Freigeben über

DRS-Regelgruppen und -Regeln von Web Application Firewall

Azure Web Application Firewall in Azure Front Door schützt Webanwendungen vor gängigen Sicherheitsrisiken und Exploits. Von Azure verwaltete Regelsätze bieten eine einfache Möglichkeit zum Bereitstellen von Schutz vor allgemeinen Sicherheitsbedrohungen. Da Azure diese Regelsätze verwaltet, werden die Regeln bei Bedarf aktualisiert, um vor neuen Angriffssignaturen zu schützen.

Der Standardregelsatz (Default Rule Set, DRS) enthält auch die Microsoft Threat Intelligence Collection-Regeln, die in Zusammenarbeit mit dem Microsoft Intelligence-Team entwickelt wurden, um eine größere Abdeckung, Patches für bestimmte Sicherheitsrisiken und eine Reduzierung von False Positive-Ergebnissen zu gewährleisten.

Hinweis

Wenn eine Regelsatzversion in einer WAF-Richtlinie geändert wird, werden alle vorhandenen Anpassungen, die Sie an Ihrem Regelsatz vorgenommen haben, auf die Standardwerte für den neuen Regelsatz zurückgesetzt. Siehe: Aktualisieren oder Ändern der Regelsatzversion.

Standardregelsätze

Das von Azure verwaltete DRS enthält Regeln für die folgenden Bedrohungskategorien:

  • Cross-Site-Scripting
  • Java-Angriffe
  • Local File Inclusion
  • PHP Code-Injection
  • Remotebefehlsausführung
  • Remote File Inclusion
  • Session Fixation
  • Schutz vor Einschleusung von SQL-Befehlen
  • Protokollangreifer

Die Versionsnummer des Standardregelsatzes wird erhöht, wenn dem Regelsatz neue Angriffssignaturen hinzugefügt werden.

Der Standardregelsatz wird standardmäßig im Erkennungsmodus in den WAF-Richtlinien aktiviert. Sie können einzelne Regeln im DRS deaktivieren bzw. aktivieren, um die Anforderungen Ihrer Anwendungen zu erfüllen. Sie können pro Regel auch bestimmte Aktionen festlegen. Die verfügbaren Aktionen lauten Zulassen, Blockieren, Protokollieren und Umleiten.

Manchmal ist es erforderlich, bestimmte Anforderungsattribute in einer WAF-Auswertung (Web Application Firewall) wegzulassen. Ein gängiges Beispiel sind von Active Directory eingefügte Token, die für die Authentifizierung verwendet werden. Sie können eine Ausschlussliste für eine verwaltete Regel, eine Regelgruppe oder den gesamten Regelsatz konfigurieren. Weitere Informationen finden Sie unter Ausschlusslisten von Azure Web Application Firewall in Azure Front Door.

Standardmäßig verwenden DRS-Versionen ab Version 2.0 und höher die Anomaliebewertung, wenn eine Anforderung mit einer Regel übereinstimmt. DRS-Versionen vor Version 2.0 blockieren Anforderungen, welche die Regeln auslösen. Darüber hinaus können in derselben WAF-Richtlinie auch benutzerdefinierte Regeln konfiguriert werden, wenn Sie eine der vorkonfigurierten Regeln im DRS umgehen möchten.

Benutzerdefinierte Regeln werden immer angewendet, bevor die Regeln im DRS ausgewertet werden. Wenn eine Anforderung einer benutzerdefinierten Regel entspricht, wird die entsprechende Regelaktion angewendet. Die Anforderung wird entweder gesperrt oder an das Back-End weitergeleitet. Es werden keine weiteren benutzerdefinierten Regeln oder Regeln im DRS verarbeitet. Das DRS kann auch aus Ihren WAF-Richtlinien entfernt werden.

Regeln der Microsoft Threat Intelligence-Sammlung

Die Regeln der Microsoft Threat Intelligence-Sammlung werden in Zusammenarbeit mit dem Microsoft Threat Intelligence-Team verfasst, um eine bessere Abdeckung, Patches für bestimmte Sicherheitsrisiken und eine stärkere Reduzierung falsch positiver Ergebnisse zu bieten.

