Groupes de règles DRS Web Application Firewall et règles

Azure Web Application Firewall sur Azure Front Door protège les applications Web contre les vulnérabilités et les exploits courants. Les ensembles de règles managées par Azure fournissent un moyen simple de déployer une solution de protection contre diverses menaces de sécurité courantes. Comme Azure gère ces ensembles de règles, celles-ci sont mises à jour si nécessaire pour assurer la protection contre les nouvelles signatures d'attaques.

L'ensemble de règles par défaut (Data Replication Service) comprend également les règles Microsoft Threat Intelligence Collection écrites en partenariat avec l'équipe Microsoft Intelligence pour fournir une couverture accrue, des correctifs pour des vulnérabilités spécifiques et une meilleure réduction des faux positifs.

Remarque

Lorsqu'une version d'un ensemble de règles est modifiée dans une stratégie WAF, toutes les personnalisations existantes que vous avez apportées à votre ensemble de règles seront réinitialisées aux valeurs par défaut du nouvel ensemble de règles. Voyez : Mise à niveau ou modification de la version du jeu de règles.

Ensembles de règles par défaut

Le Data Replication Service géré par Azure inclut des règles contre les catégories de menaces suivantes :

  • Scripts intersites (XSS)
  • Attaques Java
  • Inclusion de fichier local (LFI)
  • Injection de code PHP
  • Exécution de commande à distance
  • Inclusion de fichier distant (RFI)
  • Fixation de session
  • Protection contre les injections de code SQL
  • Attaquants de protocole

Le numéro de version de l’ensemble de règles par défaut (DRS) s’incrémente quand de nouvelles signatures d’attaque sont ajoutées à l’ensemble de règles.

Le DRS est activé par défaut en mode détection dans vos stratégies de pare-feu d’applications web (WAF). Vous pouvez désactiver ou activer des règles individuelles dans le Data Replication Service pour répondre aux exigences de votre application. Vous pouvez également définir des actions spécifiques par règle. Les actions disponibles sont : Autoriser, Bloquer, Journaliser et Rediriger.

Parfois, vous devrez peut-être omettre certains attributs de requête lors d'une évaluation de pare-feu d'application Web (WAF). Les jetons insérés par Active Directory qui sont utilisés pour l’authentification en sont un exemple courant. Vous pouvez configurer une liste d'exclusion pour une règle gérée, un groupe de règles ou l'ensemble des règles. Pour plus d’informations, consultez Azure Web Application Firewall sur les listes d’exclusion Azure Front Door.

Par défaut, les versions 2.0 et supérieures de Data Replication Service utilisent le score d'anomalie lorsqu'une requête correspond à une règle. Les versions Data Replication Service antérieures à 2.0 bloquent les requêtes qui déclenchent les règles. En outre, des règles personnalisées peuvent être configurées dans la même stratégie WAF si vous souhaitez contourner l'une des règles préconfigurées dans le Data Replication Service.

Les règles personnalisées sont toujours appliquées avant que les règles du Data Replication Service ne soient évaluées. Si une demande correspond à une règle personnalisée, l’action de la règle correspondante est appliquée. La demande est bloquée ou transmise au back-end. Aucune autre règle personnalisée ni les règles du Data Replication Service ne sont traitées. Vous pouvez également supprimer le Data Replication Service de vos stratégies WAF.

Règles de collecte de Microsoft Threat Intelligence

Les règles de collecte de Microsoft Threat Intelligence sont écrites en partenariat avec l’équipe Microsoft Threat Intelligence, afin de fournir une couverture accrue, des correctifs pour des vulnérabilités spécifiques et une meilleure réduction des faux positifs.

Par défaut, les règles Microsoft Threat Intelligence Collection remplacent certaines des règles Data Replication Service intégrées, ce qui entraîne leur désactivation. Par exemple, l’ID de règle 942440, SQL Comment Sequence Detected, a été désactivé et remplacé par la règle Microsoft Threat Intelligence Collection 99031002. La règle remplacée réduit le risque de détections de faux positifs à partir de requêtes légitimes.

