Группы правил и правила DRS Брандмауэра веб-приложений
Azure Брандмауэр веб-приложений в Azure Front Door защищает веб-приложения от распространенных уязвимостей и эксплойтов. Наборы правил, управляемые Azure, позволяют легко развернуть защиту от типичного набора угроз безопасности. Так как Azure управляет этими наборами правил, правила обновляются при необходимости для защиты от новых подписей атак.
Набор правил по умолчанию (DRS) также включает правила сбора аналитики угроз Майкрософт, написанные в партнерстве с командой Microsoft Intelligence, чтобы обеспечить повышенное покрытие, исправления для конкретных уязвимостей и более эффективное ложноположительное сокращение.
Примечание.
При изменении версии набора правил в политике WAF все существующие настройки, внесенные в набор правил, будут сбрасываться в значения по умолчанию для нового набора правил. См. статью об обновлении или изменении версии набора правил.
Наборы правил по умолчанию
Управляемый Azure DRS включает правила для следующих категорий угроз:
- Межсайтовые сценарии
- Атаки Java.
- Включение локальных файлов
- Атака путем внедрения кода PHP.
- Удаленное выполнение команд.
- Включение удаленных файлов
- Фиксация сеансов
- Защита от внедрения кода SQL.
- Атаки через протоколы
Номер версии DRS увеличивается при каждом добавлении сигнатур атак в набор правил.
DRS включен в режиме обнаружения во всех политиках WAF. Вы можете отключить или включить отдельные правила в DRS для удовлетворения требований приложения. Вы также можете установить определенные действия для каждого правила. Доступные действия: "Разрешить", "Блокировать", "Журнал" и "Перенаправление".
Иногда может потребоваться пропустить определенные атрибуты запроса из оценки брандмауэра веб-приложения (WAF). Распространенный пример — дополнительные токены Active Directory, которые используются для проверки подлинности. Можно настроить список исключений для управляемого правила, группы правил или всего набора правил. Дополнительные сведения см. в Брандмауэр веб-приложений Azure в списках исключений Azure Front Door.
По умолчанию DRS версии 2.0 и выше используют оценку аномалий, когда запрос соответствует правилу. Версии DRS до 2.0 блокируют запросы, которые активируют правила. Кроме того, настраиваемые правила можно настроить в той же политике WAF, если вы хотите обойти любые предварительно настроенные правила в drS.
Пользовательские правила всегда применяются перед вычислением правил в drS. Соответствующее действие правила применяется, если запрос соответствует пользовательскому правилу. Запрос блокируется или передается в серверную часть. Никакие другие пользовательские правила или правила в drS не обрабатываются. Вы также можете удалить DRS из политик WAF.
Правила сбора аналитики угроз (Майкрософт)
Правила сбора аналитики угроз (Майкрософт) записываются совместно с командой аналитиков угроз Майкрософт, чтобы обеспечить расширенный охват, исправления для конкретных уязвимостей и более эффективное сокращение ложноположительных результатов.
По умолчанию правила сбора аналитики угроз Майкрософт заменяют некоторые встроенные правила DRS, что приводит к отключению этих правил. Например, идентификатор правила 942440, обнаруженная последовательность комментариев SQL, была отключена и заменена правилом сбора аналитики угроз Майкрософт 99031002. Замененное правило снижает риск ложноположительных обнаружений из законных запросов.
Оценка аномалий
При использовании DRS 2.0 или более поздней версии, WAF использует оценку аномалий. Трафик, соответствующий любому правилу, не блокируется сразу, даже если WAF находится в режиме предотвращения. Вместо этого наборы правил OWASP определяют значение серьезности для каждого правила: Критический, Ошибка, Предупреждение или Уведомление. Серьезность влияет на числовое значение запроса, которое называется оценкой аномалий. Если запрос накапливает оценку аномалий 5 или больше, WAF принимает меры по запросу.
| Важность правил | Значение способствовало оценке аномалий |
|---|---|
| Критически важно | 5 |
| Ошибка | 4 |
| Предупреждение | 3 |
| Примечание. | 2 |
При настройке WAF можно решить, как WAF обрабатывает запросы, превышающие пороговое значение оценки аномалий 5. Три параметра действия оценки аномалий: блокировать, журнал или перенаправление. Действие оценки аномалий, выбранное во время настройки, применяется ко всем запросам, превышающим пороговое значение оценки аномалий.