Standardmäßig ersetzen die Regeln der Microsoft Threat Intelligence Collection einige der integrierten DRS-Regeln, wodurch sie deaktiviert werden. So wurde etwa Regel-ID 942440, SQL Comment Sequence Detected., deaktiviert und durch die Microsoft Threat Intelligence Collection-Regel 99031002 ersetzt. Die ersetzte Regel reduziert das Risiko, bei legitimen Anforderungen False Positives zu erkennen.

Anomaliebewertung

Wenn Sie DRS 2.0 oder höher verwenden, verwendet Ihre WAF Anomaliebewertung. Datenverkehr, der einer Regel entspricht, wird nicht sofort blockiert, auch nicht, wenn sich Ihr WAF im Schutzmodus befindet. Stattdessen definieren die OWASP-Regelsätze einen Schweregrad für jede Regel: Kritisch, Fehler, Warnung oder Hinweis. Der Schweregrad wirkt sich auf einen numerischen Wert für die Anforderung aus, der als Anomaliebewertung bezeichnet wird. Wenn eine Anforderung eine Anomaliebewertung von mindestens 5 erreicht, ergreift WAF Maßnahmen gegen diese Anforderung.

Schweregrad der Regel Wert, der in die Anomaliebewertung einfließt
Kritisch 5
Fehler 4
Warnung 3
Hinweis 2

Wenn Sie Ihre WAF-Instanz konfigurieren, können Sie entscheiden, wie diese Anforderungen verarbeitet, die den Schwellenwert 5 bei der Anomaliebewertung überschreiten. Die drei Optionen für Anomaliebewertungsaktion sind „Blockieren“, „Protokollieren“ und „Umleiten“. Die Anomaliebewertungsaktion, die Sie zum Zeitpunkt der Konfiguration auswählen, gilt für alle Anforderungen, die den Schwellenwert der Anomaliebewertung überschreiten.

Wenn die Anomaliebewertung einer Anforderung beispielsweise mindestens 5 beträgt, WAF im Präventionsmodus arbeitet und die Anomaliebewertungsaktion auf „Blockieren“ festgelegt ist, wird die Anforderung blockiert. Wenn die Anomaliebewertung mindestens 5 ist und für WAF der Erkennungsmodus festgelegt ist, wird die Anforderung protokolliert, aber nicht blockiert.

Eine Übereinstimmung mit der Regel Kritisch reicht aus, damit WAF eine Anforderung blockiert, wenn der Präventionsmodus aktiv ist und die Anomaliebewertungsaktion auf „Blockieren“ festgelegt ist, da die Anomaliebewertung insgesamt 5 beträgt. Eine Übereinstimmung mit einer Warnungsregel erhöht die Anomaliebewertung jedoch nur um 3, was alleine nicht ausreicht, um den Datenverkehr zu blockieren. Wenn eine Anomalieregel ausgelöst wird, wird in den Protokollen eine Aktion vom Typ „Übereinstimmung“ angezeigt. Wenn die Anomaliewertung 5 oder höher ist, wird eine separate Regel mit der für den Regelsatz konfigurierten Anomaliewertungsaktion ausgelöst. Die standardmäßig festgelegte Anomaliebewertungsaktion ist „Blockieren“, was zu einem Protokolleintrag mit der Aktion blocked führt.

Wenn Ihre WAF eine ältere Version des Standardregelsatzes (vor DRS 2.0) verwendet, wird Ihre WAF im herkömmlichen Modus ausgeführt. Datenverkehr, der einer Regel entspricht, wird unabhängig davon berücksichtigt, ob er mit einer anderen Regel übereinstimmt. Im herkömmlichen Modus haben Sie keinen Einblick in den vollständigen Regelsatz, dem eine bestimmte Anforderung entsprochen hat.

Die Version des von Ihnen verwendeten DRS bestimmt auch, welche Inhaltstypen für die Untersuchung des Anforderungstexts unterstützt werden. Weitere Informationen finden Sie unter "Welche Inhaltstypen unterstützt WAF in den häufig gestellten Fragen".

Paranoia-Grad

Jede Regel ist einer bestimmten Paranoia-Ebene (PL) zugeordnet. Regeln, die in Paranoia Level 1 (PL1) konfiguriert sind, sind weniger aggressiv und lösen kaum ein falsch positives Ergebnis aus. Sie bieten grundlegende Sicherheit mit minimalem Feinoptimierungsbedarf. Die Regeln in PL2 erkennen mehr Angriffe. Es ist jedoch zu erwarten, dass sie falsch positive Warnungen auslösen, die noch optimiert werden müssen.