Scoring d’anomalie

Lorsque vous utilisez DRS 2.0 ou version ultérieure, votre WAF utilise un scoring d’anomalie. Le trafic correspondant à une règle n’est pas immédiatement bloqué, même lorsque votre WAF est en mode prévention. Au lieu de cela, les ensembles de règles OWASP définissent une gravité pour chaque règle : Critique, Erreur, Avertissement ou Avis. La gravité affecte à la requête une valeur numérique appelée score d’anomalie. Si une requête accumule un score d’anomalie de 5 ou plus, le WAF prend des mesures concernant la demande.

Gravité des règles Valeur contribuant au score de l’anomalie
Critique 5
Error 4
Avertissement 3
Avis 2

Lorsque vous configurez votre WAF, vous pouvez décider de la façon dont le WAF gère les demandes qui dépassent le seuil de score d’anomalie de 5. Les trois options d'action de score d'anomalie sont Bloquer, Consigner ou Redirection. L'action de score d'anomalie que vous sélectionnez au moment de la configuration est appliquée à toutes les demandes qui dépassent le seuil de score d'anomalie.

Par exemple, si le score d'anomalie est de 5 ou plus sur une requête et que le WAF est en mode Prévention avec l'action de score d'anomalie définie sur Bloquer, la requête est bloquée. Si le score d’anomalie est supérieur ou égal à 5 sur une requête et que le WAF est en mode de détection, la requête est journalisée mais pas bloquée.

Une seule correspondance de règle Critique suffit au WAF pour bloquer une requête en mode Prévention avec l'action de score d'anomalie définie sur Bloquer, car le score d'anomalie global est de 5. En revanche, une correspondance de règle Avertissement n’augmente le score d’anomalie que de 3, ce qui est insuffisant en soi pour bloquer le trafic. Lorsqu'une règle d'anomalie est déclenchée, elle affiche une action « correspondante » dans les journaux. Si le score d'anomalie est de 5 ou plus, une règle distincte est déclenchée avec l'action de score d'anomalie configurée pour l'ensemble de règles. L'action de score d'anomalie par défaut est Bloquer, ce qui entraîne une entrée de journal avec l'action blocked.

Lorsque votre WAF utilise une ancienne version du jeu de règles par défaut (avant Data Replication Service 2.0), votre WAF s'exécute en mode traditionnel. Le trafic correspondant à une règle quelconque est considéré indépendamment de toute autre correspondance de règle. En mode traditionnel, vous n’avez pas de visibilité de l’ensemble complet de règles auxquelles correspond une requête spécifique.

La version du RDS que vous utilisez détermine également les types de contenus pris en charge pour l’inspection du corps de requête. Pour plus d’informations, consultez la rubrique Quels types de contenu le pare-feu d’applications web (WAF) prend-il en charge ? dans le FAQ.

Mise à niveau ou modification de la version du jeu de règles

Si vous effectuez une mise à niveau ou attribuez une nouvelle version d'ensemble de règles et souhaitez conserver les remplacements et exclusions de règles existants, il est recommandé d'utiliser PowerShell, CLI, REST API ou des modèles pour apporter des modifications à la version d'ensemble de règles. Une nouvelle version d'un ensemble de règles peut contenir des règles plus récentes, des groupes de règles supplémentaires et des mises à jour des signatures existantes pour renforcer la sécurité et réduire les faux positifs. Il est recommandé de valider les modifications dans un environnement de test, d'affiner si nécessaire, puis de déployer dans un environnement de production.

Remarque

Si vous utilisez le Portail Microsoft Azure pour affecter un nouvel ensemble de règles gérées à une stratégie WAF, toutes les personnalisations précédentes de l’ensemble de règles gérées existant, telles que l’état de la règle, les actions de règle et les exclusions de niveau de règle, seront réinitialisées sur les valeurs par défaut du nouvel ensemble de règles gérées. Toutefois, toutes les règles personnalisées ou les paramètres de stratégie resteront inchangés lors de l’attribution du nouvel ensemble de règles. Vous devrez redéfinir les remplacements de règles et valider les modifications avant le déploiement dans un environnement de production.

DRS 2.1

Les règles DRS 2.1 offrent une meilleure protection que les versions antérieures de DRS. Il comprend d'autres règles développées par l'équipe Microsoft Threat Intelligence et des mises à jour des signatures pour réduire les faux positifs. Il prend également en charge les transformations au-delà du simple décodage d’URL.

