Regras e grupos de regras do DRS da Firewall de Aplicações Web
O Firewall de Aplicativo Web do Azure no Azure Front Door protege aplicativos Web contra vulnerabilidades e explorações comuns. Os conjuntos de regras gerenciados pelo Azure fornecem uma maneira fácil de implantar proteção contra um conjunto comum de ameaças à segurança. Como o Azure gerencia esses conjuntos de regras, as regras são atualizadas conforme necessário para proteger contra novas assinaturas de ataque.
O Conjunto de Regras Padrão (DRS) também inclui as regras de Coleta de Inteligência de Ameaças da Microsoft que são escritas em parceria com a equipe de Inteligência da Microsoft para fornecer maior cobertura, patches para vulnerabilidades específicas e melhor redução de falsos positivos.
Nota
Quando uma versão do conjunto de regras é alterada em uma Política WAF, todas as personalizações existentes feitas no conjunto de regras serão redefinidas para os padrões do novo conjunto de regras. Consulte: Atualizando ou alterando a versão do conjunto de regras.
Conjuntos de regras padrão
O DRS gerenciado pelo Azure inclui regras contra as seguintes categorias de ameaça:
- Scripting entre sites
- Ataques Java
- Inclusão de ficheiro local
- Ataques de injeção PHP
- Execução remota de comandos
- Inclusão de ficheiro remoto
- Fixação de sessão
- Proteção contra injeção de SQL
- Atacantes de protocolo
O número da versão do DRS é incrementado quando novas assinaturas de ataque são adicionadas ao conjunto de regras.
O DRS está habilitado por padrão no modo de deteção em suas políticas WAF. Você pode desabilitar ou habilitar regras individuais dentro do DRS para atender aos requisitos do seu aplicativo. Você também pode definir ações específicas por regra. As ações disponíveis são Permitir, Bloquear, Registrar e Redirecionar.
Às vezes, talvez seja necessário omitir determinados atributos de solicitação de uma avaliação de firewall de aplicativo Web (WAF). Um exemplo comum são os tokens inseridos no Ative Directory que são usados para autenticação. Você pode configurar uma lista de exclusão para uma regra gerenciada, um grupo de regras ou todo o conjunto de regras. Para obter mais informações, consulte Azure Web Application Firewall em listas de exclusão do Azure Front Door.
Por padrão, as versões 2.0 e superiores do DRS usam pontuação de anomalia quando uma solicitação corresponde a uma regra. As versões do DRS anteriores à 2.0 bloqueiam solicitações que acionam as regras. Além disso, as regras personalizadas podem ser configuradas na mesma política WAF se você quiser ignorar qualquer uma das regras pré-configuradas no DRS.
As regras personalizadas são sempre aplicadas antes que as regras no DRS sejam avaliadas. Se uma solicitação corresponder a uma regra personalizada, a ação de regra correspondente será aplicada. A solicitação é bloqueada ou passada para o back-end. Nenhuma outra regra personalizada ou as regras no DRS são processadas. Você também pode remover o DRS de suas políticas WAF.
Regras de Recolha de Informações sobre Ameaças da Microsoft
As regras da Coleta de Inteligência de Ameaças da Microsoft são escritas em parceria com a equipe de Inteligência de Ameaças da Microsoft para fornecer maior cobertura, patches para vulnerabilidades específicas e melhor redução de falsos positivos.
Por padrão, as regras do Microsoft Threat Intelligence Collection substituem algumas das regras DRS internas, fazendo com que elas sejam desabilitadas. Por exemplo, a ID da regra 942440, SQL Comment Sequence Detected, foi desativada e substituída pela regra Microsoft Threat Intelligence Collection 99031002. A regra substituída reduz o risco de deteções de falsos positivos a partir de pedidos legítimos.