Standardmäßig ist DRS 2.2 auf Paranoia Level 1 (PL1) konfiguriert, und alle PL2-Regeln sind deaktiviert. Um WAF bei PL2 auszuführen, können Sie beliebige oder alle PL2-Regeln manuell aktivieren. Für frühere Regelsätze umfassen DRS 2.1 und CRS 3.2 Regeln, die für Paranoia Level 2 definiert sind, die sowohl PL1- als auch PL2-Regeln abdeckt. Wenn Sie lieber strikt bei PL1 arbeiten möchten, können Sie bestimmte PL2-Regeln deaktivieren oder deren Aktion auf "Protokoll" festlegen.

Paranoia-Ebene 3 und 4 werden derzeit in Azure WAF nicht unterstützt.

Aktualisieren oder Ändern der Regelsatzversion

Wenn Sie ein Upgrade durchführen oder eine neue Regelsatzversion zuweisen und vorhandene Regelüberschreibungen und -ausschlüsse beibehalten möchten, wird empfohlen, PowerShell, CLI, REST-API oder eine Vorlage zu verwenden, um Änderungen an der Regelsatzversion vorzunehmen. Eine neue Version eines Regelsatzes kann neuere Regeln, zusätzliche Regelgruppen und möglicherweise Aktualisierungen vorhandener Signaturen aufweisen, um eine bessere Sicherheit zu erzwingen und falsch positive Ergebnisse zu reduzieren. Es wird empfohlen, Änderungen in einer Testumgebung zu validieren, bei Bedarf eine Feinabstimmung vorzunehmen und dann in einer Produktionsumgebung bereitzustellen.

Hinweis

Wenn Sie das Azure-Portal verwenden, um einer WAF-Richtlinie einen neuen verwalteten Regelsatz zuzuweisen, werden alle vorherigen Anpassungen des vorhandenen verwalteten Regelsatzes, z. B. Regelstatus, Regelaktionen und Ausschlüsse auf Regelebene, auf die Standardwerte des neuen verwalteten Regelsatzes zurückgesetzt. Alle benutzerdefinierten Regeln oder Richtlinieneinstellungen bleiben jedoch während der Zuweisung des neuen Regelsatzes unberührt. Sie müssen Regelüberschreibungen neu definieren und Änderungen validieren, bevor diese in einer Produktionsumgebung implementiert werden.

DRS 2.2

Von Bedeutung

Derzeit können Sie DRS 2.2 nicht zuweisen, obwohl sie im Azure-Portal als verfügbar angezeigt wird.

DRS 2.2-Regeln bieten einen besseren Schutz als frühere Versionen des DRS. DRS 2.1 enthält weitere Regeln, die vom Microsoft Threat Intelligence-Team entwickelt wurden, sowie Updates für Signaturen, um falsch positive Ergebnisse zu reduzieren. Außerdem werden Transformationen über die URL-Decodierung hinaus unterstützt.

DRS 2.2 enthält 18 Regelgruppen, wie in der folgenden Tabelle dargestellt. Jede Gruppe enthält mehrere Regeln, und Sie können das Verhalten für einzelne Regeln, Regelgruppen oder den gesamten Regelsatz anpassen. DRS 2.2 basiert auf dem Open Web Application Security Project (OWASP) Core Rule Set (CRS) 3.3.4 und enthält zusätzliche proprietäre Schutzregeln, die vom Microsoft Threat Intelligence-Team entwickelt wurden.

Deaktivierte Regeln

DRS 2.2-Regeln, die in Paranoia Level 2 konfiguriert sind, sind standardmäßig deaktiviert. Sie können deren Status als deaktiviert belassen, wenn Sie Ihre WAF-Richtlinie in Paranoia-Stufe 1 konfigurieren möchten. Wenn Sie die Paranoia-Ebene der Richtlinie erhöhen möchten, können Sie den Status dieser Regeln sicher auf "aktiviert" ändern und deren Aktion auf "Protokollierungsmodus" setzen. Analysieren Sie das Protokoll, führen Sie die erforderliche Feinabstimmung durch und aktivieren Sie die Regeln entsprechend. Weitere Informationen finden Sie unter Tuning Web Application Firewall (WAF) für Azure Front Door und Paranoia Level.

Einige OWASP-Regeln werden durch von Microsoft verfasste Ersetzungen ersetzt. Die ursprünglichen Regeln sind standardmäßig deaktiviert, und ihre Beschreibungen enden mit "(ersetzt durch ...)".