DRS 2.1 inclut 17 groupes de règles, comme le montre le tableau suivant. Chaque groupe contient plusieurs règles et vous pouvez personnaliser le comportement de règles individuelles, de groupes de règles ou d'un ensemble de règles complet. DRS 2.1 est basé sur l'ensemble de règles de base (CRS) 3.3.2 de l'Open Web Application Security Project (OWASP) et inclut des règles de protection propriétaires supplémentaires développées par l'équipe Microsoft Threat Intelligence.

Pour plus d’informations, consultez Paramétrage du pare-feu d’applications web (WAF) pour Azure Front Door.

Notes

DRS 2.1 est disponible uniquement dans Azure Front Door Premium.

Groupe de règles ruleGroupName Description
Général Général Groupe général
METHOD-ENFORCEMENT METHOD-ENFORCEMENT Verrouiller les méthodes (PUT, PATCH)
PROTOCOL-ENFORCEMENT PROTOCOL-ENFORCEMENT Protéger contre les problèmes de protocole et d’encodage.
PROTOCOL-ATTACK PROTOCOL-ATTACK Protéger contre les attaques par injection d’en-tête, dissimulation de requête et fractionnement de réponse.
APPLICATION-ATTACK-LFI LFI Protéger contre les attaques par fichier et chemin d’accès.
APPLICATION-ATTACK-RFI RFI Protéger contre les attaques par inclusion de fichier distant (RFI)
APPLICATION-ATTACK-RCE RCE Protéger contre les attaques par exécution de code à distance.
APPLICATION-ATTACK-PHP PHP Protéger contre les attaques par injection de code PHP.
APPLICATION-ATTACK-NodeJS NODEJS Protéger contre les attaques Node JS
APPLICATION-ATTACK-XSS XSS Protéger contre les attaques par exécution de scripts de site à site.
APPLICATION-ATTACK-SQLI SQLI Protéger contre les attaques par injection de code SQL.
APPLICATION-ATTACK-SESSION-FIXATION FIX Protéger contre les attaques par fixation de session.
APPLICATION-ATTACK-SESSION-JAVA JAVA Protéger contre les attaques JAVA
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Protéger contre les attaques par l’interpréteur de commandes web
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec Protéger contre les attaques par AppSec
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI Protéger contre les attaques par SQLI
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs Protéger contre les attaques par CVE

Règles désactivées

Les règles suivantes sont désactivées par défaut pour Data Replication Service 2.1.

Identificateur de la règle Groupe de règles Description Détails
942110 SQLI Attaque par injection de code SQL : Test d’injection commune détecté Remplacé par la règle MSTIC 99031001
942150 SQLI Attaque par injection de code SQL Remplacé par la règle MSTIC 99031003
942260 SQLI Détecte les tentatives de contournement d’authentification SQL de base 2/3 Remplacé par la règle MSTIC 99031004
942430 SQLI Détection restreinte d’anomalies de caractères SQL (args) : nombre de caractères spéciaux dépassés (12) Le nombre de faux positifs est trop élevé.
942440 SQLI Séquence de commentaire SQL détectée Remplacé par la règle MSTIC 99031002
99005006 MS-ThreatIntel-WebShells Tentative d’interaction Spring4Shell Activer la règle pour empêcher la vulnérabilité SpringShell
99001014 MS-ThreatIntel-CVEs Tentative d’injection d’expression de routage Spring Cloud CVE-2022-22963 Activer la règle pour empêcher la vulnérabilité SpringShell
99001015 MS-ThreatIntel-WebShells Tentative d’exploitation d’objets de classe non sécurisée Spring Framework CVE-2022-22965 Activer la règle pour empêcher la vulnérabilité SpringShell
99001016 MS-ThreatIntel-WebShells Tentative d’injection d’actionneur Spring Cloud Gateway CVE-2022-22947 Activer la règle pour empêcher la vulnérabilité SpringShell
99001017 MS-ThreatIntel-CVEs Tentative d'exploitation du téléchargement de fichiers Apache Struts CVE-2023-50164. Activer la règle pour prévenir la vulnérabilité Apache Struts

DRS 2.0

Les règles DRS 2.0 offrent une meilleure protection que les versions antérieures du Data Replication Service. Data Replication Service 2.0 prend également en charge les transformations au-delà du simple décodage d'URL.