Например, если оценка аномалий составляет 5 или больше в запросе, а WAF находится в режиме предотвращения с действием оценки аномалий, установленным в качестве блокировки, запрос блокируется. Если оценка аномалии составляет 5 или больше по запросу, а WAF находится в режиме обнаружения, запрос регистрируется, но не блокируется.
Для блокировки запроса в режиме предотвращения с действием оценки аномалий достаточно совпадения с одним критическим правилом, так как общая оценка аномалий составляет 5. Но одно совпадение с правилом уровня Предупреждение увеличивает оценку аномалии только на 3, и этого недостаточно для блокировки трафика. При активации правила аномалии в журналах отображается действие "сопоставлено". Если оценка аномалии составляет 5 или больше, то с помощью действия оценки аномалий, настроенного для набора правил, активируется отдельное правило. Действие оценки аномалий по умолчанию — блокировать, что приводит к записи журнала с действием blocked.
Если WAF использует старую версию набора правил по умолчанию (до DRS 2.0), WAF выполняется в традиционном режиме. Трафик, который соответствует какому-либо правилу, рассматривается независимо от соответствия любым другим правилам. В традиционном режиме вы не видите полный набор правил, которым соответствует конкретный запрос.
Используемая версия DRS также определяет, какие типы контента поддерживаются для проверки текста запроса. Дополнительные сведения см. в разделе Какие типы содержимого поддерживает WAF? в часто задаваемых вопросах.
Обновление или изменение версии набора правил
Если вы обновляете или назначаете новую версию набора правил и хотите сохранить существующие переопределения и исключения правил, рекомендуется использовать PowerShell, CLI, REST API или шаблоны для внесения изменений в версию набора правил. Новая версия набора правил может иметь более новые правила, дополнительные группы правил и могут иметь обновления существующих подписей, чтобы обеспечить более высокую безопасность и уменьшить ложные срабатывания. Рекомендуется проверить изменения в тестовой среде, точно настроить при необходимости, а затем развернуть в рабочей среде.
Примечание.
Если вы используете портал Azure для назначения нового управляемого набора правил политике WAF, все предыдущие настройки из существующего управляемого набора правил, такие как состояние правила, действия правил и исключения уровня правил, будут сброшены на новые значения по умолчанию управляемого набора правил. Однако все пользовательские правила или параметры политики останутся не затронутыми во время назначения нового набора правил. Перед развертыванием в рабочей среде необходимо переопределить правила и проверить изменения.
DRS 2.1
Правила DRS 2.1 обеспечивают лучшую защиту, чем более ранние версии DRS. Она включает в себя другие правила, разработанные командой Microsoft Threat Intelligence, и обновления подписей для снижения ложных срабатываний. Кроме того, эта версия поддерживает преобразования, помимо декодирования URL-адресов.
DRS 2.1 содержит 17 групп правил, как показано в следующей таблице. Каждая группа содержит несколько правил, и вы можете настроить поведение для отдельных правил, групп правил или всего набора правил. DRS 2.1 базовый набор правил Open Web Application Security Project (OWASP) (CRS) 3.3.2 и включает дополнительные правила защиты, разработанные командой Microsoft Threat Intelligence.
Дополнительные сведения см. в разделе Настройка брандмауэра веб-приложения (WAF) для Azure Front Door.
Примечание.
DRS 2.1 доступен только в Azure Front Door Premium.
| Группа правил | ruleGroupName | Description |
|---|---|---|
| Общие сведения | Общие | Общая группа |
| METHOD-ENFORCEMENT | METHOD-ENFORCEMENT | Методы блокировки (PUT, PATCH) |
| PROTOCOL-ENFORCEMENT | PROTOCOL-ENFORCEMENT | Защита от проблем с протоколами и кодированием |
| PROTOCOL-ATTACK | PROTOCOL-ATTACK | Защита от внедрения заголовка, несанкционированных запросов и разделения ответа |
| APPLICATION-ATTACK-LFI | LFI | Защита от атак, направленных на путь и файлы |
| APPLICATION-ATTACK-RFI | RFI | Защита от атак включения удаленного файла (RFI) |
| APPLICATION-ATTACK-RCE | RCE | Защита от атак удаленного выполнения кода |
| APPLICATION-ATTACK-PHP | PHP | Защита от атак путем внедрения кода PHP |
| APPLICATION-ATTACK-NodeJS | NODEJS | Защита от атак Node.js |
| APPLICATION-ATTACK-XSS | Атака | Защита от атак с использованием межсайтовых сценариев |
| APPLICATION-ATTACK-SQLI | SQLI | Защита от атак путем внедрения кода SQL |
| APPLICATION-ATTACK-SESSION-FIXATION | ИСПРАВЛЕНИЕ | Защита от атак с фиксацией сеанса |
| APPLICATION-ATTACK-SESSION-JAVA | Java | Защита от атак Java |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Защита от атак веб-оболочки |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Защита от атак AppSec |
| MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | Защита от атак SQLI |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Защита от атак CVE |
Отключенные правила
Следующие правила отключены по умолчанию для DRS 2.1.
