
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Web kabuğu saldırılarına karşı koruma
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec AppSec saldırılarına karşı koruma
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI SQLI saldırılarına karşı koruma
MS-TehditIntel-CVE'ler MS-ThreatIntel-CVEs CVE saldırılarına karşı koruma

DRS 1.0

Kural grubu ruleGroupName Açıklama
PROTOKOL SALDıRıSı PROTOKOL-SALDIRI Üst bilgi ekleme, istek kaçakçılığı ve yanıt bölmeye karşı koruma
UYGULAMA-SALDIRI-LFI LFI (Türkçe) Dosya ve yol saldırılarına karşı koruma
UYGULAMA-SALDIRI-RFI RFI Uzak dosya ekleme saldırılarına karşı koruma
UYGULAMA-SALDIRI-RCE RCE (Türkçe) Uzaktan komut yürütmeye karşı koruma
UYGULAMA-SALDIRISI-PHP PHP PHP ekleme saldırılarına karşı koruma
UYGULAMA-SALDIRI-XSS XSS (İngilizce) Siteler arası betik saldırılarına karşı koruma
UYGULAMA-SALDIRISI-SQLI SQLI (SQLI) SQL enjeksiyon saldırılarına karşı koruma
UYGULAMA-SALDIRI-OTURUM-SABİTLEME DÜZELTMEK Oturum sabitlenme saldırılarına karşı koruma
UYGULAMA-SALDIRI-OTURUMU-JAVA JAVA JAVA saldırılarına karşı koruma
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Web kabuğu saldırılarına karşı koruma
MS-TehditIntel-CVE'ler MS-ThreatIntel-CVEs CVE saldırılarına karşı koruma

Bot Yöneticisi 1.0

Bot Manager 1.0 kural kümesi, kötü amaçlı botlara karşı koruma ve iyi botların algılanması sağlar. Kurallar, bot trafiğini İyi, Kötü veya Bilinmeyen botlar olarak kategorilere ayırarak WAF tarafından algılanan botlar üzerinde ayrıntılı denetim sağlar.

Kural grubu Açıklama
Kötü Botlar Kötü botlara karşı koruma
İyi Botlar İyi botları belirleme
Bilinmeyen Botlar Bilinmeyen botları tanımlama

Bot Yöneticisi 1.1

Bot Manager 1.1 kural kümesi, Bot Manager 1.0 kural kümesinde yapılan bir geliştirmedir. Kötü amaçlı botlara karşı gelişmiş koruma sağlar ve iyi bot algılamayı artırır.

Kural grubu Açıklama
Kötü Botlar Kötü botlara karşı koruma
İyi Botlar İyi botları belirleme
Bilinmeyen Botlar Bilinmeyen botları tanımlama

Azure Front Door'da Azure Web Uygulaması Güvenlik Duvarı kullandığınızda aşağıdaki kural grupları ve kuralları kullanılabilir.

2.1 kural kümeleri

Genel

Kural Kimliği Anomali puanının şiddeti Paranoya Düzeyi Açıklama
200002 Kritik - 5 1 İstek gövdesi ayrıştırılamadı
200003 Kritik - 5 1 Çok parçalı istek gövdesi sıkı doğrulamayı geçemedi.

Yöntem uygulaması

Kural Kimliği Anomali puanının şiddeti Paranoya Düzeyi Açıklama
911100 Kritik - 5 1 İlke gereği yönteme izin verilmez