DRS 2.0 inclut 17 groupes de règles, comme illustré dans le tableau suivant. Chaque groupe contient plusieurs règles. Vous pouvez désactiver des règles individuelles et des groupes de règles entiers.

Remarque

DRS 2.0 est disponible uniquement sur Azure Front Door Premium.

Groupe de règles ruleGroupName Description
Général Général Groupe général
METHOD-ENFORCEMENT METHOD-ENFORCEMENT Verrouiller les méthodes (PUT, PATCH)
PROTOCOL-ENFORCEMENT PROTOCOL-ENFORCEMENT Protéger contre les problèmes de protocole et d’encodage.
PROTOCOL-ATTACK PROTOCOL-ATTACK Protéger contre les attaques par injection d’en-tête, dissimulation de requête et fractionnement de réponse.
APPLICATION-ATTACK-LFI LFI Protéger contre les attaques par fichier et chemin d’accès.
APPLICATION-ATTACK-RFI RFI Protéger contre les attaques par inclusion de fichier distant (RFI)
APPLICATION-ATTACK-RCE RCE Protéger contre les attaques par exécution de code à distance.
APPLICATION-ATTACK-PHP PHP Protéger contre les attaques par injection de code PHP.
APPLICATION-ATTACK-NodeJS NODEJS Protéger contre les attaques Node JS
APPLICATION-ATTACK-XSS XSS Protéger contre les attaques par exécution de scripts de site à site.
APPLICATION-ATTACK-SQLI SQLI Protéger contre les attaques par injection de code SQL.
APPLICATION-ATTACK-SESSION-FIXATION FIX Protéger contre les attaques par fixation de session.
APPLICATION-ATTACK-SESSION-JAVA JAVA Protéger contre les attaques JAVA
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Protéger contre les attaques par l’interpréteur de commandes web
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec Protéger contre les attaques par AppSec
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI Protéger contre les attaques par SQLI
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs Protéger contre les attaques par CVE

DRS 1.1

Groupe de règles ruleGroupName Description
PROTOCOL-ATTACK PROTOCOL-ATTACK Protéger contre les attaques par injection d’en-tête, dissimulation de requête et fractionnement de réponse.
APPLICATION-ATTACK-LFI LFI Protéger contre les attaques par fichier et chemin d’accès.
APPLICATION-ATTACK-RFI RFI Protection contre les attaques par inclusion de fichier distant (RFI)
APPLICATION-ATTACK-RCE RCE Protection contre l’exécution de commandes à distance
APPLICATION-ATTACK-PHP PHP Protéger contre les attaques par injection de code PHP.
APPLICATION-ATTACK-XSS XSS Protéger contre les attaques par exécution de scripts de site à site.
APPLICATION-ATTACK-SQLI SQLI Protéger contre les attaques par injection de code SQL.
APPLICATION-ATTACK-SESSION-FIXATION FIX Protéger contre les attaques par fixation de session.
APPLICATION-ATTACK-SESSION-JAVA JAVA Protéger contre les attaques JAVA
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Protéger contre les attaques par l’interpréteur de commandes web
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec Protéger contre les attaques par AppSec
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI Protéger contre les attaques par SQLI
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs Protéger contre les attaques par CVE

DRS 1.0

Groupe de règles ruleGroupName Description
PROTOCOL-ATTACK PROTOCOL-ATTACK Protéger contre les attaques par injection d’en-tête, dissimulation de requête et fractionnement de réponse.
APPLICATION-ATTACK-LFI LFI Protéger contre les attaques par fichier et chemin d’accès.
APPLICATION-ATTACK-RFI RFI Protection contre les attaques par inclusion de fichier distant (RFI)
APPLICATION-ATTACK-RCE RCE Protection contre l’exécution de commandes à distance
APPLICATION-ATTACK-PHP PHP Protéger contre les attaques par injection de code PHP.
APPLICATION-ATTACK-XSS XSS Protéger contre les attaques par exécution de scripts de site à site.
APPLICATION-ATTACK-SQLI SQLI Protéger contre les attaques par injection de code SQL.
APPLICATION-ATTACK-SESSION-FIXATION FIX Protéger contre les attaques par fixation de session.
APPLICATION-ATTACK-SESSION-JAVA JAVA Protéger contre les attaques JAVA
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Protéger contre les attaques par l’interpréteur de commandes web
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs Protéger contre les attaques par CVE