Pontuação de anomalias
Quando você usa o DRS 2.0 ou posterior, o WAF usa a pontuação de anomalias. O tráfego que corresponde a qualquer regra não é imediatamente bloqueado, mesmo quando o WAF está no modo de prevenção. Em vez disso, os conjuntos de regras OWASP definem uma gravidade para cada regra: Crítica, Erro, Aviso ou Aviso. A gravidade afeta um valor numérico para a solicitação, que é chamado de pontuação de anomalia. Se uma solicitação acumular uma pontuação de anomalia igual ou superior a 5, o WAF tomará medidas sobre a solicitação.
| Severidade da regra | O valor contribuiu para a pontuação de anomalia |
|---|---|
| Crítico | 5 |
| Erro | 4 |
| Aviso | 3 |
| Aviso | 2 |
Ao configurar seu WAF, você pode decidir como o WAF lida com solicitações que excedem o limite de pontuação de anomalia de 5. As três opções de ação de pontuação de anomalia são Bloquear, Registrar ou Redirecionar. A ação de pontuação de anomalia selecionada no momento da configuração é aplicada a todas as solicitações que excedem o limite de pontuação de anomalia.
Por exemplo, se a pontuação de anomalia for 5 ou superior em uma solicitação e o WAF estiver no modo de Prevenção com a ação de pontuação de anomalia definida como Bloquear, a solicitação será bloqueada. Se a pontuação de anomalia for 5 ou superior em uma solicitação e o WAF estiver no modo de Deteção, a solicitação será registrada, mas não bloqueada.
Uma única correspondência de regra crítica é suficiente para o WAF bloquear uma solicitação quando estiver no modo de Prevenção com a ação de pontuação de anomalia definida como Bloquear porque a pontuação geral de anomalia é 5. No entanto, uma correspondência de regra de aviso só aumenta a pontuação de anomalia em 3, o que não é suficiente por si só para bloquear o tráfego. Quando uma regra de anomalia é acionada, ela mostra uma ação "correspondida" nos logs. Se a pontuação de anomalia for 5 ou maior, uma regra separada será acionada com a ação de pontuação de anomalia configurada para o conjunto de regras. A ação de pontuação de anomalia padrão é Bloquear, o que resulta em uma entrada de log com a ação blocked.
Quando o WAF usa uma versão mais antiga do conjunto de regras padrão (antes do DRS 2.0), o WAF é executado no modo tradicional. O tráfego que corresponde a qualquer regra é considerado independentemente de qualquer outra correspondência de regra. No modo tradicional, você não tem visibilidade do conjunto completo de regras que uma solicitação específica correspondeu.
A versão do DRS que você usa também determina quais tipos de conteúdo são suportados para inspeção de órgão de solicitação. Para obter mais informações, consulte Que tipos de conteúdo são suportados pelo WAF? nas Perguntas frequentes.
Atualizando ou alterando a versão do conjunto de regras
Se você estiver atualizando ou atribuindo uma nova versão do conjunto de regras e quiser preservar substituições e exclusões de regras existentes, é recomendável usar PowerShell, CLI, REST API ou modelos para fazer alterações na versão do conjunto de regras. Uma nova versão de um conjunto de regras pode ter regras mais recentes, grupos de regras adicionais e pode ter atualizações para assinaturas existentes para impor melhor segurança e reduzir falsos positivos. Recomenda-se validar as alterações em um ambiente de teste, ajustar se necessário e, em seguida, implantar em um ambiente de produção.
Nota
Se você estiver usando o portal do Azure para atribuir um novo conjunto de regras gerenciado a uma política WAF, todas as personalizações anteriores do conjunto de regras gerenciado existente, como estado da regra, ações de regra e exclusões de nível de regra, serão redefinidas para os padrões do novo conjunto de regras gerenciado. No entanto, quaisquer regras personalizadas ou configurações de política permanecerão inalteradas durante a atribuição do novo conjunto de regras. Você precisará redefinir substituições de regras e validar alterações antes de implantar em um ambiente de produção.
DRS 2,1
As regras do DRS 2.1 oferecem melhor proteção do que as versões anteriores do DRS. Ele inclui outras regras desenvolvidas pela equipe de Inteligência de Ameaças da Microsoft e atualizações de assinaturas para reduzir falsos positivos. Ele também suporta transformações além da decodificação de URL.
O DRS 2.1 inclui 17 grupos de regras, conforme mostrado na tabela a seguir. Cada grupo contém várias regras e você pode personalizar o comportamento para regras individuais, grupos de regras ou um conjunto de regras inteiro. O DRS 2.1 é baseado no Open Web Application Security Project (OWASP) Core Rule set (CRS) 3.3.2 e inclui regras de proteção proprietárias adicionais desenvolvidas pela equipe de Inteligência de Ameaças da Microsoft.
