次の方法で共有


Web Application Firewall の DRS ルール グループとルール

Azure Front Door 上の Azure Web Application Firewall は、Web アプリケーションを一般的な脆弱性や悪用から保護します。 Azure で管理される規則セットでは、一般的なセキュリティ脅威のセットに対する保護をデプロイする簡単な方法が提供されます。 Azure がこれらのルール セットを管理するので、ルールは、新しい攻撃シグネチャから保護するために必要に応じて更新されます。

また、既定のルール セット (DRS) には、Microsoft 脅威インテリジェンスの収集規則が含まれます。これは、Microsoft インテリジェンス チームと協力して作成されており、カバレッジの向上、特定の脆弱性に対するパッチ、擬陽性削減の向上を実現するものです。

Note

WAF ポリシーでルールセットのバージョンが変更されると、ルールセットに対して行った既存のカスタマイズはすべて、新しいルールセットの既定値にリセットされます。 「ルールセットのバージョンのアップグレードまたは変更」を参照してください。

既定の規則セット

Azure のマネージド DRS には、次の脅威カテゴリに対するルールが含まれます:

  • クロスサイト スクリプティング
  • Java 攻撃
  • ローカル ファイル インクルージョン
  • PHP インジェクション攻撃
  • リモート コマンド実行
  • リモート ファイル インクルージョン
  • セッション固定
  • SQL インジェクションからの保護
  • プロトコル攻撃者

DRS のバージョン番号は、新しい攻撃シグネチャが規則セットに追加されると増分されます。

WAF ポリシーの検出モードでは、DRS が既定で有効になります。 ご自分のアプリケーション要件に合わせて、DRS 内のルールを個別に有効または無効にすることができます。 また、規則ごとに特定のアクションを設定することもできます。 使用できるアクションは許可、ブロック、ログ、リダイレクトです。

場合によっては、Web アプリケーション ファイアウォール (WAF) の評価から特定の要求属性を省略する必要があります。 一般的な例として、認証に使用される、Active Directory で挿入されたトークンが挙げられます。 管理下にあるルールやルール グループに対する除外リスト、またはルール セット全体に対する除外リストを構成することができます。 詳細については、「Azure Front Door の Azure Web Application Firewall」をご覧ください。

既定では、DRS バージョン 2.0 以降では、要求がルールと一致するときに異常スコアリングが使用されます。 2.0 より前の DRS バージョンでは、ルールをトリガーする要求がブロックされます。 また、DRS 内の事前構成済みのルールのいずれかをバイパスしたい場合は、同じ WAF ポリシーでカスタム ルールを構成できます。

カスタム ルールは常に、DRS 内のルールが評価される前に適用されます。 要求がカスタム規則に一致した場合、対応する規則のアクションが適用されます。 要求はブロックされるか、バックエンドに渡されます。 他のカスタム ルールや DRS 内のルールは処理されません。 DRS を WAF ポリシーから削除することもできます。

Microsoft 脅威インテリジェンスの収集規則

Microsoft 脅威インテリジェンスの収集規則は、Microsoft 脅威インテリジェンス チームと協力して作成されており、カバレッジの向上、特定の脆弱性に対するパッチ、擬陽性削減の向上が実現されます。

既定では、組み込みの DRS ルールの一部が Microsoft Threat Intelligence Collection ルールによって置き換えられ、無効になります。 たとえば、ルール ID 942440、「SQL コメント シーケンスが検出されました。」は無効になっており、Microsoft Threat Intelligence Collection ルール 99031002 に置き換えられました。 置き換えられたルールにより、正当な要求の誤検知のリスクが軽減されます。

異常スコアリング

DRS 2.0 以降を使う場合、WAF には "異常スコアリング" が使われます。 WAF が防止モードであっても、いずれかの規則に一致するトラフィックはすぐにはブロックされません。 その代わり、OWASP 規則セットには、各規則に対して "重大"、"エラー"、"警告"、"注意" のいずれかの重大度が定義されています。 その重大度は、"異常スコア" という要求の数値に影響します。 要求に 5 以上の異常スコアが蓄積された場合、WAF は要求に対してアクションを実行します。