Bot Manager 1.0

L’ensemble de règles de Bot Manager 1.0 offre une protection contre les bots malveillants et permet de détecter les bons bots. Les règles fournissent un contrôle granulaire sur les bots détectés par WAF en classant les bots dans les catégories suivantes selon leur trafic : bon (Good), mauvais (Bad) ou inconnu (Unknown).

Groupe de règles Description
BadBots Protection contre les bots malveillants
GoodBots Identification des bots bienveillants
UnknownBots Identification des bots inconnus

Bot Manager 1.1

L’ensemble de règles de Bot Manager 1.1 améliore l’ensemble de règles de Bot Manager 1.0. Il offre une protection renforcée contre les bots malveillants et une meilleure détection des bons bots.

Groupe de règles Description
BadBots Protection contre les bots malveillants
GoodBots Identification des bots bienveillants
UnknownBots Identification des bots inconnus

Les groupes de règles et règles suivants sont disponibles lorsque vous utilisez Azure Web Application Firewall sur Azure Front Door.

Ensembles de règles 2.1

Général

ID de la règle Description
200002 Échec de l’analyse du corps de la requête
200003 Échec de la validation stricte du corps de la requête à parties multiples

Application des méthodes

ID de la règle Description
911100 La méthode n’est pas autorisée par la stratégie

Mise en application de protocole

ID de la règle Description
920100 Ligne de requête HTTP non valide.
920120 Tentative de contournement des données multiparts/formulaires.
920121 Tentative de contournement des données multiparts/formulaires.
920160 L’en-tête HTTP Content-Length n’est pas numérique.
920170 Requête GET ou HEAD avec contenu du corps.
920171 Requête GET ou HEAD avec Transfer-Encoding.
920180 En-tête Content-Length manquant dans la requête POST.
920181 Les en-têtes Content-Length et Transfer-Encoding présentent 99001003.
920190 Plage : dernière valeur d’octet non valide.
920200 Plage : trop de champs (6 ou plus).
920201 Plage : Trop de champs pour la requête PDF (35 ou plus).
920210 Détection de données d’en-tête de connexion en conflit/multiples.
920220 Tentative d’attaque abusive d’encodage d’URL.
920230 Encodage d'URL multiples détecté.
920240 Tentative d’attaque abusive d’encodage d’URL.
920260 Tentative d'attaque abusive Unicode pleine/demi-largeur.
920270 Caractère non valide dans la requête (caractère null).
920271 Caractère invalide dans la requête (caractères non imprimables).
920280 Demander l’absence d’un en-tête d’hôte.
920290 En-tête d'hôte vide.
920300 Demander l’absence d’un en-tête Accept.
920310 La requête a un en-tête d’acceptation vide.
920311 La requête a un en-tête d’acceptation vide.
920320 En-tête de l'agent utilisateur manquant.
920330 En-tête de l'agent utilisateur vide.
920340 Requête contenant du contenu, mais en-tête Content-Type manquant.
920341 La requête contenant du contenu nécessite un en-tête Content-Type.
920350 L'en-tête de l'hôte est une adresse IP numérique.
920420 Le type de contenu de la requête n’est pas autorisé par la stratégie.
920430 La version du protocole HTTP n’est pas autorisée par la stratégie.
920440 L’extension de fichier URL est limitée par la stratégie.
920450 L’en-tête HTTP est limité par la stratégie.
920470 En-tête Content-Type illégal.
920480 L’ensemble de caractères de type de contenu de requête n’est pas autorisé par la stratégie.
920500 Essayez d’accéder à une sauvegarde ou à un fichier de travail.