Regelgruppe ruleGroupName BESCHREIBUNG
Allgemein Allgemein Allgemeine Gruppe
METHOD-ENFORCEMENT METHOD-ENFORCEMENT Sperren von Methoden (PUT, PATCH)
DURCHSETZUNG DES PROTOKOLLS PROTOCOL-ENFORCEMENT Schutz vor Protokoll- und Codierungsproblemen
Protokollangriff PROTOCOL-ATTACK Schutz vor Header Injection, Request Smuggling und Response Splitting
APPLICATION-ATTACK-LFI LFI Schutz vor Datei- und Pfadangriffen
APPLICATION-ATTACK-RFI RFI Schutz vor RFI-Angriffen (Remote File Inclusion)
APPLICATION-ATTACK-RCE RCE Schutz vor der Remoteausführung von Code
APPLICATION-ATTACK-PHP PHP Schutz vor Angriffen mit Einschleusung von PHP-Befehlen
ANWENDUNG-ANGRIFF-NodeJS NODEJS Schutz vor Node.js-Angriffen
APPLICATION-ATTACK-XSS XSS Schutz vor Angriffen durch websiteübergreifendes Skripting
ANWENDUNGSANGRIFF-SQLI SQLI Schutz vor Angriffen mit Einschleusung von SQL-Befehlen
APPLICATION-ATTACK-SESSION-FIXATION KORREKTUR Schutz vor Session Fixation-Angriffen
APPLICATION-ATTACK-SESSION-JAVA Java Schutz vor Java-Angriffen
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Schutz vor Webshell-Angriffen
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec Schutz vor Angriffen auf die Anwendungssicherheit
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI Schutz vor Angriffen mit Einschleusung von SQL-Befehlen
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs Schutz vor CVE-Angriffen
MS-ThreatIntel-XSS MS-ThreatIntel-XSS Schutz vor XSS-Angriffen

DRS 2.1

DRS 2.1-Regeln bieten besseren Schutz als frühere Versionen von DRS. DRS 2.1 enthält weitere Regeln, die vom Microsoft Threat Intelligence-Team entwickelt wurden, sowie Updates für Signaturen, um falsch positive Ergebnisse zu reduzieren. Außerdem werden Transformationen über die URL-Decodierung hinaus unterstützt.

DRS 2.1 umfasst 17 Regelgruppen, wie in der folgenden Tabelle gezeigt. Jede Gruppe enthält mehrere Regeln, und Sie können das Verhalten für einzelne Regeln, Regelgruppen oder den gesamten Regelsatz anpassen. DRS 2.1 basiert auf Open Web Application Security Project (OWASP) Core Rule Set (CRS) 3.3.2 und enthält zusätzliche proprietäre Schutzregeln, die vom Microsoft Threat Intelligence-Team entwickelt wurden.

Weitere Informationen finden Sie unter Optimieren der Web Application Firewall (WAF) für Azure Front Door.

Hinweis

DRS 2.1 ist nur in Azure Front Door Premium verfügbar.

Regelgruppe ruleGroupName BESCHREIBUNG
Allgemein Allgemein Allgemeine Gruppe
METHOD-ENFORCEMENT METHOD-ENFORCEMENT Sperren von Methoden (PUT, PATCH)
DURCHSETZUNG DES PROTOKOLLS PROTOCOL-ENFORCEMENT Schutz vor Protokoll- und Codierungsproblemen
Protokollangriff PROTOCOL-ATTACK Schutz vor Header Injection, Request Smuggling und Response Splitting
APPLICATION-ATTACK-LFI LFI Schutz vor Datei- und Pfadangriffen
APPLICATION-ATTACK-RFI RFI Schutz vor RFI-Angriffen (Remote File Inclusion)
APPLICATION-ATTACK-RCE RCE Schutz vor der Remoteausführung von Code
APPLICATION-ATTACK-PHP PHP Schutz vor Angriffen mit Einschleusung von PHP-Befehlen
ANWENDUNG-ANGRIFF-NodeJS NODEJS Schutz vor Node.js-Angriffen
APPLICATION-ATTACK-XSS XSS Schutz vor Angriffen durch websiteübergreifendes Skripting
ANWENDUNGSANGRIFF-SQLI SQLI Schutz vor Angriffen mit Einschleusung von SQL-Befehlen
APPLICATION-ATTACK-SESSION-FIXATION KORREKTUR Schutz vor Session Fixation-Angriffen
APPLICATION-ATTACK-SESSION-JAVA Java Schutz vor Java-Angriffen
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Schutz vor Webshell-Angriffen
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec Schutz vor Angriffen auf die Anwendungssicherheit
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI Schutz vor Angriffen mit Einschleusung von SQL-Befehlen
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs Schutz vor CVE-Angriffen

Deaktivierte Regeln

Die folgenden Regeln sind für DRS 2.1 standardmäßig deaktiviert.