| Идентификатор правила | Группа правил | Description | Сведения |
|---|---|---|---|
| 942110 | SQLI | Атака путем внедрения кода SQL: обнаружено общее тестирование внедрения | Заменено правилом MSTIC 99031001 |
| 942150 | SQLI | Атака путем внедрения кода SQL | Заменено правилом MSTIC 99031003 |
| 942260 | SQLI | Обнаруживает основные попытки обхода аутентификации SQL 2/3 | Заменено правилом MSTIC 99031004 |
| 942430 | SQLI | Ограниченный доступ аномалий обнаруженного символа SQL (аргументы): # превышено количество специальных символов (12) | Слишком много ложноположительных результатов |
| 942440 | SQLI | Обнаруженная последовательность комментариев SQL | Заменено правилом MSTIC 99031002 |
| 99005006 | MS-ThreatIntel-WebShells | Попытка взаимодействия со Spring4Shell | Включение правила для предотвращения уязвимости SpringShell |
| 99001014 | MS-ThreatIntel-CVEs | Попытка внедрения выражений маршрутизации Spring Cloud CVE-2022-22963 | Включение правила для предотвращения уязвимости SpringShell |
| 99001015 | MS-ThreatIntel-WebShells | Попытка использования небезопасных объектов класса Spring Framework CVE-2022-22965 | Включение правила для предотвращения уязвимости SpringShell |
| 99001016 | MS-ThreatIntel-WebShells | Попытка внедрения актуатора шлюза Spring Cloud CVE-2022-22947 | Включение правила для предотвращения уязвимости SpringShell |
| 99001017 | MS-ThreatIntel-CVEs | Попытка отправки файла Apache Struts CVE-2023-50164. | Включение правила для предотвращения уязвимостей Apache Struts |
DRS 2.0
Правила DRS 2.0 обеспечивают лучшую защиту, чем более ранние версии DRS. DRS 2.0 также поддерживает преобразования за рамки декодирования URL-адресов.
CRS 2.0 включает в себя 17 групп правил, как показано в следующей таблице. Каждая группа содержит несколько правил. Вы можете отключить отдельные правила и целые группы правил.
Примечание.
Служба DRS 2.0 доступна только в Azure Front Door ценовой категории "Премиум".