Attaque de protocole

ID de la règle Description
921110 Attaque par dissimulation de requête HTTP
921120 Attaque par fractionnement de réponse HTTP
921130 Attaque par fractionnement de réponse HTTP
921140 Attaque par injection d’en-tête HTTP via les en-têtes
921150 Attaque par injection d’en-tête HTTP via la charge utile (CR/LF détecté)
921151 Attaque par injection d’en-tête HTTP via la charge utile (CR/LF détecté)
921160 Attaque par injection d’en-tête HTTP via la charge utile (CR/LF et nom d’en-tête détecté)
921190 Fractionnement HTTP (CR/LF détecté dans le nom de fichier de demande)
921200 Attaque par injection de code LDAP

LFI : Inclusion de fichier local

ID de la règle Description
930100 Attaque par traversée de chemin (/../)
930110 Attaque par traversée de chemin (/../)
930120 Tentative d’accès au fichier du système d’exploitation
930130 Tentative d’accès au fichier restreint

RFI : Inclusion de fichiers distants

ID de la règle Description
931100 Attaque RFI (Remote File Inclusion) possible : paramètre d’URL à l’aide de l’adresse IP
931110 Attaque possible par inclusion de fichier distant (RFI) : nom de paramètre vulnérable RFI commun utilisé avec la charge utile URL
931120 Attaque possible par inclusion de fichier distant : charge utile URL utilisée avec caractère point d’interrogation de fin (?)
931130 Attaque possible par inclusion de fichier distant : Référence/Lien hors domaine

RCE : Exécution de commande à distance

ID de la règle Description
932100 Exécution de commande à distance : Injection de commande Unix
932105 Exécution de commande à distance : Injection de commande Unix
932110 Exécution de commande à distance : Injection de commande Windows
932115 Exécution de commande à distance : Injection de commande Windows
932120 Exécution de commande à distance : commande Windows PowerShell détectée
932130 Exécution de commandes distantes : Vulnérabilité d’expression ou de confluence du shell Unix(CVE-2022-26134) trouvée
932140 Exécution de commande à distance : commande Windows FOR/IF détectée
932150 Exécution de commande à distance : Exécution de commande UNIX directe
932160 Exécution de commande à distance : code de l’interpréteur de commandes Unix détecté
932170 Exécution de commande à distance : Shellshock (CVE-2014-6271)
932171 Exécution de commande à distance : Shellshock (CVE-2014-6271)
932180 Tentative de chargement de fichier limitée

Attaques PHP

ID de la règle Description
933100 Attaque par injection de code PHP : balise d’ouverture/fermeture détectée
933110 Attaque par injection de code PHP : Chargement de fichier de script PHP détecté
933120 Attaque par injection de code PHP : directive de configuration détectée
933130 Attaque par injection de code PHP : Variables détectées
933140 Attaque par injection de code PHP : Flux d’E/S détecté
933150 Attaque par injection de code PHP : nom de fonction PHP à risque élevé détecté
933151 Attaque par injection de code PHP : Nom de fonction PHP à risque moyen détecté
933160 Attaque par injection de code PHP : appel de fonction PHP à risque élevé détecté
933170 Attaque par injection de code PHP : Injection d’objet sérialisé
933180 Attaque par injection de code PHP : appel de fonction variable détecté
933200 Attaque par injection de code PHP : schéma de wrapper détecté
933210 Attaque par injection de code PHP : appel de fonction variable détecté