ルールの重要度 異常スコアに寄与する値
Critical 5
エラー 4
警告 3
注意事項 2

WAF を構成するときに、異常スコアのしきい値 5 を超える要求を WAF で処理する方法を決定できます。 3 つの異常スコア アクション オプションは、ブロック、ログ、またはリダイレクトです。 構成時に選択した異常スコア アクションは、異常スコアのしきい値を超えるすべての要求に適用されます。

たとえば、要求の異常スコアが 5 以上で、WAF が防止モードで、異常スコア アクションがブロックに設定されている場合、要求はブロックされます。 要求の異常スコアが 5 以上で、WAF が検出モードになっている場合、要求はログに記録されますが、ブロックされません。

防止モードで、異常スコア アクションがブロックに設定されている場合、1 つの 重大ルールが一致しただけでも、全体の異常スコアは 5 になるので、WAF によって要求はブロックされます。 一方、1 つの "警告" 規則が一致した場合、異常スコアの増加は 3 のみです。これだけではトラフィックはブロックされません。 異常ルールがトリガーされると、ログには "Matched" アクションが示されます。 異常スコアが 5 以上の場合、ルール セットに設定された異常スコア アクションでトリガーされる別のルールがあります。 既定の異常スコア アクションは "ブロック" で、その結果、アクション blocked を含むログ エントリが作成されます。

WAF が (DRS 2.0 より前の) 旧バージョンの既定のルールセットを使っている場合、WAF は従来のモードで実行されます。 いずれかの規則に一致するトラフィックが、他の規則の一致とは無関係に考慮されます。 従来のモードでは、特定の要求が一致した規則の完全なセットを確認できません。

使う DRS バージョンによって、要求本文の検査でサポートされるコンテンツ タイプも決まります。 詳細については、FAQ の「WAF はどのようなコンテンツ タイプをサポートしていますか」を参照してください。

ルールセットのバージョンのアップグレードまたは変更

新しいルールセットのバージョンをアップグレードまたは割り当て、既存のルールのオーバーライドと除外を保持したい場合は、PowerShell、CLI、REST API、またはテンプレートを使用してルールセットのバージョンを変更することをお勧めします。 新しいバージョンのルールセットには、新しいルール、追加のルール グループを含めることができます。また、セキュリティを強化し、誤検知を減らすために既存の署名を更新することもできます。 テスト環境で変更を検証し、必要に応じて微調整してから、運用環境にデプロイすることをお勧めします。

Note

Azure portal を使用して新しいマネージド ルールセットを WAF ポリシーに割り当てると、ルールの状態、ルール アクション、ルール レベルの除外など、既存のマネージド ルールセットから以前に行ったすべてのカスタマイズが、新しいマネージド ルールセットの既定値に再設定されます。 ただし、カスタム ルールやポリシー設定は、新しいルールセットの割り当て中に影響を受けないまま維持されます。 運用環境にデプロイする前に、ルールのオーバーライドを再定義し、変更を検証する必要があります。

DRS 2.1

DRS 2.1 の規則は、以前のバージョンの DRS よりも優れた保護を実現します。 これには、Microsoft 脅威インテリジェンス チームによって開発されたルールと、誤検知を減らすための署名の更新が含まれます。 また、URL デコード以外の変換もサポートしています。

次の表に示すように、DRS 2.1 には 17 個の規則グループが含まれています。 各グループには複数のルールが含まれており、個々のルール、ルール グループ、またはルール セット全体の動作をカスタマイズできます。 DRS 2.1 は、Open Web Application Security Project (OWASP) のコア ルール セット (CRS) 3.3.2 からベースライン化されており、Microsoft 脅威インテリジェンス チームによって開発された追加の独自の保護ルールが含まれています。