Regel-ID Regelgruppe BESCHREIBUNG Einzelheiten
942110 SQLI Angriff mit Einschleusung von SQL-Befehlen: Gängige Tests für Einschleusung von SQL-Befehlen erkannt Ersetzt durch MSTIC-Regel 99031001
942150 SQLI Angriff mit Einschleusung von SQL-Befehlen Ersetzt durch MSTIC-Regel 99031003
942260 SQLI Erkennt Versuche der Umgehung der einfachen SQL-Authentifizierung, 2/3 Ersetzt durch MSTIC-Regel 99031004
942430 SQLI Eingeschränkte Anomalieerkennung für SQL-Zeichen (Argumente): Anzahl von Sonderzeichen überschritten (12) Zu viele False Positives
942440 SQLI SQL-Kommentarsequenz erkannt Ersetzt durch MSTIC-Regel 99031002
99005006 MS-ThreatIntel-WebShells Spring4Shell-Interaktionsversuch Aktivieren einer Regel zur Verhinderung von SpringShell-Sicherheitsrisiken
99001014 MS-ThreatIntel-CVEs Versucht der Einschleusung von Spring Cloud-Routingausdrücken CVE-2022-22963 Aktivieren einer Regel zur Verhinderung von SpringShell-Sicherheitsrisiken
99001015 MS-ThreatIntel-WebShells Versuch der Ausnutzung der nicht sicherer Klassenobjekte von Spring Framework CVE-2022-22965 Aktivieren einer Regel zur Verhinderung von SpringShell-Sicherheitsrisiken
99001016 MS-ThreatIntel-WebShells Versuch der Einschleusung eins Spring Cloud Gateway-Aktuators CVE-2022-22947 Aktivieren einer Regel zur Verhinderung von SpringShell-Sicherheitsrisiken
99001017 MS-ThreatIntel-CVEs Versuchter Apache Struts-Dateiupload CVE-2023-50164 Regel aktivieren, um das Sicherheitsrisiko von Apache Struts zu verhindern

DRS 2.0

DRS 2.0-Regeln bieten besseren Schutz als frühere Versionen von DRS. Außerdem unterstützt DRS 2.0 Transformationen über die URL-Decodierung hinaus.

DRS 2.0 umfasst 17 Regelgruppen, wie in der folgenden Tabelle gezeigt. Jede Gruppe enthält mehrere Regeln. Sie können einzelne Regeln und ganze Regelgruppen deaktivieren.

Hinweis

DRS 2.0 ist nur in Azure Front Door Premium verfügbar.

Regelgruppe ruleGroupName BESCHREIBUNG
Allgemein Allgemein Allgemeine Gruppe
METHOD-ENFORCEMENT METHOD-ENFORCEMENT Sperren von Methoden (PUT, PATCH)
DURCHSETZUNG DES PROTOKOLLS PROTOCOL-ENFORCEMENT Schutz vor Protokoll- und Codierungsproblemen
Protokollangriff PROTOCOL-ATTACK Schutz vor Header Injection, Request Smuggling und Response Splitting
APPLICATION-ATTACK-LFI LFI Schutz vor Datei- und Pfadangriffen
APPLICATION-ATTACK-RFI RFI Schutz vor RFI-Angriffen (Remote File Inclusion)
APPLICATION-ATTACK-RCE RCE Schutz vor der Remoteausführung von Code
APPLICATION-ATTACK-PHP PHP Schutz vor Angriffen mit Einschleusung von PHP-Befehlen
ANWENDUNG-ANGRIFF-NodeJS NODEJS Schutz vor Node.js-Angriffen
APPLICATION-ATTACK-XSS XSS Schutz vor Angriffen durch websiteübergreifendes Skripting
ANWENDUNGSANGRIFF-SQLI SQLI Schutz vor Angriffen mit Einschleusung von SQL-Befehlen
APPLICATION-ATTACK-SESSION-FIXATION KORREKTUR Schutz vor Session Fixation-Angriffen
APPLICATION-ATTACK-SESSION-JAVA Java Schutz vor Java-Angriffen
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Schutz vor Webshell-Angriffen
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec Schutz vor Angriffen auf die Anwendungssicherheit
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI Schutz vor Angriffen mit Einschleusung von SQL-Befehlen
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs Schutz vor CVE-Angriffen