Attaques JS de nœud

ID de la règle Description
934100 Attaque par injection de code Node.js

XSS : script intersites

ID de la règle Description
941100 Attaque XSS détectée via libinjection
941101 Attaque XSS détectée via libinjection
La règle détecte les requêtes avec un en-tête Referer
941110 Filtre XSS - Catégorie 1 : vecteur de balise de script
941120 Filtre XSS - Catégorie 2 : vecteur de gestionnaire d’événements
941130 Filtre XSS - Catégorie 3 : vecteur d’attribut
941140 Filtre XSS - Catégorie 4 : vecteur URI JavaScript
941150 Filtre XSS - Catégorie 5 : attributs HTML non autorisés
941160 NoScript XSS InjectionChecker : Injection de code HTML
941170 NoScript XSS InjectionChecker : Injection d’attribut
941180 Mots clés de la liste de refus du validateur de nœuds
941190 XSS utilisant des feuilles de style
941200 XSS utilisant des frames VML
941210 XSS utilisant du JavaScript obfusqué
941220 XSS utilisant du VB Script obfusqué
941230 XSS utilisant embed balise
941240 XSS utilisant import ou attribut implementation
941250 Filtre XSS IE - Attaque détectée
941260 XSS utilisant meta balise
941270 XSS utilisant link href
941280 XSS utilisant base balise
941290 XSS utilisant applet balise
941300 XSS utilisant object balise
941310 Filtre XSS d’encodage mal formé US-ASCII – Attaque détectée
941320 Possible attaque XSS détectée - Gestionnaire de balise HTML
941330 Filtre XSS IE - Attaque détectée
941340 Filtre XSS IE - Attaque détectée
941350 Encodage UTF-7 IE XSS – Attaque détectée
941360 Obfuscation JavaScript détectée
941370 Variable globale JavaScript détectée
941380 Injection de modèle côté client AngularJS détectée

SQLI : injection SQL

ID de la règle Description
942100 Attaque par injection SQL détectée via libinjection.
942110 Attaque par injection SQL : test d’injection courant détecté.
942120 Attaque par injection SQL : opérateur SQL détecté.
942140 Attaque par injection SQL : noms de base de données courants détectés.
942150 Attaque par injection de code SQL.
942160 Détecte les tests SQLI aveugles à l’aide de sleep() ou de benchmark().
942170 Détecte les tentatives de test SQL et d’injection de veille, y compris les requêtes conditionnelles.
942180 Détecte les tentatives de contournement d’authentification SQL de base 1/3.
942190 Détecte l’exécution du code MSSQL et les tentatives de collecte d’informations.
942200 Détecte les injections MySQL obscurcies par les commentaires/espaces et les terminaisons de backtick.
942210 Détecte les tentatives d’injection SQL chaînées 1/2.
942220 À la recherche d'attaques par débordement d'entier, celles-ci proviennent de skipfish, sauf que 3.0.00738585072007e-308 est le crash du "nombre magique".
942230 Détecte les tentatives d’injection SQL conditionnelles.
942240 Détecte le changement de jeu de caractères MySQL et les tentatives MSSQL DoS.
942250 Détecte les injections MATCH CONTRE, MERGE et EXECUTE IMMÉDIATE.
942260 Détecte les tentatives de contournement de l’authentification SQL de base 2/3.
942270 Recherche d’injection SQL de base. Chaîne d'attaque courante pour MySQL, Oracle et autres.
942280 Détecte l'injection Postgres pg_sleep, attend les attaques par retard et les tentatives d'arrêt de la base de données.
942290 Recherche les tentatives d'injection SQL MongoDB de base.
942300 Détecte les commentaires MySQL, les conditions et les injections ch(a)r.
942310 Détecte les tentatives d’injection SQL chaînées 2/2.
942320 Détecte les injections de procédures stockées/de fonction MySQL et PostgreSQL.
942330 Détecte les détections d’injection SQL classiques 1/2.
942340 Détecte les tentatives de contournement de l’authentification SQL de base 3/3.
942350 Détecte l’injection UDF MySQL et d’autres tentatives de manipulation de données/structure.
942360 Détecte les injections SQL de base concaténées et les tentatives SQLLFI.
942361 Détecte l’injection SQL de base basée sur le mot clé alter ou l’union.
942370 Détecte les détections classiques d’injection SQL 2/2.
942380 Attaque par injection de code SQL.
942390 Attaque par injection de code SQL.
942400 Attaque par injection de code SQL.
942410 Attaque par injection de code SQL.
942430 Détection restreinte des anomalies de caractères SQL (arguments) : nombre de caractères spéciaux dépassés (12).
942440 Séquence de commentaire SQL détectée.
942450 Encodage hexadécimal SQL identifié.
942460 Alerte de détection d'anomalies de méta-caractères – Caractères non-verbaux répétitifs.
942470 Attaque par injection de code SQL.
942480 Attaque par injection de code SQL.
942500 Commentaire en ligne MySQL détecté.
942510 Tentative de contournement SQLi par apostrophes ou apostrophes inversées détectée.