詳細については、「Azure Front Door 用に Web Application Firewall (WAF) を調整する」を参照してください。

注意

DRS 2.1 は、Azure Front Door Premium でのみ利用できます。

規則グループ ruleGroupName 説明
全般 全般 一般グループ
METHOD-ENFORCEMENT METHOD-ENFORCEMENT メソッド (PUT、PATCH) をロックダウンします
PROTOCOL-ENFORCEMENT PROTOCOL-ENFORCEMENT プロトコルとエンコーディングの問題から保護します
PROTOCOL-ATTACK PROTOCOL-ATTACK ヘッダー インジェクション、要求スマグリング、応答分割から保護します
APPLICATION-ATTACK-LFI LFI ファイル攻撃やパス攻撃から保護します
APPLICATION-ATTACK-RFI RFI リモート ファイル インクルージョン (RFI) 攻撃から保護します
APPLICATION-ATTACK-RCE RCE リモート コード実行攻撃から保護します
APPLICATION-ATTACK-PHP PHP PHP インジェクション攻撃から保護します
APPLICATION-ATTACK-NodeJS NODEJS Node JS 攻撃から保護します
APPLICATION-ATTACK-XSS XSS クロスサイト スクリプティング攻撃から保護します
APPLICATION-ATTACK-SQLI SQLI SQL インジェクション攻撃から保護します
APPLICATION-ATTACK-SESSION-FIXATION FIX セッション固定攻撃から保護します
APPLICATION-ATTACK-SESSION-JAVA JAVA Java 攻撃から保護します
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Web シェル攻撃から保護します
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec AppSec 攻撃から保護します
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI SQLI 攻撃から保護します
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs CVE 攻撃から保護します

無効化された規則

DRS 2.1 では、次の規則が既定で無効になっています。

ルール ID 規則グループ 説明 詳細
942110 SQLI SQL インジェクション攻撃:一般的なインジェクション テストが検出されました MSTIC 規則 99031001 に置き換えられました
942150 SQLI SQL インジェクション攻撃 MSTIC 規則 99031003 に置き換えられました
942260 SQLI 基本的な SQL 認証のバイパスの試行 2/3 を検出します MSTIC 規則 99031004 に置き換えられました
942430 SQLI 制限された SQL 文字の異常検出 (引数): 特殊文字数が超過しました (12) 誤検出が多すぎる。
942440 SQLI SQL コメント シーケンスが検出されました MSTIC 規則 99031002 に置き換えられました
99005006 MS-ThreatIntel-WebShells Spring4Shell 相互作用の試行 SpringShell の脆弱性を防ぐルールを有効にします
99001014 MS-ThreatIntel-CVEs Spring Cloud ルーティング式インジェクション CVE-2022-22963 が試みられました SpringShell の脆弱性を防ぐルールを有効にします
99001015 MS-ThreatIntel-WebShells Spring Framework の安全でないクラス オブジェクトの悪用 CVE-2022-22965 が試みられました SpringShell の脆弱性を防ぐルールを有効にします
99001016 MS-ThreatIntel-WebShells Spring Cloud Gateway Actuator インジェクション CVE-2022-22947 が試みられました SpringShell の脆弱性を防ぐルールを有効にします
99001017 MS-ThreatIntel-CVEs Apache Struts ファイル アップロードの悪用が試みられました - CVE-2023-50164 Apache のストラットの脆弱性を防ぐルールを有効にする

DRS 2.0

DRS 2.0 の規則は、以前のバージョンの DRS よりも優れた保護を実現します。 DRS 2.0 では、URL デコード以外の変換もサポートしています。

次の表に示すように、DRS 2.0 には 17 個の規則グループが含まれています。 各グループには、複数のルールが含まれています。 個々のルールとルール グループ全体を無効にすることができます。