DRS 1.1

Regelgruppe ruleGroupName BESCHREIBUNG
Protokollangriff PROTOCOL-ATTACK Schutz vor Header Injection, Request Smuggling und Response Splitting
APPLICATION-ATTACK-LFI LFI Schutz vor Datei- und Pfadangriffen
APPLICATION-ATTACK-RFI RFI Schutz vor Remote File Inclusion-Angriffen
APPLICATION-ATTACK-RCE RCE Schutz vor Remotebefehlsausführung
APPLICATION-ATTACK-PHP PHP Schutz vor Angriffen mit Einschleusung von PHP-Befehlen
APPLICATION-ATTACK-XSS XSS Schutz vor Angriffen durch websiteübergreifendes Skripting
ANWENDUNGSANGRIFF-SQLI SQLI Schutz vor Angriffen mit Einschleusung von SQL-Befehlen
APPLICATION-ATTACK-SESSION-FIXATION KORREKTUR Schutz vor Session Fixation-Angriffen
APPLICATION-ATTACK-SESSION-JAVA Java Schutz vor Java-Angriffen
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Schutz vor Webshell-Angriffen
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec Schutz vor Angriffen auf die Anwendungssicherheit
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI Schutz vor Angriffen mit Einschleusung von SQL-Befehlen
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs Schutz vor CVE-Angriffen

DRS 1.0

Regelgruppe ruleGroupName BESCHREIBUNG
Protokollangriff PROTOCOL-ATTACK Schutz vor Header Injection, Request Smuggling und Response Splitting
APPLICATION-ATTACK-LFI LFI Schutz vor Datei- und Pfadangriffen
APPLICATION-ATTACK-RFI RFI Schutz vor Remote File Inclusion-Angriffen
APPLICATION-ATTACK-RCE RCE Schutz vor Remotebefehlsausführung
APPLICATION-ATTACK-PHP PHP Schutz vor Angriffen mit Einschleusung von PHP-Befehlen
APPLICATION-ATTACK-XSS XSS Schutz vor Angriffen durch websiteübergreifendes Skripting
ANWENDUNGSANGRIFF-SQLI SQLI Schutz vor Angriffen mit Einschleusung von SQL-Befehlen
APPLICATION-ATTACK-SESSION-FIXATION KORREKTUR Schutz vor Session Fixation-Angriffen
APPLICATION-ATTACK-SESSION-JAVA Java Schutz vor Java-Angriffen
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Schutz vor Webshell-Angriffen
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs Schutz vor CVE-Angriffen

Bot-Manager 1.0

Der Bot Manager 1.0-Regelsatz bietet Schutz vor schädlichen Bots und erkennt gute Bots. Die Regeln bieten präzise Kontrolle über Bots, die von WAF erkannt werden, indem Bot-Datenverkehr als Datenverkehr von guten, ungültigen oder unbekannten Bots kategorisiert wird.

Regelgruppe BESCHREIBUNG
Böse Bots Schutz vor bösartigen Bots
GuteBots Identifizieren von gültigen Bots
Unbekannte Bots Identifizieren von unbekannten Bots

Bot-Manager 1.1

Der Bot Manager 1.1-Regelsatz stellt eine Erweiterung des Bot Manager 1.0-Regelsatzes dar. er bietet höheren Schutz vor schädlichen Bots und verbessert die Erkennung guter Bots.

Regelgruppe BESCHREIBUNG
Böse Bots Schutz vor bösartigen Bots
GuteBots Identifizieren von gültigen Bots
Unbekannte Bots Identifizieren von unbekannten Bots

Die folgenden Regelgruppen und Regeln sind bei Verwendung von Azure Web Application Firewall für Azure Front Door verfügbar.