Para obter mais informações, consulte Tuning Web Application Firewall (WAF) for Azure Front Door.
Nota
O DRS 2.1 só está disponível no Azure Front Door Premium.
| Grupo de regras | ruleGroupName | Description |
|---|---|---|
| General (Geral) | Geral | Grupo geral |
| APLICAÇÃO DO MÉTODO | IMPOSIÇÃO DE MÉTODO | Métodos de bloqueio (PUT, PATCH) |
| APLICAÇÃO DO PROTOCOLO | IMPOSIÇÃO DE PROTOCOLO | Proteja-se contra problemas de protocolo e codificação |
| PROTOCOLO-ATAQUE | ATAQUE DE PROTOCOLO | Proteja-se contra injeção de cabeçalho, contrabando de solicitações e divisão de respostas |
| APLICAÇÃO-ATAQUE-LFI | LFI | Proteja-se contra ataques de arquivos e caminhos |
| APLICAÇÃO-ATAQUE-RFI | RFI | Proteja-se contra ataques de inclusão remota de arquivos (RFI) |
| APLICAÇÃO-ATAQUE-RCE | RCE | Proteja novamente ataques de execução remota de código |
| APLICAÇÃO-ATTACK-PHP | PHP | Proteja-se contra ataques de injeção de PHP |
| APLICAÇÃO-ATAQUE-NodeJS | NODEJS | Proteja-se contra ataques JS de nó |
| APLICAÇÃO-ATTACK-XSS | XSS | Proteja-se contra ataques de script entre sites |
| APPLICATION-ATTACK-SQLI | SQLI | Proteja-se contra ataques de injeção de SQL |
| APPLICATION-ATTACK-SESSION-FIXATION | FIX | Proteja-se contra ataques de fixação de sessão |
| APLICAÇÃO-ATAQUE-SESSÃO-JAVA | JAVA | Proteja-se contra ataques JAVA |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Proteja-se contra ataques de shell da Web |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Proteja-se contra ataques AppSec |
| MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | Proteja-se contra ataques SQLI |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Proteja-se contra ataques CVE |
Regras desativadas
As regras a seguir são desabilitadas por padrão para o DRS 2.1.
| ID da Regra | Grupo de regras | Description | Detalhes |
|---|---|---|---|
| 942110 | SQLI | Ataque de injeção de SQL: teste de injeção comum detetado | Substituída regra MSTIC 99031001 |
| 942150 | SQLI | Ataque de Injeção do SQL | Substituída pela regra MSTIC 99031003 |
| 942260 | SQLI | Deteta tentativas básicas de desvio de autenticação SQL 2/3 | Substituída pela regra MSTIC 99031004 |
| 942430 | SQLI | Deteção de anomalia de caracteres SQL restritos (args): # de caracteres especiais excedidos (12) | Demasiados falsos positivos |
| 942440 | SQLI | Sequência de comentários SQL detetada | Substituída regra MSTIC 99031002 |
| 99005006 | MS-ThreatIntel-WebShells | Tentativa de interação Spring4Shell | Ativar regra para prevenir contra a vulnerabilidade do SpringShell |
| 99001014 | MS-ThreatIntel-CVEs | Tentativa de injeção de expressão de roteamento do Spring Cloud CVE-2022-22963 | Ativar regra para prevenir contra a vulnerabilidade do SpringShell |
| 99001015 | MS-ThreatIntel-WebShells | Tentativa de exploração de objeto de classe não segura do Spring Framework CVE-2022-22965 | Ativar regra para prevenir contra a vulnerabilidade do SpringShell |
| 99001016 | MS-ThreatIntel-WebShells | Tentativa de injeção do Spring Cloud Gateway Actuator CVE-2022-22947 | Ativar regra para prevenir contra a vulnerabilidade do SpringShell |
| 99001017 | MS-ThreatIntel-CVEs | Tentativa de exploração de upload de arquivo Apache Struts CVE-2023-50164. | Ativar regra para prevenir contra a vulnerabilidade do Apache Struts |
DRS 2,0
As regras do DRS 2.0 oferecem melhor proteção do que as versões anteriores do DRS. O DRS 2.0 também suporta transformações além da decodificação de URL.