Protokol uygulama

Kural Kimliği Anomali puanının şiddeti Paranoya Düzeyi Açıklama
920100 Bildirim - 2 1 Geçersiz HTTP İstek Satırı
920120 Kritik - 5 1 Çok parçalı/form-veri atlama girişimi
920121 Kritik - 5 2 Çok parçalı/form-veri atlama girişimi
920160 Kritik - 5 1 İçerik Uzunluğu HTTP üst bilgisi bir sayı değil.
920170 Kritik - 5 1 Gövde İçeriği ile GET veya HEAD İsteği
920171 Kritik - 5 1 Transfer-Encoding ile GET veya HEAD İsteği
920180 Bildirim - 2 1 POST isteği eksik İçerik Uzunluğu Üst Bilgisi
920181 Uyarı - 3 1 İçerik Uzunluğu ve Aktarım Kodlama üst bilgileri 99001003
920190 Uyarı - 3 1 Aralık: Geçersiz Son Bayt Değeri
920200 Uyarı - 3 2 Aralık: Çok fazla alan (6 veya daha fazla)
920201 Uyarı - 3 2 Aralık: PDF isteği için çok fazla alan (35 veya daha fazla)
920210 Uyarı - 3 1 Birden Çok/Çakışan Bağlantı Üst Bilgisi Verileri Bulundu
920220 Uyarı - 3 1 URL Kodlama Kötüye Kullanımı Saldırı Girişimi
920230 Uyarı - 3 2 Birden Çok URL Kodlama Algılandı
920240 Uyarı - 3 1 URL Kodlama Kötüye Kullanımı Saldırı Girişimi
920260 Uyarı - 3 1 Unicode Tam/Yarı Genişlikli Kötüye Kullanım Saldırısı Girişimi
920270 Kritik - 5 1 İstekte geçersiz karakter (null karakter)
920271 Kritik - 5 2 İstekte geçersiz karakter (yazdırılamayan karakterler)
920280 Uyarı - 3 1 Ana Bilgisayar Üst Bilgisi Eksik İsteği
920290 Uyarı - 3 1 Boş Konak Üst Bilgisi
920300 Bildirim - 2 2 Kabul Üst Bilgisi Eksik İsteği
920310 Bildirim - 2 1 İsteğin Kabul Üst Bilgisi Boş
920311 Bildirim - 2 1 İsteğin Kabul Üst Bilgisi Boş
920320 Bildirim - 2 2 Eksik Kullanıcı Aracısı Üst Bilgisi
920330 Bildirim - 2 1 Boş Kullanıcı Aracısı Üst Bilgisi
920340 Bildirim - 2 1 İçerik İçeren İstek, ancak İçerik Türü üst bilgisi eksik
920341 Kritik - 5 2 İçerik içeren istek için content-Type üst bilgisi gerekir
920350 Uyarı - 3 1 Ana bilgisayar üst bilgisi sayısal bir IP adresidir
920420 Kritik - 5 1 İstek içerik türüne ilke tarafından izin verilmiyor
920430 Kritik - 5 1 http protokolü sürümüne ilke tarafından izin verilmiyor
920440 Kritik - 5 1 URL dosya uzantısı ilkeyle kısıtlandı
920450 Kritik - 5 1 HTTP üst bilgisi ilkeyle kısıtlandı
920470 Kritik - 5 1 Geçersiz İçerik Türü üst bilgisi
920480 Kritik - 5 1 İstek içerik türü karakter kümesine ilke tarafından izin verilmiyor
920500 Kritik - 5 1 Yedekleme veya çalışma dosyasına erişme girişimi

Protokol saldırısı

Kural Kimliği Anomali puanının şiddeti Paranoya Düzeyi Açıklama
921110 Kritik - 5 1 HTTP İstek Kaçakçılık Saldırısı
921120 Kritik - 5 1 HTTP Yanıt Bölme Saldırısı
921130 Kritik - 5 1 HTTP Yanıt Bölme Saldırısı
921140 Kritik - 5 1 HTTP Başlığı Üzerinden Başlık Enjeksiyon Saldırısı
921150 Kritik - 5 1 Yük aracılığıyla HTTP Üst Bilgi Ekleme Saldırısı (CR/LF algılandı)
921151 Kritik - 5 2 Yük aracılığıyla HTTP Üst Bilgi Ekleme Saldırısı (CR/LF algılandı)
921160 Kritik - 5 1 Yük aracılığıyla HTTP Üst Bilgi Ekleme Saldırısı (CR/LF ve üst bilgi adının algılanması)
921190 Kritik - 5 1 HTTP Bölme (istek dosya adında CR/LF algılandı)
921200 Kritik - 5 1 LDAP Enjeksiyon Saldırısı

LFI: Yerel dosya ekleme

Kural Kimliği Anomali puanının şiddeti Paranoya Düzeyi Açıklama
930100 Kritik - 5 1 Yol Geçişi Saldırısı (/.. /)
930110 Kritik - 5 1 Yol Geçişi Saldırısı (/.. /)
930120 Kritik - 5 1 İşletim Sistemi Dosya Erişim Denemesi
930130 Kritik - 5 1 Kısıtlanmış Dosya Erişimi Denemesi