2.2 Regelsätze

Allgemein

Regel-ID Schweregrad des Anomalie-Scores Paranoia-Ebene BESCHREIBUNG
200002 Kritisch - 5 1 Fehler beim Analysieren des Anforderungstexts.
200003 Kritisch - 5 1 Fehler bei der strengen Überprüfung des mehrteiligen Anforderungstexts

Methodenerzwingung

Regel-ID Schweregrad des Anomalie-Scores Paranoia-Ebene BESCHREIBUNG
911100 Kritisch - 5 1 Methode ist gemäß Richtlinie nicht zulässig

Protokolldurchsetzung

Regel-ID Schweregrad des Anomalie-Scores Paranoia-Ebene BESCHREIBUNG
920100 Hinweis - 2 1 Ungültige HTTP-Anforderungszeile
920120 Kritisch - 5 1 Versuchte „multipart/form-data“-Umgehung
920121 Kritisch - 5 2 Versuchte „multipart/form-data“-Umgehung
920160 Kritisch - 5 1 Content-Length-HTTP-Header ist nicht numerisch.
920170 Kritisch - 5 1 GET- oder HEAD-Anforderung mit Textinhalt
920171 Kritisch - 5 1 GET- oder HEAD-Anforderung mit Transfercodierung.
920180 Hinweis - 2 1 POST ohne Kopfzeilen für Inhaltslänge oder Übertragungscodierung.
920181 Warnung - 3 1 Kopfzeilen für Inhaltslänge oder Übertragungscodierung vorhanden 99001003
920190 Warnung - 3 1 Bereich: Ungültiger Wert des letzten Bytes.
920200 Warnung - 3 2 Bereich: Zu viele Felder (mehr als 6)
920201 Warnung - 3 2 Bereich: Zu viele Felder für pdf-Anforderung (63 oder mehr)
920210 Warnung - 3 1 Mehrere/widersprüchliche Verbindungsheaderdaten gefunden.
920220 Warnung - 3 1 Versuchter Missbrauch der URL-Codierung
920230 Warnung - 3 2 Mehrere URL-Codierungen erkannt
920240 Warnung - 3 1 Versuchter Missbrauch der URL-Codierung
920260 Warnung - 3 1 Versuchter Missbrauch: Unicode (volle/halbe Breite)
920270 Kritisch - 5 1 Ungültiges Zeichen in der Anforderung (Zeichen NULL)
920271 Kritisch - 5 2 Ungültiges Zeichen in der Anforderung (nicht druckbare Zeichen)
920280 Warnung - 3 1 Fehlender Hostheader in Anforderung
920290 Warnung - 3 1 Leerer Hostheader
920300 Hinweis - 2 2 Fehlender Accept-Header für Anforderung
920310 Hinweis - 2 1 Anforderung hat einen leeren Accept-Header
920311 Hinweis - 2 1 Anforderung hat einen leeren Accept-Header
920320 Hinweis - 2 2 Benutzer-Agent-Header fehlt
920330 Hinweis - 2 1 Leerer Benutzer-Agent-Header
920340 Hinweis - 2 1 Anforderung enthält Inhalt, aber keinen Content-Type-Header
920341 Kritisch - 5 2 Anforderung mit Inhalt erfordert einen Content-Type-Header
920350 Warnung - 3 1 Hostheader ist eine numerische IP-Adresse
920420 Kritisch - 5 2 Durch die Richtlinie ist der Anforderungsinhaltstyp nicht zulässig.
920430 Kritisch - 5 1 Die HTTP-Protokollversion ist laut Richtlinie nicht zulässig.
920440 Kritisch - 5 1 URL-Dateierweiterung wird durch Richtlinie eingeschränkt
920450 Kritisch - 5 1 HTTP-Header ist durch Richtlinie eingeschränkt
920470 Kritisch - 5 1 Illegaler Content-Type-Header
920480 Kritisch - 5 1 Zeichensatz für Anforderungsinhaltstyp ist gemäß Richtlinie nicht zulässig
920500 Kritisch - 5 1 Versuch, auf eine Sicherungs- oder Arbeitsdatei zuzugreifen
920530 Kritisch - 5 1 Begrenze den Charset-Parameter innerhalb des Inhaltstyp-Headers darauf, höchstens einmal aufzutreten.
920620 Kritisch - 5 1 Mehrere Content-Type-Anforderungsheader