O DRS 2.0 inclui 17 grupos de regras, conforme mostrado na tabela a seguir. Cada grupo contém várias regras. Você pode desabilitar regras individuais e grupos de regras inteiros.
Nota
O DRS 2.0 só está disponível no Azure Front Door Premium.
| Grupo de regras | ruleGroupName | Description |
|---|---|---|
| General (Geral) | Geral | Grupo geral |
| APLICAÇÃO DO MÉTODO | IMPOSIÇÃO DE MÉTODO | Métodos de bloqueio (PUT, PATCH) |
| APLICAÇÃO DO PROTOCOLO | IMPOSIÇÃO DE PROTOCOLO | Proteja-se contra problemas de protocolo e codificação |
| PROTOCOLO-ATAQUE | ATAQUE DE PROTOCOLO | Proteja-se contra injeção de cabeçalho, contrabando de solicitações e divisão de respostas |
| APLICAÇÃO-ATAQUE-LFI | LFI | Proteja-se contra ataques de arquivos e caminhos |
| APLICAÇÃO-ATAQUE-RFI | RFI | Proteja-se contra ataques de inclusão remota de arquivos (RFI) |
| APLICAÇÃO-ATAQUE-RCE | RCE | Proteja novamente ataques de execução remota de código |
| APLICAÇÃO-ATTACK-PHP | PHP | Proteja-se contra ataques de injeção de PHP |
| APLICAÇÃO-ATAQUE-NodeJS | NODEJS | Proteja-se contra ataques JS de nó |
| APLICAÇÃO-ATTACK-XSS | XSS | Proteja-se contra ataques de script entre sites |
| APPLICATION-ATTACK-SQLI | SQLI | Proteja-se contra ataques de injeção de SQL |
| APPLICATION-ATTACK-SESSION-FIXATION | FIX | Proteja-se contra ataques de fixação de sessão |
| APLICAÇÃO-ATAQUE-SESSÃO-JAVA | JAVA | Proteja-se contra ataques JAVA |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Proteja-se contra ataques de shell da Web |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Proteja-se contra ataques AppSec |
| MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | Proteja-se contra ataques SQLI |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Proteja-se contra ataques CVE |
DRS 1,1
| Grupo de regras | ruleGroupName | Description |
|---|---|---|
| PROTOCOLO-ATAQUE | ATAQUE DE PROTOCOLO | Proteja-se contra injeção de cabeçalho, contrabando de solicitações e divisão de respostas |
| APLICAÇÃO-ATAQUE-LFI | LFI | Proteja-se contra ataques de arquivos e caminhos |
| APLICAÇÃO-ATAQUE-RFI | RFI | Proteção contra ataques de inclusão remota de arquivos |
| APLICAÇÃO-ATAQUE-RCE | RCE | Proteção contra execução remota de comandos |
| APLICAÇÃO-ATTACK-PHP | PHP | Proteja-se contra ataques de injeção de PHP |
| APLICAÇÃO-ATTACK-XSS | XSS | Proteja-se contra ataques de script entre sites |
| APPLICATION-ATTACK-SQLI | SQLI | Proteja-se contra ataques de injeção de SQL |
| APPLICATION-ATTACK-SESSION-FIXATION | FIX | Proteja-se contra ataques de fixação de sessão |
| APLICAÇÃO-ATAQUE-SESSÃO-JAVA | JAVA | Proteja-se contra ataques JAVA |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Proteja-se contra ataques de shell da Web |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Proteja-se contra ataques AppSec |
| MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | Proteja-se contra ataques SQLI |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Proteja-se contra ataques CVE |
DRS 1,0
| Grupo de regras | ruleGroupName | Description |
|---|---|---|
| PROTOCOLO-ATAQUE | ATAQUE DE PROTOCOLO | Proteja-se contra injeção de cabeçalho, contrabando de solicitações e divisão de respostas |
| APLICAÇÃO-ATAQUE-LFI | LFI | Proteja-se contra ataques de arquivos e caminhos |
| APLICAÇÃO-ATAQUE-RFI | RFI | Proteção contra ataques de inclusão remota de arquivos |
| APLICAÇÃO-ATAQUE-RCE | RCE | Proteção contra execução remota de comandos |
| APLICAÇÃO-ATTACK-PHP | PHP | Proteja-se contra ataques de injeção de PHP |
| APLICAÇÃO-ATTACK-XSS | XSS | Proteja-se contra ataques de script entre sites |
| APPLICATION-ATTACK-SQLI | SQLI | Proteja-se contra ataques de injeção de SQL |
| APPLICATION-ATTACK-SESSION-FIXATION | FIX | Proteja-se contra ataques de fixação de sessão |
| APLICAÇÃO-ATAQUE-SESSÃO-JAVA | JAVA | Proteja-se contra ataques JAVA |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Proteja-se contra ataques de shell da Web |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Proteja-se contra ataques CVE |
Gerenciador de Bot 1.0
O conjunto de regras do Bot Manager 1.0 fornece proteção contra bots mal-intencionados e deteção de bons bots. As regras fornecem controle granular sobre bots detetados pelo WAF, categorizando o tráfego de bots como Bom, Ruim ou Desconhecido.