| Группа правил | ruleGroupName | Description |
|---|---|---|
| Общие сведения | Общие | Общая группа |
| METHOD-ENFORCEMENT | METHOD-ENFORCEMENT | Методы блокировки (PUT, PATCH) |
| PROTOCOL-ENFORCEMENT | PROTOCOL-ENFORCEMENT | Защита от проблем с протоколами и кодированием |
| PROTOCOL-ATTACK | PROTOCOL-ATTACK | Защита от внедрения заголовка, несанкционированных запросов и разделения ответа |
| APPLICATION-ATTACK-LFI | LFI | Защита от атак, направленных на путь и файлы |
| APPLICATION-ATTACK-RFI | RFI | Защита от атак включения удаленного файла (RFI) |
| APPLICATION-ATTACK-RCE | RCE | Защита от атак удаленного выполнения кода |
| APPLICATION-ATTACK-PHP | PHP | Защита от атак путем внедрения кода PHP |
| APPLICATION-ATTACK-NodeJS | NODEJS | Защита от атак Node.js |
| APPLICATION-ATTACK-XSS | Атака | Защита от атак с использованием межсайтовых сценариев |
| APPLICATION-ATTACK-SQLI | SQLI | Защита от атак путем внедрения кода SQL |
| APPLICATION-ATTACK-SESSION-FIXATION | ИСПРАВЛЕНИЕ | Защита от атак с фиксацией сеанса |
| APPLICATION-ATTACK-SESSION-JAVA | Java | Защита от атак Java |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Защита от атак веб-оболочки |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Защита от атак AppSec |
| MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | Защита от атак SQLI |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Защита от атак CVE |
DRS 1.1
| Группа правил | ruleGroupName | Description |
|---|---|---|
| PROTOCOL-ATTACK | PROTOCOL-ATTACK | Защита от внедрения заголовка, несанкционированных запросов и разделения ответа |
| APPLICATION-ATTACK-LFI | LFI | Защита от атак, направленных на путь и файлы |
| APPLICATION-ATTACK-RFI | RFI | Защита от атак путем включения удаленного файла |
| APPLICATION-ATTACK-RCE | RCE | Защита от удаленного выполнения команд |
| APPLICATION-ATTACK-PHP | PHP | Защита от атак путем внедрения кода PHP |
| APPLICATION-ATTACK-XSS | Атака | Защита от атак с использованием межсайтовых сценариев |
| APPLICATION-ATTACK-SQLI | SQLI | Защита от атак путем внедрения кода SQL |
| APPLICATION-ATTACK-SESSION-FIXATION | ИСПРАВЛЕНИЕ | Защита от атак с фиксацией сеанса |
| APPLICATION-ATTACK-SESSION-JAVA | Java | Защита от атак Java |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Защита от атак веб-оболочки |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Защита от атак AppSec |
| MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | Защита от атак SQLI |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Защита от атак CVE |
DRS 1.0
| Группа правил | ruleGroupName | Description |
|---|---|---|
| PROTOCOL-ATTACK | PROTOCOL-ATTACK | Защита от внедрения заголовка, несанкционированных запросов и разделения ответа |
| APPLICATION-ATTACK-LFI | LFI | Защита от атак, направленных на путь и файлы |
| APPLICATION-ATTACK-RFI | RFI | Защита от атак путем включения удаленного файла |
| APPLICATION-ATTACK-RCE | RCE | Защита от удаленного выполнения команд |
| APPLICATION-ATTACK-PHP | PHP | Защита от атак путем внедрения кода PHP |
| APPLICATION-ATTACK-XSS | Атака | Защита от атак с использованием межсайтовых сценариев |
| APPLICATION-ATTACK-SQLI | SQLI | Защита от атак путем внедрения кода SQL |
| APPLICATION-ATTACK-SESSION-FIXATION | ИСПРАВЛЕНИЕ | Защита от атак с фиксацией сеанса |
| APPLICATION-ATTACK-SESSION-JAVA | Java | Защита от атак Java |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Защита от атак веб-оболочки |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Защита от атак CVE |
Bot Manager 1.0
Набор правил Bot Manager 1.0 обеспечивает защиту от вредоносных ботов и обнаружения хороших ботов. Правила обеспечивают детальный контроль над ботами, обнаруженными WAF, классифицируя трафик бота как "Хороший", "Плохой" или "Неизвестный".
| Группа правил | Description |
|---|---|
| BadBots | Защита от недопустимых ботов |
| GoodBots | Выявление допустимых ботов |
| UnknownBots | Определение неизвестных ботов |
Bot Manager 1.1
Набор правил Bot Manager 1.1 — это улучшение набора правил Bot Manager 1.0. Она обеспечивает расширенную защиту от вредоносных ботов и повышает уровень обнаружения ботов.
| Группа правил | Description |
|---|---|
| BadBots | Защита от недопустимых ботов |
| GoodBots | Выявление допустимых ботов |
| UnknownBots | Определение неизвестных ботов |
Следующие группы правил и правила доступны при использовании Azure Брандмауэр веб-приложений в Azure Front Door.