RFI: Uzak dosya ekleme

Kural Kimliği Anomali puanının şiddeti Paranoya Düzeyi Açıklama
931100 Kritik - 5 1 Olası Uzak Dosya Ekleme (RFI) Saldırısı: IP adresini kullanarak URL Parametresi
931110 Kritik - 5 1 Olası Uzak Dosya Ekleme (RFI) Saldırısı: Url Yükünde Kullanılan Yaygın RFI Güvenlik Açığı Olan Parametre Adı
931120 Kritik - 5 1 Olası Uzak Dosya Ekleme (RFI) Saldırısı: URL Yükü Sondaki Soru İşareti Karakteri (?) ile Kullanıldı
931130 Kritik - 5 2 Olası Uzak Dosya Ekleme (RFI) Saldırısı: Etki Alanı Dışı Başvuru/Bağlantı

RCE: Uzaktan komut yürütme

Kural Kimliği Anomali puanının şiddeti Paranoya Düzeyi Açıklama
932100 Kritik - 5 1 Uzaktan Komut Yürütme: Unix Komut Enjeksiyonu
932105 Kritik - 5 1 Uzaktan Komut Yürütme: Unix Komut Enjeksiyonu
932110 Kritik - 5 1 Uzaktan Komut Yürütme: Windows Komut Enjeksiyonu
932115 Kritik - 5 1 Uzaktan Komut Yürütme: Windows Komut Enjeksiyonu
932120 Kritik - 5 1 Uzaktan Komut Yürütme: Windows PowerShell Komutu Bulundu
932130 Kritik - 5 1 Uzaktan Komut Yürütme: Unix Kabuk İfadesi veya Confluence Güvenlik Açığı (CVE-2022-26134) Bulundu
932140 Kritik - 5 1 Uzaktan Komut Yürütme: Windows FOR/IF Komutu Bulundu
932150 Kritik - 5 1 Uzaktan Komut Yürütme: Doğrudan Unix Komut Yürütme
932160 Kritik - 5 1 Uzaktan Komut Yürütme: Unix Kabuk Kodu Bulundu
932170 Kritik - 5 1 Uzaktan Komut Yürütme: Shellshock (CVE-2014-6271)
932171 Kritik - 5 1 Uzaktan Komut Yürütme: Shellshock (CVE-2014-6271)
932180 Kritik - 5 1 Kısıtlanmış Dosya Yükleme Denemesi

PHP saldırıları

Kural Kimliği Anomali puanının şiddeti Paranoya Düzeyi Açıklama
933100 Kritik - 5 1 PHP Ekleme Saldırısı: Açma/Kapatma Etiketi Bulundu
933110 Kritik - 5 1 PHP Sızma Saldırısı: PHP Betik Dosya Yüklemesi Bulundu
933120 Kritik - 5 1 PHP Ekleme Saldırısı: Yapılandırma Yönergesi Bulundu
933130 Kritik - 5 1 PHP Ekleme Saldırısı: Değişkenler Bulundu
933140 Kritik - 5 1 PHP Ekleme Saldırısı: G/Ç Akışı Bulundu
933150 Kritik - 5 1 PHP Ekleme Saldırısı: Yüksek Riskli PHP İşlev Adı Bulundu
933151 Kritik - 5 2 PHP Ekleme Saldırısı: Orta Riskli PHP İşlev Adı Bulundu
933160 Kritik - 5 1 PHP Ekleme Saldırısı: Yüksek Riskli PHP İşlev Çağrısı Bulundu
933170 Kritik - 5 1 PHP Ekleme Saldırısı: Serileştirilmiş Nesne Ekleme
933180 Kritik - 5 1 PHP Ekleme Saldırısı: Değişken İşlev Çağrısı Bulundu
933200 Kritik - 5 1 PHP Enjeksiyon Saldırısı: Sarmalayıcı şeması algılandı
933210 Kritik - 5 1 PHP Ekleme Saldırısı: Değişken İşlev Çağrısı Bulundu

Düğüm JS saldırıları

Kural Kimliği Anomali puanının şiddeti Paranoya Düzeyi Açıklama
934100 Kritik - 5 1 Node.js Enjeksiyon Saldırısı