| Grupo de regras | Description |
|---|---|
| BadBots | Proteja-se contra bots maliciosos |
| GoodBots | Identifique bons bots |
| DesconhecidoBots | Identificar bots desconhecidos |
Gerenciador de Bot 1.1
O conjunto de regras do Bot Manager 1.1 é um aprimoramento do conjunto de regras do Bot Manager 1.0. Ele fornece proteção aprimorada contra bots mal-intencionados e aumenta a boa deteção de bots.
| Grupo de regras | Description |
|---|---|
| BadBots | Proteja-se contra bots maliciosos |
| GoodBots | Identifique bons bots |
| DesconhecidoBots | Identificar bots desconhecidos |
Os seguintes grupos de regras e regras estão disponíveis quando você usa o Firewall de Aplicativo Web do Azure na Porta da Frente do Azure.
2.1 Conjuntos de regras
Geral
| RuleId | Description |
|---|---|
| 200002 | Falha ao analisar o corpo da solicitação |
| 200003 | O corpo da solicitação de várias partes falhou na validação estrita |
Aplicação do método
| RuleId | Description |
|---|---|
| 911100 | O método não é permitido pela política |
Imposição de protocolo
| RuleId | Description |
|---|---|
| 920100 | Linha de solicitação HTTP inválida. |
| 920120 | Tentativa de desvio de dados de várias partes/formulários. |
| 920121 | Tentativa de desvio de dados de várias partes/formulários. |
| 920160 | O cabeçalho HTTP Content-Length não é numérico. |
| 920170 | Solicitação GET ou HEAD com conteúdo corporal. |
| 920171 | Solicitação GET ou HEAD com codificação de transferência. |
| 920180 | Solicitação POST ausente Content-Length Header. |
| 920181 | Os cabeçalhos Content-Length e Transfer-Encoding apresentam 99001003. |
| 920190 | Intervalo: Valor do último byte inválido. |
| 920200 | Intervalo: demasiados campos (6 ou mais). |
| 920201 | Intervalo: Demasiados campos para pedido pdf (35 ou mais). |
| 920210 | Dados de cabeçalho de conexão múltiplos/conflitantes encontrados. |
| 920220 | Tentativa de ataque de abuso de codificação de URL. |
| 920230 | Codificação de URL múltipla detetada. |
| 920240 | Tentativa de ataque de abuso de codificação de URL. |
| 920260 | Tentativa de ataque de abuso de largura total/meia Unicode. |
| 920270 | Caractere inválido na solicitação (caractere nulo). |
| 920271 | Caractere inválido na solicitação (caracteres não imprimíveis). |
| 920280 | Solicitação faltando um cabeçalho de host. |
| 920290 | Cabeçalho de host vazio. |
| 920300 | Pedido em falta um cabeçalho Accept. |
| 920310 | A solicitação tem um cabeçalho Accept vazio. |
| 920311 | A solicitação tem um cabeçalho Accept vazio. |
| 920320 | Cabeçalho do agente de usuário ausente. |
| 920330 | Cabeçalho vazio do agente do usuário. |
| 920340 | Cabeçalho Request Containing Content, but Missing Content-Type. |
| 920341 | A solicitação que contém conteúdo requer o cabeçalho Content-Type. |
| 920350 | O cabeçalho do host é um endereço IP numérico. |
| 920420 | O tipo de conteúdo de solicitação não é permitido pela política. |
| 920430 | A versão do protocolo HTTP não é permitida pela política. |
| 920440 | A extensão de arquivo de URL é restrita pela política. |
| 920450 | O cabeçalho HTTP é restrito pela política. |
| 920470 | Cabeçalho Illegal-Content-Type. |
| 920480 | O charset do tipo de conteúdo de solicitação não é permitido pela política. |
| 920500 | Tente acessar um backup ou arquivo de trabalho. |
Ataque de protocolo
| RuleId | Description |
|---|---|
| 921110 | Ataque de contrabando de solicitação HTTP |