Note

DRS 2.0 は、Azure Front Door Premium でのみ利用できます。

規則グループ ruleGroupName 説明
全般 全般 一般グループ
METHOD-ENFORCEMENT METHOD-ENFORCEMENT メソッド (PUT、PATCH) をロックダウンします
PROTOCOL-ENFORCEMENT PROTOCOL-ENFORCEMENT プロトコルとエンコーディングの問題から保護します
PROTOCOL-ATTACK PROTOCOL-ATTACK ヘッダー インジェクション、要求スマグリング、応答分割から保護します
APPLICATION-ATTACK-LFI LFI ファイル攻撃やパス攻撃から保護します
APPLICATION-ATTACK-RFI RFI リモート ファイル インクルージョン (RFI) 攻撃から保護します
APPLICATION-ATTACK-RCE RCE リモート コード実行攻撃から保護します
APPLICATION-ATTACK-PHP PHP PHP インジェクション攻撃から保護します
APPLICATION-ATTACK-NodeJS NODEJS Node JS 攻撃から保護します
APPLICATION-ATTACK-XSS XSS クロスサイト スクリプティング攻撃から保護します
APPLICATION-ATTACK-SQLI SQLI SQL インジェクション攻撃から保護します
APPLICATION-ATTACK-SESSION-FIXATION FIX セッション固定攻撃から保護します
APPLICATION-ATTACK-SESSION-JAVA JAVA Java 攻撃から保護します
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Web シェル攻撃から保護します
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec AppSec 攻撃から保護します
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI SQLI 攻撃から保護します
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs CVE 攻撃から保護します

DRS 1.1

規則グループ ruleGroupName 説明
PROTOCOL-ATTACK PROTOCOL-ATTACK ヘッダー インジェクション、要求スマグリング、応答分割から保護します
APPLICATION-ATTACK-LFI LFI ファイル攻撃やパス攻撃から保護します
APPLICATION-ATTACK-RFI RFI リモート ファイル インクルージョン攻撃から保護します
APPLICATION-ATTACK-RCE RCE リモート コマンド実行から保護します
APPLICATION-ATTACK-PHP PHP PHP インジェクション攻撃から保護します
APPLICATION-ATTACK-XSS XSS クロスサイト スクリプティング攻撃から保護します
APPLICATION-ATTACK-SQLI SQLI SQL インジェクション攻撃から保護します
APPLICATION-ATTACK-SESSION-FIXATION FIX セッション固定攻撃から保護します
APPLICATION-ATTACK-SESSION-JAVA JAVA Java 攻撃から保護します
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Web シェル攻撃から保護します
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec AppSec 攻撃から保護します
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI SQLI 攻撃から保護します
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs CVE 攻撃から保護します

DRS 1.0

規則グループ ruleGroupName 説明
PROTOCOL-ATTACK PROTOCOL-ATTACK ヘッダー インジェクション、要求スマグリング、応答分割から保護します
APPLICATION-ATTACK-LFI LFI ファイル攻撃やパス攻撃から保護します
APPLICATION-ATTACK-RFI RFI リモート ファイル インクルージョン攻撃から保護します
APPLICATION-ATTACK-RCE RCE リモート コマンド実行から保護します
APPLICATION-ATTACK-PHP PHP PHP インジェクション攻撃から保護します
APPLICATION-ATTACK-XSS XSS クロスサイト スクリプティング攻撃から保護します
APPLICATION-ATTACK-SQLI SQLI SQL インジェクション攻撃から保護します
APPLICATION-ATTACK-SESSION-FIXATION FIX セッション固定攻撃から保護します
APPLICATION-ATTACK-SESSION-JAVA JAVA Java 攻撃から保護します
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Web シェル攻撃から保護します
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs CVE 攻撃から保護します

Bot Manager 1.0

Bot Manager 1.0 ルール セットでは、悪意のあるボットに対する保護を行い、良いボットを検出します。 これらのルールを利用して、ボット トラフィックを Good (良い)、Bad (悪い)、Unknown (不明) のボットとして分類して、WAF によって検出されたボットをきめ細かく制御できます。

規則グループ 説明
BadBots 問題のあるボットから保護します
GoodBots 問題のないボットを識別します
UnknownBots 不明なボットを識別します