Fixation de session

ID de la règle Description
943100 Attaque possible par fixation de session : définition de valeurs de cookies en HTML
943110 Attaque possible par fixation de session : nom du paramètre SessionID avec référent hors domaine
943120 Attaque possible par fixation de session : nom du paramètre SessionID sans référent

Attaques Java

ID de la règle Description
944100 Exécution de commande à distance : Apache Struts, Oracle WebLogic
944110 Détecte l’exécution de charge utile potentielle
944120 Exécution de charge utile et de commande à distance possible
944130 Classes Java suspectes
944200 Exploitation de la désérialisation Java Apache Commons
944210 Utilisation possible de la sérialisation Java
944240 Exécution de commande à distance : sérialisation Java et vulnérabilité Log4j (CVE-2021-44228, CVE-2021-45046)
944250 Exécution de commande à distance : méthode Java suspecte détectée

MS-ThreatIntel-WebShells

ID de la règle Description
99005002 Tentative d’interaction avec l’interpréteur de commandes web (POST)
99005003 Tentative de chargement de l’interpréteur de commandes web (POST) - CHOPPER PHP
99005004 Tentative de chargement de l’interpréteur de commandes web (POST) - CHOPPER ASPX
99005005 Tentative d’interaction avec l’interpréteur de commandes web
99005006 Tentative d’interaction Spring4Shell

MS-ThreatIntel-AppSec

ID de la règle Description
99030001 Esquive par traversée de chemin dans les en-têtes (/.././../)
99030002 Esquive par traversée de chemin dans le corps de requête (/.././../)

MS-ThreatIntel-SQLI

ID de la règle Description
99031001 Attaque par injection de code SQL : Test d’injection commune détecté
99031002 Séquence de commentaire SQL détectée
99031003 Attaque par injection de code SQL
99031004 Détecte les tentatives de contournement d’authentification SQL de base 2/3

MS-ThreatIntel-CVEs

ID de la règle Description
99001001 Tentative d’exploitation de l’API REST F5 (CVE-2020-5902) avec des informations d’identification connues
99001002 Tentative d’attaque par traversée de répertoire Citrix NSC_USER CVE-2019-19781
99001003 Tentative d’exploitation du connecteur de widget Atlassian Confluence CVE-2019-3396
99001004 Tentative d’exploitation de modèle personnalisé Pulse Secure CVE-2020-8243
99001005 Tentative d’exploitation du convertisseur de type SharePoint CVE-2020-0932
99001006 Tentative d’attaque par traversée de répertoire Pulse Connect CVE-2019-11510
99001007 Tentative d’inclusion de fichier local Junos OS J-Web CVE-2020-1631
99001008 Tentative d’attaque par traversée de chemin Fortinet CVE-2018-13379
99001009 Tentative d’injection Apache struts ognl CVE-2017-5638
99001010 Tentative d’injection Apache struts ognl CVE-2017-12611
99001011 Tentative d’attaque par traversée de chemin Oracle WebLogic CVE-2020-14882
99001012 Tentative d’exploitation de désérialisation non sécurisée de Telerik WebUI CVE-2019-18935
99001013 Tentative de désérialisation XML non sécurisée de SharePoint CVE-2019-0604
99001014 Tentative d’injection d’expression de routage Spring Cloud CVE-2022-22963
99001015 Tentative d’exploitation d’objets de classe non sécurisée Spring Framework CVE-2022-22965
99001016 Tentative d’injection d’actionneur Spring Cloud Gateway CVE-2022-22947
99001017 Tentative d’exploitation du chargement de fichiers Apache Struts CVE-2023-50164

Remarque

Lorsque vous passez en revue les journaux de votre WAF, vous pouvez voir l’ID de règle 949110. La description de la règle pourrait indiquer que le score d’anomalies entrantes a été dépassé.

Cette règle indique que le score de total d’anomalies pour la requête a dépassé le score maximal autorisé. Pour plus d’informations, consultez Scoring d’anomalie.

Lorsque vous ajustez vos stratégies WAF, vous devez examiner les autres règles déclenchées par la requête afin de pouvoir ajuster la configuration de votre WAF. Pour plus d’informations, consultez Réglage du Azure Web Application Firewall pour Azure Front Door.

Étapes suivantes