Наборы правил 2.1
Общие
| Идентификатор правила | Description |
|---|---|
| 200002 | Не удалось проанализировать текст запроса |
| 200003 | Неудачная строгая проверка текста составного запроса |
Принудительное применение метода
| Идентификатор правила | Description |
|---|---|
| 911100 | Метод не разрешен политикой |
Применение протоколов
| Идентификатор правила | Description |
|---|---|
| 920100 | Недопустимая строка HTTP-запроса. |
| 920120 | Предпринята попытка обхода многопартийных или форм-данных. |
| 920121 | Предпринята попытка обхода многопартийных или форм-данных. |
| 920160 | Заголовок HTTP длины содержимого не является числовым. |
| 920170 | Заголовок GET или HEAD с содержимым текста |
| 920171 | Запрос GET или HEAD с Transfer-Encoding. |
| 920180 | В запросе POST отсутствует заголовок Content-Length |
| 920181 | Заголовки content-Length и Transfer-Encoding представляют 99001003. |
| 920190 | Диапазон: недопустимое значение последнего байта |
| 920200 | Диапазон: слишком много полей (6 или более). |
| 920201 | Диапазон: слишком много полей для pdf-запроса (35 или более). |
| 920210 | Найдено несколько ресурсов данных заголовка подключения или конфликтующие данные заголовка подключения |
| 920220 | Попытка атаки на кодирование URL-адресов. |
| 920230 | Обнаружено несколько кодировок URL-адресов. |
| 920240 | Попытка атаки на кодирование URL-адресов. |
| 920260 | Попытка атаки с использованием полной или половины ширины Юникода. |
| 920270 | Недопустимый символ в запросе (пустой символ). |
| 920271 | Недопустимый символ в запросе (непечатываемые символы). |
| 920280 | Запрос отсутствует заголовок узла. |
| 920290 | Пустой заголовок узла. |
| 920300 | Запрос отсутствия заголовка accept. |
| 920310 | Запрос имеет пустой заголовок accept. |
| 920311 | Запрос имеет пустой заголовок accept. |
| 920320 | Отсутствует заголовок агента пользователя. |
| 920330 | Пустой заголовок агента пользователя. |
| 920340 | Запрос содержит содержимое, но отсутствует заголовок типа контента. |
| 920341 | Запрос, содержащий содержимое, требует заголовка Content-Type. |
| 920350 | Заголовок узла — это числовой IP-адрес. |
| 920420 | Тип контента запроса не разрешен политикой. |
| 920430 | Версия протокола HTTP не разрешена политикой. |
| 920440 | Расширение URL-файла ограничено политикой. |
| 920450 | Заголовок HTTP ограничен политикой. |
| 920470 | Недопустимый заголовок типа контента. |
| 920480 | Charset типа контента запроса не допускается политикой. |
| 920500 | Попытайтесь получить доступ к резервному копированию или рабочему файлу. |
Атака протокола
| Идентификатор правила | Description |
|---|---|
| 921110 | Атака типа "Несанкционированный HTTP-запрос" |
| 921120 | Атака типа "Разделение HTTP-ответа" |
| 921130 | Атака типа "Разделение HTTP-ответа" |
| 921140 | Атака типа "Вставка заголовка HTTP" через заголовки |
| 921150 | Атака типа "Вставка заголовка HTTP" через полезные данные (обнаружено CR/LF) |
| 921151 | Атака типа "Вставка заголовка HTTP" через полезные данные (обнаружено CR/LF) |
| 921160 | Атака путем внедрения заголовка HTTP через полезные данные (обнаружены CR или LF и имя заголовка) |
| 921190 | Разделение HTTP (CR/LF в имени файла запроса обнаружено) |
| 921200 | Атака путем внедрения кода LDAP |
LFI: включение локального файла
| Идентификатор правила | Description |
|---|---|
| 930100 | Атака с обходом пути (/../) |
| 930110 | Атака с обходом пути (/../) |
| 930120 | Попытка доступа к файлу ОС |
| 930130 | Попытка доступа к ограниченному файлу |
RFI: включение удаленного файла
| Идентификатор правила | Description |
|---|---|
| 931100 | Возможная атака удаленного включения файлов (RFI): параметр URL с помощью IP-адреса |
| 931110 | Возможная атака с включением удаленного файла (RFI): общее имя уязвимого параметра RFI использовано с полезными данными URL-адреса |
| 931120 | Возможная атака с включением удаленного файла (RFI): полезные данные URL-адреса использованы с вопросительным знаком (?) в конце |