XSS: Siteler arası betik çalıştırma

Kural Kimliği Anomali puanının şiddeti Paranoya Düzeyi Açıklama
941100 Kritik - 5 1 Libinjection aracılığıyla XSS Saldırısı Algılandı
941101 Kritik - 5 2 Libinjection aracılığıyla XSS Saldırısı Algılandı
Kural, istekleri bir Referer başlığı ile algılar
941110 Kritik - 5 1 XSS Filtresi - Kategori 1: Komut Dosyası Etiketi Vektörü
941120 Kritik - 5 1 XSS Filtresi - Kategori 2: Olay İşleyici Vektör
941130 Kritik - 5 1 XSS Filtresi - Kategori 3: Öznitelik Vektör
941140 Kritik - 5 1 XSS Filtresi - Kategori 4: JavaScript URI Vektör
941150 Kritik - 5 2 XSS Filtresi - Kategori 5: İzin Verilmeyen HTML Öznitelikleri
941160 Kritik - 5 1 NoScript XSS InjectionChecker: HTML Ekleme
941170 Kritik - 5 1 NoScript XSS InjectionChecker: Öznitelik Enjeksiyonu
941180 Kritik - 5 1 Node-Validator Blok Listesi Anahtar Sözcükleri
941190 Kritik - 5 1 Stil sayfalarını kullanan XSS
941200 Kritik - 5 1 VML çerçeveleri kullanan XSS
941210 Kritik - 5 1 Belirsiz JavaScript kullanan XSS
941220 Kritik - 5 1 Gizlenmiş VB Komut Dosyası kullanan XSS
941230 Kritik - 5 1 embed etiketini kullanarak XSS
941240 Kritik - 5 1 XSS, import veya implementation özniteliğini kullanarak
941250 Kritik - 5 1 IE XSS Filtreleri - Saldırı Algılandı
941260 Kritik - 5 1 meta etiketini kullanarak XSS
941270 Kritik - 5 1 link href kullanarak XSS
941280 Kritik - 5 1 base etiketini kullanarak XSS
941290 Kritik - 5 1 applet etiketini kullanarak XSS
941300 Kritik - 5 1 object etiketini kullanarak XSS
941310 Kritik - 5 1 US-ASCII Hatalı Biçimlendirilmiş Kodlama XSS Filtresi - Saldırı Algılandı
941320 Kritik - 5 2 Olası XSS Saldırısı Algılandı - HTML Etiketi İşleyicisi
941330 Kritik - 5 2 IE XSS Filtreleri - Saldırı Algılandı
941340 Kritik - 5 2 IE XSS Filtreleri - Saldırı Algılandı
941350 Kritik - 5 1 UTF-7 Kodlama IE XSS - Saldırı Algılandı
941360 Kritik - 5 1 JavaScript gizleme algılandı
941370 Kritik - 5 1 JavaScript genel değişkeni bulundu
941380 Kritik - 5 2 AngularJS müşteri tarafı şablon ekleme işlemi algılandı