Bot Manager 1.1

Bot Manager 1.1 ルール セットは、Bot Manager 1.0 ルール セットを改良したものです。 悪意のあるボットに対する保護が強化され、良いボットの検出が向上しています。

規則グループ 説明
BadBots 問題のあるボットから保護します
GoodBots 問題のないボットを識別します
UnknownBots 不明なボットを識別します

次のルール グループとルールは、Azure Front Door で Web Application Firewall を使用するときに利用できます。

2.1 の規則セット

全般

RuleId 説明
200002 要求本文を解析できませんでした
200003 マルチパートの要求本文が厳密な検証に失敗しました。

メソッドの適用

RuleId 説明
911100 メソッドがポリシーによって許可されていません

プロトコル強制

規則 ID 説明
920100 無効な HTTP 要求行。
920120 multipart/form-data のバイパスを試行しました。
920121 multipart/form-data のバイパスを試行しました。
920160 Content-Length HTTP ヘッダーが数値ではありません。
920170 本文コンテンツがある GET または HEAD 要求。
920171 転送エンコードがある GET または HEAD 要求。
920180 POST 要求に Content-Length ヘッダーがありません。
920181 Content-Length ヘッダーと Transfer-Encoding ヘッダーが 99001003 の原因となります。
920190 範囲: 無効な最終バイト値。
920200 範囲: フィールドが多すぎます (6 以上)。
920201 範囲: pdf 要求のフィールドが多すぎます (35 以上)。
920210 複数の/競合している接続ヘッダー データが見つかりました。
920220 URL エンコード悪用攻撃の試行。
920230 複数の URL エンコードが検出されました。
920240 URL エンコード悪用攻撃の試行。
920260 Unicode 全/半角悪用攻撃の試行。
920270 要求に無効な文字が含まれています (null 文字)。
920271 要求の文字が無効です (印刷できない文字)。
920280 要求に Host ヘッダーがありません。
920290 ホスト ヘッダーが空です。
920300 要求に Accept ヘッダーがありません。
920310 要求に空の Accept ヘッダーがあります。
920311 要求に空の Accept ヘッダーがあります。
920320 User Agent ヘッダーがありません。
920330 User Agent ヘッダーが空です。
920340 要求にコンテンツは含まれていますが、Content-Type ヘッダーがありません。
920341 コンテンツを含む要求には、Content-Type ヘッダーが必要です。
920350 Host ヘッダーが数値 IP アドレスです。
920420 要求のコンテンツ タイプがポリシーで許可されていません。
920430 HTTP プロトコルのバージョンがポリシーで許可されていません。
920440 URL ファイル拡張子がポリシーによって制限されています。
920450 HTTP ヘッダーがポリシーによって制限されています。
920470 無効な Content-Type ヘッダー。
920480 要求コンテンツ タイプの文字セットがポリシーで許可されていません。
920500 バックアップ ファイルまたは作業ファイルへのアクセスの試行。

プロトコル攻撃

規則 ID 説明
921110 HTTP 要求スマグリング攻撃
921120 HTTP 応答分割攻撃
921130 HTTP 応答分割攻撃
921140 ヘッダーによる HTTP ヘッダー インジェクション攻撃
921150 ペイロードによる HTTP ヘッダー インジェクション攻撃 (CR/LF 検出)
921151 ペイロードによる HTTP ヘッダー インジェクション攻撃 (CR/LF 検出)
921160 ペイロードによる HTTP ヘッダー インジェクション攻撃 (CR/LF および header-name 検出)
921190 HTTP 分割 (要求ファイル名に CR/LF が検出されました)
921200 LDAP インジェクション攻撃

LFI: ローカル ファイル インクルージョン

規則 ID 説明
930100 パス トラバーサル攻撃 (/../)
930110 パス トラバーサル攻撃 (/../)
930120 OS ファイル アクセスの試行
930130 制限付きファイル アクセスの試行