| 931130 | Возможная атака с включением удаленного файла (RFI): ссылка вне домена |
RCE: удаленное выполнение команд
| Идентификатор правила | Description |
|---|---|
| 932100 | Удаленное выполнение команды: внедрение команд UNIX |
| 932105 | Удаленное выполнение команды: внедрение команд UNIX |
| 932110 | Удаленное выполнение команды: внедрение команды Windows |
| 932115 | Удаленное выполнение команды: внедрение команды Windows |
| 932120 | Удаленное выполнение команд: обнаружена команда Windows PowerShell |
| 932130 | Удаленное выполнение команд: обнаружено выражение оболочки Unix или уязвимость Confluence (CVE-2022-26134) |
| 932140 | Удаленное выполнение команд: обнаружена команда FOR или IF Windows PowerShell |
| 932150 | Удаленное выполнение команды: прямое выполнение команды UNIX |
| 932160 | Удаленное выполнение команд: обнаружен код оболочки Unix |
| 932170 | Удаленное выполнение команд: Shellshock (CVE-2014-6271) |
| 932171 | Удаленное выполнение команд: Shellshock (CVE-2014-6271) |
| 932180 | Попытка передачи файла с ограниченным доступом |
Атаки PHP
| Идентификатор правила | Description |
|---|---|
| 933100 | Атака путем внедрения кода PHP: обнаружен открывающий и закрывающий тег |
| 933110 | Атака путем внедрения кода PHP: обнаружена передача файла сценария PHP |
| 933120 | Атака путем внедрения кода PHP: обнаружена директива конфигурации |
| 933130 | Атака путем внедрения кода PHP: обнаружены переменные |
| 933140 | Атака путем внедрения кода PHP: обнаружен поток ввода-вывода |
| 933150 | Атака путем внедрения кода PHP: обнаружено имя функции PHP с высоким уровнем риска |
| 933151 | Атака путем внедрения кода PHP: обнаружено имя функции PHP со средним уровнем риска |
| 933160 | Атака путем внедрения кода PHP: обнаружен вызов функции PHP с высоким уровнем риска |
| 933170 | Атака путем внедрения кода PHP: внедрение сериализованных объектов |
| 933180 | Атака путем внедрения кода PHP: обнаружен вызов функции переменной |
| 933200 | Атака путем внедрения кода PHP: обнаружена схема-оболочка |
| 933210 | Атака путем внедрения кода PHP: обнаружен вызов функции переменной |
Атаки JS узла
| Идентификатор правила | Description |
|---|---|
| 934100 | Атака путем внедрения Node.js |
XSS: межсайтовые скрипты
| Идентификатор правила | Description |
|---|---|
| 941100 | Библиотека libinjection обнаружила атаку с выполнением межсайтового сценария |
| 941101 | Библиотека libinjection обнаружила атаку с выполнением межсайтового сценария Правило обнаруживает запросы с заголовком Referer |
| 941110 | Фильтр межсайтовых сценариев категории 1: вектор тега скрипта |
| 941120 | Фильтр межсайтовых сценариев категории 2: вектор обработчика событий |
| 941130 | Фильтр межсайтовых сценариев категории 3: вектор атрибута |
| 941140 | Фильтр межсайтовых сценариев категории 4: вектор URI JavaScript |
| 941150 | Фильтр межсайтовых сценариев категории 5: запрещенные атрибуты HTML |
| 941160 | NoScript XSS InjectionChecker: внедрение HTML |
| 941170 | NoScript XSS InjectionChecker: внедрение атрибута |
| 941180 | Ключевые слова из списка блокировки средства проверки узлов |
| 941190 | Межсайтовый сценарий с использованием таблиц стилей |
| 941200 | Межсайтовый сценарий с использованием фреймов VML |
| 941210 | Межсайтовый сценарий с использованием замаскированного JavaScript |
| 941220 | Межсайтовый сценарий с использованием замаскированного сценария Visual Basic |
| 941230 | XSS с помощью embed тега |
| 941240 | Использование import XSS или implementation атрибут |
| 941250 | Фильтры межсайтовых сценариев Internet Explorer — обнаружена атака |
| 941260 | XSS с помощью meta тега |
| 941270 | XSS с помощью link href |
| 941280 | XSS с помощью base тега |
| 941290 | XSS с помощью applet тега |
| 941300 | XSS с помощью object тега |
| 941310 | Фильтр XSS с неправильной кодировкой US-ASCII — обнаружена атака |