SQLI: SQL enjeksiyonu

Kural Kimliği Anomali puanının şiddeti Paranoya Düzeyi Açıklama
942100 Kritik - 5 1 LIbinjection yoluyla SQL Ekleme Saldırısı Algılandı
942110 Uyarı - 3 2 SQL Enjeksiyon Saldırısı: Sık Karşılaşılan Enjeksiyon Testi Tespit Edildi
942120 Kritik - 5 2 SQL Ekleme Saldırısı: SQL İşleci Algılandı
942140 Kritik - 5 1 SQL Ekleme Saldırısı: Ortak VERITABANı Adları Algılandı
942150 Kritik - 5 2 SQL Enjeksiyon Saldırısı
942160 Kritik - 5 1 sleep() veya benchmark() kullanarak kör SQLI testlerini algılar
942170 Kritik - 5 1 Koşullu sorgular dahil olmak üzere SQL karşılaştırma ve uyku ekleme girişimlerini algılar
942180 Kritik - 5 2 Temel SQL kimlik doğrulama atlama girişimlerini algılar 1/3
942190 Kritik - 5 1 MSSQL kod yürütme ve bilgi toplama girişimlerini algılar
942200 Kritik - 5 2 MySQL açıklama/boşluk karartılmış eklemeleri ve backtick sonlandırmayı algılar
942210 Kritik - 5 2 Zincirleme SQL ekleme denemelerini algılar 1/2
942220 Kritik - 5 1 Tamsayı taşması saldırıları aranıyor, bunlar skipfish'ten alınıyor, ancak 3.0.00738585072007e-308 "sihirli sayı" kilitlenmesi
942230 Kritik - 5 1 Koşullu SQL ekleme girişimlerini algılar
942240 Kritik - 5 1 MySQL karakter kümesi anahtarını ve MSSQL DoS girişimlerini algılar
942250 Kritik - 5 1 MATCH AGAINST, MERGE ve ANINDA ÇALIŞTIRMA enjeksiyonlarını tespit eder.
942260 Kritik - 5 2 2/3'te temel SQL kimlik doğrulaması atlama girişimlerini algılar
942270 Kritik - 5 1 Temel SQL enjeksiyonu aranıyor. MySQL, Oracle ve diğerleri için ortak saldırı dizesi
942280 Kritik - 5 1 Postgres pg_sleep eklemeyi, gecikme saldırılarını beklemeyi ve veritabanı kapatma girişimlerini algılar
942290 Kritik - 5 1 Temel MongoDB SQL ekleme girişimlerini bulur
942300 Kritik - 5 2 MySQL açıklamalarını, koşullarını ve ch(a)r eklemelerini algılar
942310 Kritik - 5 2 Zincirleme SQL ekleme girişimlerini algılar 2/2
942320 Kritik - 5 1 MySQL ve PostgreSQL saklı yordamını/işlev eklemelerini algılar
942330 Kritik - 5 2 Klasik SQL ekleme yoklamalarını algılar 1/2
942340 Kritik - 5 2 3/3 temel SQL kimlik doğrulama atlama girişimlerini algılar
942350 Kritik - 5 1 MySQL UDF ekleme ve diğer veri/yapı işleme girişimlerini algılar
942360 Kritik - 5 1 Birleştirilmiş temel SQL ekleme ve SQLLFI girişimlerini algılar
942361 Kritik - 5 2 Anahtar sözcük değişikliğine veya birleşime göre temel SQL eklemeyi algılar
942370 Kritik - 5 2 Klasik SQL ekleme yoklamalarını algılar 2/2
942380 Kritik - 5 2 SQL Enjeksiyon Saldırısı
942390 Kritik - 5 2 SQL Enjeksiyon Saldırısı
942400 Kritik - 5 2 SQL Enjeksiyon Saldırısı
942410 Kritik - 5 2 SQL Enjeksiyon Saldırısı
942430 Uyarı - 3 2 Kısıtlanmış SQL Karakter Anomalisi Algılama (args): Özel karakter sayısı aşıldı (12)
942440 Kritik - 5 2 SQL Açıklama Sırası Algılandı
942450 Kritik - 5 2 SQL Onaltılık Kodlaması Belirlendi
942470 Kritik - 5 2 SQL Enjeksiyon Saldırısı
942480 Kritik - 5 2 SQL Enjeksiyon Saldırısı
942500 Kritik - 5 1 MySQL satır içi açıklama algılandı
942510 Kritik - 5 2 Tırnak veya geri tırnak işaretleri ile SQL güvenlik açığını aşma girişimi algılandı

Oturum sabitleme

Kural Kimliği Anomali puanının şiddeti Paranoya Düzeyi Açıklama
943100 Kritik - 5 1 Olası Oturum Düzeltme Saldırısı: HTML'de Tanımlama Bilgisi Değerlerini Ayarlama
943110 Kritik - 5 1 Olası Oturum Düzeltme Saldırısı: Etki Alanı Dışı Başvuran ile SessionID Parametre Adı
943120 Kritik - 5 1 Olası Oturum Düzeltme Saldırısı: Başvuran Olmadan SessionID Parametre Adı

Java saldırıları

Kural Kimliği Anomali puanının şiddeti Paranoya Düzeyi Açıklama
944100 Kritik - 5 1 Uzaktan Komut Yürütme: Apache Struts, Oracle WebLogic
944110 Kritik - 5 1 Olası yük yürütmesini algılar
944120 Kritik - 5 1 Olası yük yürütme ve uzaktan komut yürütme
944130 Kritik - 5 1 Şüpheli Java sınıfları
944200 Kritik - 5 2 Java seri durumdan çıkarma işleminin Apache Commons ile kötüye kullanımı
944210 Kritik - 5 2 Java serileştirmesinin olası kullanımı
944240 Kritik - 5 2 Uzaktan Komut Yürütme: Java serileştirme ve Log4j güvenlik açığı (CVE-2021-44228, CVE-2021-45046)
944250 Kritik - 5 2 Uzaktan Komut Yürütme: Şüpheli Java yöntemi algılandı