RFI: リモート ファイル インクルージョン

規則 ID 説明
931100 リモート ファイル インクルージョン (RFI) 攻撃の可能性あり: IP アドレスを使用している URL パラメーター
931110 リモート ファイル インクルード (RFI) 攻撃の可能性あり: URL ペイロードと共に使用される一般的な RFI 脆弱性パラメーター名
931120 リモート ファイル インクルード (RFI) 攻撃の可能性あり: 末尾の疑問符 (?) と共に使用される URL ペイロード
931130 可能性のあるリモート ファイル インクルード (RFI) 攻撃: ドメイン外参照/リンク

RCE: リモート コマンド実行

規則 ID 説明
932100 リモート コマンド実行: UNIX コマンド インジェクション
932105 リモート コマンド実行: UNIX コマンド インジェクション
932110 リモート コマンド実行: Windows コマンド インジェクション
932115 リモート コマンド実行: Windows コマンド インジェクション
932120 リモート コマンド実行: Windows PowerShell コマンドが見つかりました
932130 リモート コマンド実行: Unix シェル式または Confluence の脆弱性 (CVE-2022-26134) が見つかりました
932140 リモート コマンド実行: Windows FOR/IF コマンドが見つかりました
932150 リモート コマンド実行: Unix コマンドの直接実行
932160 リモート コマンド実行: Unix シェル コードが見つかりました
932170 リモート コマンド実行: Shellshock (CVE-2014-6271)
932171 リモート コマンド実行: Shellshock (CVE-2014-6271)
932180 制限付きファイル アップロードの試行

PHP 攻撃

RuleId 説明
933100 PHP インジェクション攻撃: 開始または終了タグが見つかりました
933110 PHP インジェクション攻撃: PHP スクリプト ファイルのアップロードが見つかりました
933120 PHP インジェクション攻撃: 構成ディレクティブが見つかりました
933130 PHP インジェクション攻撃: 変数が見つかりました
933140 PHP インジェクション攻撃: I/O ストリームが見つかりました
933150 PHP インジェクション攻撃: 危険度の高い PHP 関数名が見つかりました
933151 PHP インジェクション攻撃: 危険度が中程度の PHP 関数名が見つかりました
933160 PHP インジェクション攻撃: 危険度の高い PHP 関数呼び出しが見つかりました
933170 PHP インジェクション攻撃: シリアル化されたオブジェクトの挿入
933180 PHP インジェクション攻撃: 可変関数呼び出しが見つかりました
933200 PHP インジェクション攻撃: ラッパー スキームが検出されました
933210 PHP インジェクション攻撃: 可変関数呼び出しが見つかりました

Node JS 攻撃

RuleId 説明
934100 Node.js インジェクション攻撃

XSS: クロスサイト スクリプティング

規則 ID 説明
941100 libinjection を通じて XSS 攻撃が検出されました
941101 libinjection を通じて XSS 攻撃が検出されました
ルールが Referer ヘッダを含む要求を検出します
941110 XSS フィルター - カテゴリ 1: スクリプト タグ ベクター
941120 XSS フィルター - カテゴリ 2: イベント ハンドラー ベクター
941130 XSS フィルター - カテゴリ 3: 属性ベクター
941140 XSS フィルター - カテゴリ 4: JavaScript URI ベクター
941150 XSS フィルター - カテゴリ 5: 許可されていない HTML 属性
941160 NoScript XSS InjectionChecker: HTML インジェクション
941170 NoScript XSS InjectionChecker: 属性インジェクション
941180 ノード検証コントロールのブロックリスト キーワード
941190 スタイル シートを使用する XSS
941200 VML フレームを使用する XSS
941210 難読化 JavaScript を使用する XSS
941220 難読化 VB Script を使用する XSS
941230 embed タグを使用した XSS
941240 import または implementation 属性を使用した XSS
941250 IE XSS フィルター - 攻撃が検出されました
941260 meta タグを使用した XSS
941270 link href を使用した XSS
941280 base タグを使用した XSS
941290 applet タグを使用した XSS
941300 object タグを使用した XSS
941310 US-ASCII 非整形式エンコード XSS フィルター - 攻撃が検出されました
941320 可能性のある XSS 攻撃が検出されました - HTML タグ ハンドラー
941330 IE XSS フィルター - 攻撃が検出されました
941340 IE XSS フィルター - 攻撃が検出されました
941350 UTF-7 エンコード IE XSS - 攻撃が検出されました
941360 JavaScript の難読化が検出されました
941370 JavaScript のグローバル変数が見つかりました
941380 AngularJS クライアント側テンプレート インジェクションが検出されました