| 941320 | Обнаружена возможная атака с выполнением межсайтового сценария — обработчик тегов HTML |
| 941330 | Фильтры межсайтовых сценариев Internet Explorer — обнаружена атака |
| 941340 | Фильтры межсайтовых сценариев Internet Explorer — обнаружена атака |
| 941350 | Кодировка IE XSS UTF-7 — обнаружена атака |
| 941360 | Обнаружена обфускация JavaScript |
| 941370 | Найдена глобальная переменная JavaScript |
| 941380 | Обнаружено внедрение шаблона на стороне клиента AngularJS |
SQLI: внедрение SQL
| Идентификатор правила | Description |
|---|---|
| 942100 | Атака внедрения SQL обнаружена с помощью libinjection. |
| 942110 | Атака на внедрение SQL: обнаружена распространенная проверка внедрения. |
| 942120 | Атака на внедрение SQL: обнаружен оператор SQL. |
| 942140 | Атака на внедрение SQL: обнаружены распространенные имена баз данных. |
| 942150 | Атака путем внедрения кода SQL |
| 942160 | Обнаруживает слепые тесты SQLI с помощью sleep() или benchmark(). |
| 942170 | Обнаруживает попытки тестирования теста SQL и внедрения спящего режима, включая условные запросы. |
| 942180 | Обнаруживает базовые попытки обхода проверки подлинности SQL 1/3. |
| 942190 | Обнаруживает попытки выполнения кода MSSQL и сбора информации. |
| 942200 | Обнаруживает примечания MySQL -/space-obfuscated внедрения и обратного завершения. |
| 942210 | Обнаруживает попытки внедрения в цепочку SQL 1/2. |
| 942220 | Поиск целых атак переполнения, они взяты из прошки, за исключением 3.0.00738585072007e-308 является "волшебным номером". |
| 942230 | Обнаруживает условные попытки внедрения SQL. |
| 942240 | Обнаруживает переключение charset MySQL и попытки DOS MSSQL. |
| 942250 | Обнаруживает СОПОСТАВЛЕНИЯ ПРОТИВ, СЛИЯНИЕ и ВЫПОЛНЕНИЕ НЕМЕДЛЕННЫХ инъекций. |
| 942260 | Обнаруживает базовые попытки обхода проверки подлинности SQL 2/3. |
| 942270 | Ищете базовую внедрение SQL. Общая строка атаки для MySQL, Oracle и других. |
| 942280 | Обнаруживает внедрение Postgres pg_sleep, ожидает задержки атак и попыток завершения работы базы данных. |
| 942290 | Находит базовые попытки внедрения MongoDB SQL. |
| 942300 | Обнаруживает примечания, условия и инъекции ch(a)r MySQL. |
| 942310 | Обнаруживает попытки внедрения в цепочку SQL 2/2. |
| 942320 | Обнаруживает хранимую процедуру или внедрение функций MySQL и PostgreSQL. |
| 942330 | Обнаруживает классические пробы внедрения SQL 1/2. |
| 942340 | Обнаруживает базовые попытки обхода проверки подлинности SQL 3/3. |
| 942350 | Обнаруживает внедрение UDF MySQL и другие попытки манипуляций с данными и структурой. |
| 942360 | Обнаруживает сцепленные базовые попытки внедрения SQL и SQLLFI. |
| 942361 | Обнаруживает базовую внедрение SQL на основе изменения ключевого слова или объединения. |
| 942370 | Обнаруживает классические пробы внедрения sql 2/2. |
| 942380 | Атака путем внедрения кода SQL |
| 942390 | Атака путем внедрения кода SQL |
| 942400 | Атака путем внедрения кода SQL |
| 942410 | Атака путем внедрения кода SQL |
| 942430 | Обнаружение аномалий с ограниченными символами SQL (args): число специальных символов превысило (12). |
| 942440 | Обнаружена последовательность комментариев SQL |
| 942450 | Определяемая шестнадцатеричная кодировка SQL. |
| 942460 | Оповещение об обнаружении аномалий мета-символов — повторяющиеся символы, отличные от word. |
| 942470 | Атака путем внедрения кода SQL |
| 942480 | Атака путем внедрения кода SQL |
| 942500 | Обнаружен внутренний комментарий MySQL |
| 942510 | Обнаружена попытка обхода SQLI посредством тактов или обратных тактов. |
Фиксация сеансов
| Идентификатор правила | Description |
|---|---|
| 943100 | Возможная атака с фиксацией сеанса: установка значений файла cookie в HTML |
| 943110 | Возможная атака с фиксацией сеанса: имя параметра SessionID с источником ссылки вне домена |
| 943120 | Возможная атака с фиксацией сеанса: имя параметра SessionID без источника ссылки |
Атаки Java.