| 921120 | Ataque de divisão de resposta HTTP |
| 921130 | Ataque de divisão de resposta HTTP |
| 921140 | Ataque de injeção de cabeçalho HTTP via cabeçalhos |
| 921150 | Ataque de injeção de cabeçalho HTTP via carga útil (CR/LF detetado) |
| 921151 | Ataque de injeção de cabeçalho HTTP via carga útil (CR/LF detetado) |
| 921160 | Ataque de injeção de cabeçalho HTTP via carga útil (CR/LF e nome do cabeçalho detetados) |
| 921190 | Divisão HTTP (CR/LF no nome do arquivo de solicitação detetado) |
| 921200 | Ataque de injeção LDAP |
LFI: Inclusão de arquivo local
| RuleId | Description |
|---|---|
| 930100 | Ataque de Travessia de Caminho (/.. /) |
| 930110 | Ataque de Travessia de Caminho (/.. /) |
| 930120 | Tentativa de acesso a ficheiros do SO |
| 930130 | Tentativa de acesso restrito a arquivos |
RFI: Inclusão remota de arquivos
| RuleId | Description |
|---|---|
| 931100 | Possível ataque de inclusão remota de arquivos (RFI): parâmetro de URL usando o endereço IP |
| 931110 | Possível ataque de inclusão remota de arquivos (RFI): nome de parâmetro vulnerável comum de RFI usado com carga útil de URL |
| 931120 | Possível ataque de inclusão remota de arquivos (RFI): carga útil de URL usada com caractere de ponto de interrogação à direita (?) |
| 931130 | Possível ataque de inclusão remota de arquivos (RFI): referência/link fora do domínio |
RCE: Execução remota de comandos
| RuleId | Description |
|---|---|
| 932100 | Execução de Comando Remoto: Unix Command Injection |
| 932105 | Execução de Comando Remoto: Unix Command Injection |
| 932110 | Execução remota de comando: Windows Command Injection |
| 932115 | Execução remota de comando: Windows Command Injection |
| 932120 | Execução de comando remoto: comando do Windows PowerShell encontrado |
| 932130 | Execução remota de comando: Vulnerabilidade de expressão ou confluência de shell Unix (CVE-2022-26134) encontrada |
| 932140 | Execução de comando remoto: Comando FOR/IF do Windows encontrado |
| 932150 | Execução de Comando Remoto: Execução Direta de Comandos Unix |
| 932160 | Execução de Comando Remoto: Código Unix Shell Encontrado |
| 932170 | Execução remota de comando: Shellshock (CVE-2014-6271) |
| 932171 | Execução remota de comando: Shellshock (CVE-2014-6271) |
| 932180 | Tentativa de carregamento de arquivo restrito |
Ataques PHP
| RuleId | Description |
|---|---|
| 933100 | PHP Injection Attack: Tag de abertura/fechamento encontrada |
| 933110 | Ataque de injeção de PHP: Upload de arquivo de script PHP encontrado |
| 933120 | PHP Injection Attack: Diretiva de configuração encontrada |
| 933130 | Ataque de injeção de PHP: variáveis encontradas |
| 933140 | Ataque de injeção de PHP: fluxo de E/S encontrado |
| 933150 | Ataque de injeção de PHP: Nome da função PHP de alto risco encontrado |
| 933151 | Ataque de injeção de PHP: Nome da função PHP de médio risco encontrado |
| 933160 | Ataque de injeção de PHP: chamada de função PHP de alto risco encontrada |
| 933170 | Ataque de injeção de PHP: injeção de objeto serializado |
| 933180 | Ataque de injeção de PHP: chamada de função variável encontrada |
| 933200 | PHP Injection Attack: Esquema de wrapper detetado |
| 933210 | Ataque de injeção de PHP: chamada de função variável encontrada |
Ataques JS de nó
| RuleId | Description |
|---|---|
| 934100 | Node.js Ataque de injeção |
XSS: Scripts entre sites
| RuleId | Description |
|---|---|
| 941100 | Ataque XSS detetado via libinjection |