SQLI: SQL インジェクション

規則 ID 説明
942100 libinjection を通じて SQL インジェクション攻撃が検出されました。
942110 SQL インジェクション攻撃: 一般的なインジェクション テストが検出されました。
942120 SQL インジェクション攻撃: SQL 演算子が検出されました。
942140 SQL インジェクション攻撃: 共通 DB 名が検出されました。
942150 SQL インジェクション攻撃。
942160 sleep() または benchmark() を使用して、ブラインド SQLI テストを検出します。
942170 条件付きクエリも含めて、SQL ベンチマークとスリープ インジェクション試行を検出します。
942180 基本的な SQL 認証のバイパスの試行 1/3 を検出します。
942190 MSSQL コード実行と情報収集の試行を検出します。
942200 MySQL コメント/スペース難読化インジェクションとバッククォートの終了を検出します。
942210 チェーンされた SQL インジェクション試行 1/2 を検出します。
942220 .整数オーバーフロー攻撃を探しています。これらは、skipfish から取得されます。ただし、3.0.00738585072007e-308 は "マジック番号" クラッシュであるため除きます。
942230 条件付き SQL インジェクション試行を検出します。
942240 MySQL 文字セット スイッチと MSSQL DoS 試行を検出します。
942250 MATCH AGAINST、MERGE、EXECUTE IMMEDIATE インジェクションを検出します。
942260 基本的な SQL 認証のバイパスの試行 2/3 を検出します。
942270 基本的な SQL インジェクションを探しています。 MySQL、Oracle などの共通攻撃文字列。
942280 Postgres pg_sleep インジェクション、wait for delay 攻撃、データベース シャットダウン試行を検出します。
942290 基本的な MongoDB SQL インジェクション試行を探します。
942300 MySQL コメント、条件、および ch(a)r インジェクションを検出します。
942310 チェーンされた SQL インジェクション試行 2/2 を検出します。
942320 MySQL および PostgreSQL ストアド プロシージャ/関数インジェクションを検出します。
942330 従来の SQL インジェクション プローブ 1/2 を検出します。
942340 基本的な SQL 認証のバイパスの試行 3/3 を検出します。
942350 MySQL UDF インジェクションと、その他のデータ/構造操作試行を検出します。
942360 連結された基本的な SQL インジェクションと SQLLFI 試行を検出します。
942361 キーワード alter または union に基づいて基本的な SQL インジェクションを検出します。
942370 従来の SQL インジェクション プローブ 2/2 を検出します。
942380 SQL インジェクション攻撃。
942390 SQL インジェクション攻撃。
942400 SQL インジェクション攻撃。
942410 SQL インジェクション攻撃。
942430 制限された SQL 文字の異常検出 (引数): 特殊文字数を超過しました (12)。
942440 SQL コメント シーケンスが検出されました。
942450 SQL 16 進数エンコードが識別されました。
942460 メタ文字の異常検出アラート - 反復する非単語文字。
942470 SQL インジェクション攻撃。
942480 SQL インジェクション攻撃。
942500 MySQL のインライン コメントが検出されました。
942510 ティックまたはバックティックによる SQLi バイパス試行が検出されました。

セッション固定

規則 ID 説明
943100 可能性のあるセッション固定攻撃: HTML への Cookie 値の設定
943110 可能性のあるセッション固定攻撃: SessionID パラメーター名とドメイン外参照元
943120 可能性のあるセッション固定攻撃: 参照元のない SessionID パラメーター名