| Идентификатор правила | Description |
|---|---|
| 944100 | Удаленное выполнение команд: Apache Struts, Oracle WebLogic |
| 944110 | Обнаружение потенциального выполнения атакующего кода |
| 944120 | Возможное выполнение атакующего кода и удаленное выполнение команды |
| 944130 | Подозрительные классы Java |
| 944200 | Несанкционированное использование десериализации Java Apache Commons |
| 944210 | Возможное использование сериализации Java |
| 944240 | Удаленное выполнение команды: уязвимость сериализации и Log4j в Java (CVE-2021-44228, CVE-2021-45046) |
| 944250 | Удаленное выполнение команд: обнаружен подозрительный метод Java |
MS-ThreatIntel-WebShells
| Идентификатор правила | Description |
|---|---|
| 99005002 | Попытка взаимодействия с веб-оболочкой (POST) |
| 99005003 | Попытка передачи в веб-оболочку (POST) — CHOPPER PHP |
| 99005004 | Попытка передачи в веб-оболочку (POST) — CHOPPER ASPX |
| 99005005 | Попытка взаимодействия с веб-оболочкой |
| 99005006 | Попытка взаимодействия со Spring4Shell |
MS-ThreatIntel-AppSec
| Идентификатор правила | Description |
|---|---|
| 99030001 | Внедрение обходного пути в заголовки (/.././../) |
| 99030002 | Внедрение обходного пути в текст запроса (/.././../) |
MS-ThreatIntel-SQLI
| Идентификатор правила | Description |
|---|---|
| 99031001 | Атака путем внедрения кода SQL: обнаружено общее тестирование внедрения |
| 99031002 | Обнаруженная последовательность комментариев SQL |
| 99031003 | Атака путем внедрения кода SQL |
| 99031004 | Обнаруживает основные попытки обхода аутентификации SQL 2/3 |
MS-ThreatIntel-CVEs
| Идентификатор правила | Description |
|---|---|
| 99001001 | Попытка использования REST API F5 tmui (CVE-2020-5902) с известными учетными данными |
| 99001002 | Попытка обхода каталога Citrix NSC_USER CVE-2019-19781 |
| 99001003 | Попытка использования соединителя мини-приложения Atlassian Confluence CVE-2019-3396 |
| 99001004 | Попытка использования пользовательского шаблона Pulse Secure CVE-2020-8243 |
| 99001005 | Попытка использования конвертера типов SharePoint CVE-2020-0932 |
| 99001006 | Попытка обхода каталога Pulse Connect CVE-2019-11510 |
| 99001007 | Попытка включения локального файла J-Web в ос Junos OS CVE-2020-1631 |
| 99001008 | Попытка обхода пути Fortinet CVE-2018-13379 |
| 99001009 | Попытка внедрения Apache Struts ognl CVE-2017-5638 |
| 99001010 | Попытка внедрения Apache Struts ognl CVE-2017-12611 |
| 99001011 | Попытка обхода пути Oracle WebLogic CVE-2020-14882 |
| 99001012 | Попытка использования Telerik WebUI небезопасной десериализации CVE-2019-18935 |
| 99001013 | Попытка небезопасной десериализации XML в SharePoint CVE-2019-0604 |
| 99001014 | Попытка внедрения выражений маршрутизации Spring Cloud CVE-2022-22963 |
| 99001015 | Попытка использования небезопасных объектов класса Spring Framework CVE-2022-22965 |
| 99001016 | Попытка внедрения актуатора шлюза Spring Cloud CVE-2022-22947 |
| 99001017 | Попытка отправки файла Apache Struts CVE-2023-50164 |
Примечание.
При просмотре журналов WAF может появиться идентификатор правила 949110. Описание правила может включать превышение оценки аномалий для входящего трафика.
Это правило указывает, что общая оценка аномалий для запроса превысила максимальную допустимую оценку. Дополнительные сведения см. в разделе Оценка аномалий.
При настройке политики WAF необходимо изучить другие правила, которые были активированы запросом, чтобы можно было настроить конфигурацию WAF. Дополнительные сведения см. в статье "Настройка Azure Брандмауэр веб-приложений для Azure Front Door".