MS-ThreatIntel-WebShells

Kural Kimliği Anomali puanının şiddeti Paranoya Düzeyi Açıklama
99005002 Kritik - 5 2 Web Kabuğu Etkileşim Girişimi (POST)
99005003 Kritik - 5 2 Web Kabuğu Karşıya Yükleme Denemesi (POST) - CHOPPER PHP
99005004 Kritik - 5 2 Web Kabuğu Karşıya Yükleme Denemesi (POST) - CHOPPER ASPX
99005005 Kritik - 5 2 Web Shell Etkileşim Denemesi
99005006 Kritik - 5 2 Spring4Shell Etkileşim Girişimi

MS-ThreatIntel-AppSec

Kural Kimliği Anomali puanının şiddeti Paranoya Düzeyi Açıklama
99030001 Kritik - 5 2 Üst Bilgilerde Yol Geçişi Kaçışı (/.. /./.. /)
99030002 Kritik - 5 2 İstek Gövdesinde Yol Geçişi Kaçışı (/.. /./.. /)

MS-ThreatIntel-SQLI

Kural Kimliği Anomali puanının şiddeti Paranoya Düzeyi Açıklama
99031001 Uyarı - 3 2 SQL Enjeksiyon Saldırısı: Sık Karşılaşılan Enjeksiyon Testi Tespit Edildi
99031002 Kritik - 5 2 SQL Açıklama Sırası Algılandı
99031003 Kritik - 5 2 SQL Enjeksiyon Saldırısı
99031004 Kritik - 5 2 2/3'te temel SQL kimlik doğrulaması atlama girişimlerini algılar

MS-ThreatIntel-CVEs

Kural Kimliği Anomali puanının şiddeti Paranoya Düzeyi Açıklama
99001001 Kritik - 5 2 Bilinen kimlik bilgileriyle F5 tmui (CVE-2020-5902) REST API yararlanma girişimi
99001002 Kritik - 5 2 Citrix NSC_USER dizin geçişi CVE-2019-19781 denendi
99001003 Kritik - 5 2 Atlassian Confluence Widget Bağlayıcısı yararlanma girişimi CVE-2019-3396
99001004 Kritik - 5 2 Pulse Secure özel şablonla sömürme girişimi CVE-2020-8243
99001005 Kritik - 5 2 SharePoint tip dönüştürücü istismar girişimi CVE-2020-0932
99001006 Kritik - 5 2 Pulse Connect dizin geçiş girişimi CVE-2019-11510
99001007 Kritik - 5 2 Junos OS J-Web yerel dosya dahil etme girişimi CVE-2020-1631
99001008 Kritik - 5 2 Fortinet yol geçişi saldırısı denemesi CVE-2018-13379
99001009 Kritik - 5 2 Apache Struts OGNL enjeksiyonu girişimi CVE-2017-5638
99001010 Kritik - 5 2 Apache Struts OGNL enjeksiyonu girişimi CVE-2017-12611
99001011 Kritik - 5 2 Oracle WebLogic CVE-2020-14882 yol geçişi denendi
99001012 Kritik - 5 2 Telerik WebUI güvenli olmayan seri durumdan çıkarma girişimi CVE-2019-18935
99001013 Kritik - 5 2 SharePoint güvenli olmayan XML seri durumdan çıkarma CVE-2019-0604 denendi
99001014 Kritik - 5 2 Spring Cloud yönlendirme-ifadesi ekleme girişimi CVE-2022-22963
99001015 Kritik - 5 2 Spring Framework güvenli olmayan sınıf nesnesi yararlanma girişimi CVE-2022-22965
99001016 Kritik - 5 2 Spring Cloud Gateway Aktüatörü ekleme girişimi CVE-2022-22947
99001017 Kritik - 5 2 Apache Struts dosya karşıya yükleme açığından yararlanma girişimi CVE-2023-50164

Not: Dikkat

WAF günlüklerinizi gözden geçirirken kural kimliği 949110'ı görebilirsiniz. Kural açıklaması, Gelen Anomali Puanı Aşıldı ifadesini içerebilir.

Bu kural, istek için toplam anomali puanının izin verilen maksimum puanı aştığını gösterir. Daha fazla bilgi için bkz Anomali puanlaması.

WAF ilkelerinizi ayarlarken, WAF'nizin yapılandırmasını ayarlayabilmeniz için istek tarafından tetiklenen diğer kuralları araştırmanız gerekir. Daha fazla bilgi için Azure Front Door için Azure Web Uygulaması Güvenlik Duvarı Ayarlama bölümüne bakın.