Java 攻撃

RuleId 説明
944100 リモート コマンド実行: Apache Struts、Oracle WebLogic
944110 ペイロード実行の可能性を検出します
944120 可能性のあるペイロード実行とリモート コマンド実行
944130 不審な Java クラス
944200 Java 逆シリアル化 Apache Commons の悪用
944210 Java シリアル化の使用の可能性
944240 リモート コマンド実行: Java シリアル化と Log4j の脆弱性 (CVE-2021-44228CVE-2021-45046)
944250 リモート コマンド実行: 疑わしい Java メソッドが検出されました

MS-ThreatIntel-WebShells

RuleId 説明
99005002 Web シェル相互作用の試行 (POST)
99005003 Web シェル アップロードの試行 (POST) - CHOPPER PHP
99005004 Web シェル アップロードの試行 (POST) - CHOPPER ASPX
99005005 Web シェル相互作用の試行
99005006 Spring4Shell 相互作用の試行

MS-ThreatIntel-AppSec

RuleId 説明
99030001 ヘッダーでのパス トラバーサル回避 (/.././../)
99030002 要求本文でのパス トラバーサル回避 (/.././../)

MS-ThreatIntel-SQLI

RuleId 説明
99031001 SQL インジェクション攻撃:一般的なインジェクション テストが検出されました
99031002 SQL コメント シーケンスが検出されました
99031003 SQL インジェクション攻撃
99031004 基本的な SQL 認証のバイパスの試行 2/3 を検出します

MS-ThreatIntel-CVEs

RuleId 説明
99001001 既知の資格情報で F5 tmui (CVE-2020-5902) REST API の悪用が試みられました
99001002 Citrix NSC_USER のディレクトリ トラバーサル CVE-2019-19781 が試行されました
99001003 Atlassian Confluence Widget Connector の悪用 CVE-2019-3396 が試みられました
99001004 Pulse Secure カスタム テンプレートの悪用 CVE-2020-8243 が試みられました
99001005 SharePoint 型コンバーターの悪用 CVE-2020-0932 が試みられました
99001006 Pulse Connect のディレクトリ トラバーサル CVE-2019-11510 が試行されました
99001007 Junos OS J-Web ローカル ファイル インクルージョン CVE-2020-1631 が試行されました
99001008 Fortinet のパス トラバーサル CVE-2018-13379 が試行されました
99001009 Apache Struts の ognl インジェクション CVE-2017-5638 が試行されました
99001010 Apache Struts の ognl インジェクション CVE-2017-12611 が試行されました
99001011 Oracle WebLogic のパス トラバーサル CVE-2020-14882 が試行されました
99001012 Telerik WebUI の安全でない逆シリアル化の悪用 CVE-2019-18935 が試みられました
99001013 SharePoint の安全でない XML 逆シリアル化 CVE-2019-0604 が試みられました
99001014 Spring Cloud ルーティング式インジェクション CVE-2022-22963 が試みられました
99001015 Spring Framework の安全でないクラス オブジェクトの悪用 CVE-2022-22965 が試みられました
99001016 Spring Cloud Gateway Actuator インジェクション CVE-2022-22947 が試みられました
99001017 Apache Struts ファイル アップロードの悪用が試みられました CVE-2023-50164

Note

WAF のログを確認すると、ルール ID 949110 が見つかることがあります。 この規則の説明には、"Inbound Anomaly Score Exceeded" (受信異常スコア超過) が含まれている場合があります。

この規則は、要求の合計異常スコアが最大許容スコアを超えたことを示しています。 詳細については、異常スコアリングに関する記事を参照してください。

WAF ポリシーを調整するときは、WAF の構成を調整できるように、要求によってトリガーされた他の規則を調べる必要があります。 詳細については、「Azure Front Door 向け Azure Web Application Firewall (WAF) を調整する」を参照してください。

次のステップ