| 941101 | Ataque XSS detetado via libinjection A regra deteta solicitações com um Referer cabeçalho |
| 941110 | Filtro XSS - Categoria 1: Vetor de tag de script |
| 941120 | Filtro XSS - Categoria 2: Vetor do manipulador de eventos |
| 941130 | Filtro XSS - Categoria 3: Vetor de atributo |
| 941140 | Filtro XSS - Categoria 4: Vetor URI JavaScript |
| 941150 | Filtro XSS - Categoria 5: Atributos HTML não permitidos |
| 941160 | NoScript XSS InjectionChecker: Injeção de HTML |
| 941170 | NoScript XSS InjectionChecker: Injeção de atributos |
| 941180 | Palavras-chave da lista de bloqueio do validador de nós |
| 941190 | XSS usando folhas de estilo |
| 941200 | XSS usando quadros VML |
| 941210 | XSS usando JavaScript ofuscado |
| 941220 | XSS usando script VB ofuscado |
| 941230 | XSS usando embed tag |
| 941240 | XSS usando import ou implementation atributo |
| 941250 | Filtros XSS do IE - Ataque detetado |
| 941260 | XSS usando meta tag |
| 941270 | XSS usando link href |
| 941280 | XSS usando base tag |
| 941290 | XSS usando applet tag |
| 941300 | XSS usando object tag |
| 941310 | Filtro XSS de codificação malformado US-ASCII - Ataque detetado |
| 941320 | Possível ataque XSS detetado - manipulador de tags HTML |
| 941330 | Filtros XSS do IE - Ataque detetado |
| 941340 | Filtros XSS do IE - Ataque detetado |
| 941350 | Codificação UTF-7 IE XSS - Ataque detetado |
| 941360 | Ofuscação de JavaScript detetada |
| 941370 | Variável global JavaScript encontrada |
| 941380 | Injeção de modelo do lado do cliente AngularJS detetada |
SQLI: Injeção de SQL
| RuleId | Description |
|---|---|
| 942100 | Ataque de injeção de SQL detetado via libinjection. |
| 942110 | Ataque de injeção de SQL: teste de injeção comum detetado. |
| 942120 | Ataque de injeção de SQL: operador SQL detetado. |
| 942140 | Ataque de injeção de SQL: nomes de banco de dados comuns detetados. |
| 942150 | Ataque de injeção de SQL. |
| 942160 | Deteta testes SQLI cegos usando sleep() ou benchmark(). |
| 942170 | Deteta benchmark SQL e tentativas de injeção de suspensão, incluindo consultas condicionais. |
| 942180 | Deteta tentativas básicas de desvio de autenticação SQL 1/3. |
| 942190 | Deteta a execução de código MSSQL e tentativas de coleta de informações. |
| 942200 | Deteta injeções ofuscadas de comentário/espaço do MySQL e terminação de backtick. |
| 942210 | Deteta tentativas de injeção de SQL encadeadas 1/2. |
| 942220 | Procurando por ataques de estouro de inteiro, estes são retirados de skipfish, exceto 3.0.00738585072007e-308 é o "número mágico" crash. |
| 942230 | Deteta tentativas de injeção condicional de SQL. |
| 942240 | Deteta o switch de charset MySQL e tentativas de DoS MSSQL. |
| 942250 | Deteta MATCH CONTRA, MERGE e EXECUTE injeções IMEDIATAS. |
| 942260 | Deteta tentativas básicas de desvio de autenticação SQL 2/3. |
| 942270 | Procurando injeção básica de SQL. String de ataque comum para MySQL, Oracle e outros. |
| 942280 | Deteta a injeção de pg_sleep Postgres, aguarda ataques de atraso e tentativas de desligamento do banco de dados. |
| 942290 | Localiza tentativas básicas de injeção de SQL do MongoDB. |
| 942300 | Deteta comentários, condições e injeções de ch(a)r do MySQL. |
| 942310 | Deteta tentativas encadeadas de injeção de SQL 2/2. |
| 942320 | Deteta injeções de procedimento/função armazenadas MySQL e PostgreSQL. |
| 942330 | Deteta sondagens clássicas de injeção de SQL 1/2. |
| 942340 | Deteta tentativas básicas de desvio de autenticação SQL 3/3. |
| 942350 | Deteta a injeção de UDF do MySQL e outras tentativas de manipulação de dados/estrutura. |
| 942360 | Deteta injeção básica concatenada de SQL e tentativas de SQLLFI. |
| 942361 | Deteta a injeção básica de SQL com base na alteração ou união de palavras-chave. |
| 942370 | Deteta sondagens clássicas de injeção de SQL 2/2. |
| 942380 | Ataque de injeção de SQL. |
| 942390 | Ataque de injeção de SQL. |
| 942400 | Ataque de injeção de SQL. |
| 942410 | Ataque de injeção de SQL. |
| 942430 | Deteção de anomalia de caracteres SQL restritos (args): # de caracteres especiais excedidos (12). |
| 942440 | Sequência de comentários SQL detetada. |
| 942450 | Codificação SQL Hex Identificada. |
| 942460 | Meta-Character Anomaly Detection Alert - Caracteres repetitivos que não são palavras. |
| 942470 | Ataque de injeção de SQL. |
| 942480 | Ataque de injeção de SQL. |
| 942500 | Comentário in-line MySQL detetado. |
| 942510 | Tentativa de desvio SQLi por ticks ou backticks detetados. |
Fixação de sessão
| RuleId | Description |
|---|---|
| 943100 | Possível ataque de fixação de sessão: definindo valores de cookie em HTML |
| 943110 | Possível ataque de fixação de sessão: nome do parâmetro SessionID com referenciador fora do domínio |
| 943120 | Possível ataque de fixação de sessão: nome do parâmetro SessionID sem referenciador |
Ataques Java
| RuleId | Description |
|---|---|
| 944100 | Execução remota de comandos: Apache Struts, Oracle WebLogic |
| 944110 | Deteta a execução potencial de carga útil |
| 944120 | Possível execução de carga útil e execução remota de comandos |
| 944130 | Classes Java suspeitas |
| 944200 | Exploração da desserialização Java Apache Commons |
| 944210 | Possível uso da serialização Java |
| 944240 | Execução remota de comando: serialização Java e vulnerabilidade Log4j (CVE-2021-44228, CVE-2021-45046) |
| 944250 | Execução remota de comando: método Java suspeito detetado |
MS-ThreatIntel-WebShells
| RuleId | Description |
|---|---|
| 99005002 | Tentativa de interação do Web Shell (POST) |
| 99005003 | Tentativa de Upload do Web Shell (POST) - CHOPPER PHP |
| 99005004 | Tentativa de carregamento do Web Shell (POST) - CHOPPER ASPX |
| 99005005 | Tentativa de interação do Web Shell |
| 99005006 | Tentativa de interação Spring4Shell |
MS-ThreatIntel-AppSec
| RuleId | Description |
|---|---|
| 99030001 | Evasão transversal de caminho em cabeçalhos (/.. /./.. /) |
| 99030002 | Evasão Transversal de Caminho no Corpo de Solicitação (/.. /./.. /) |
MS-ThreatIntel-SQLI
| RuleId | Description |
|---|---|
| 99031001 | Ataque de injeção de SQL: teste de injeção comum detetado |
| 99031002 | Sequência de comentários SQL detetada |
| 99031003 | Ataque de Injeção do SQL |
| 99031004 | Deteta tentativas básicas de desvio de autenticação SQL 2/3 |
MS-ThreatIntel-CVEs
Nota
Ao revisar os logs do WAF, você poderá ver a ID da regra 949110. A descrição da regra pode incluir Inbound Anomaly Score Exceeded.
Esta regra indica que a pontuação total de anomalia para o pedido excedeu a pontuação máxima permitida. Para obter mais informações, consulte Pontuação de anomalias.
Ao ajustar suas políticas do WAF, você precisa investigar as outras regras que foram acionadas pela solicitação para que você possa ajustar a configuração do WAF. Para obter mais informações, consulte Ajustando o Firewall de Aplicativo Web do Azure para a Porta da Frente do Azure.