Protokollangriff

Regel-ID Schweregrad des Anomalie-Scores Paranoia-Ebene BESCHREIBUNG
921110 Kritisch - 5 1 HTTP Request Smuggling-Angriff
921120 Kritisch - 5 1 HTTP Response Splitting-Angriff
921130 Kritisch - 5 1 HTTP Response Splitting-Angriff
921140 Kritisch - 5 1 HTTP Header Injection-Angriff über Header
921150 Kritisch - 5 1 HTTP Header Injection-Angriff über Nutzlast (CR/LF erkannt)
921151 Kritisch - 5 2 HTTP Header Injection-Angriff über Nutzlast (CR/LF erkannt)
921160 Kritisch - 5 1 HTTP Header Injection-Angriff über Nutzlast (CR/LF und Headername erkannt)
921190 Kritisch - 5 1 HTTP Splitting (CR/LF im Anforderungsdateinamen erkannt)
921200 Kritisch - 5 1 Angriff mit LDAP-Einschleusung
921422 Kritisch - 5 2 Erkennen von Inhaltstypen im Inhaltstypheader außerhalb der tatsächlichen Inhaltstypdeklaration

LFI: Lokaler Dateieinschluss

Regel-ID Schweregrad des Anomalie-Scores Paranoia-Ebene BESCHREIBUNG
930100 Kritisch - 5 1 Path Traversal-Angriff (/../)
930110 Kritisch - 5 1 Path Traversal-Angriff (/../)
930120 Kritisch - 5 1 Zugriffsversuch auf Betriebssystemdatei
930130 Kritisch - 5 1 Zugriffsversuch auf Datei mit eingeschränktem Zugriff

RFI: Remote-Dateieinschluss

Regel-ID Schweregrad des Anomalie-Scores Paranoia-Ebene BESCHREIBUNG
931100 Kritisch - 5 2 Möglicher RFI-Angriff (Remote File Inclusion): Verwendung von IP-Adresse für URL-Parameter
931110 Kritisch - 5 1 Möglicher RFI-Angriff (Remote File Inclusion): Verwendung eines häufigen und für RFI anfälligen Parameternamens mit URL-Nutzlast
931120 Kritisch - 5 1 Möglicher RFI-Angriff (Remote File Inclusion): Verwendung von URL-Nutzlast mit nachgestelltem Fragezeichen (?)
931130 Kritisch - 5 2 Möglicher RFI-Angriff (Remote File Inclusion): Domänenexterner Verweis/Link

RCE: Remote Command Execution (Remotebefehlsausführung)

Regel-ID Schweregrad des Anomalie-Scores Paranoia-Ebene BESCHREIBUNG
932100 Kritisch - 5 1 Remotebefehlsausführung: Einschleusung von Unix-Befehl
932105 Kritisch - 5 1 Remotebefehlsausführung: Einschleusung von Unix-Befehl
932110 Kritisch - 5 1 Remotebefehlsausführung: Einschleusung von Windows-Befehl
932115 Kritisch - 5 1 Remotebefehlsausführung: Einschleusung von Windows-Befehl
932120 Kritisch - 5 1 Remotebefehlsausführung: Windows PowerShell-Befehl gefunden
932130 Kritisch - 5 1 Remotebefehlsausführung: Unix-Shell-Ausdruck oder Confluence-Sicherheitsanfälligkeit (CVE-2022-26134) gefunden
932140 Kritisch - 5 1 Remotebefehlsausführung: Windows-FOR/IF-Befehl gefunden
932150 Kritisch - 5 1 Remotebefehlsausführung: Direkte Ausführung von Unix-Befehlen
932160 Kritisch - 5 1 Remotebefehlsausführung: Unix Shell-Code gefunden
932170 Kritisch - 5 1 Remotebefehlsausführung: Shellshock (CVE-2014-6271)
932171 Kritisch - 5 1 Remotebefehlsausführung: Shellshock (CVE-2014-6271)
932180 Kritisch - 5 1 Eingeschränkter Dateiuploadversuch

PHP-Angriffe

Regel-ID Schweregrad des Anomalie-Scores Paranoia-Ebene BESCHREIBUNG
933100 Kritisch - 5 1 Angriff mit PHP-Einschleusung: öffnendes PHP-Tag gefunden
933110 Kritisch - 5 1 Angriff mit PHP-Einschleusung: Upload von PHP-Skriptdatei gefunden
933120 Kritisch - 5 1 PHP Injection-Angriff: Konfigurationsanweisung gefunden
933130 Kritisch - 5 1 Angriff mit PHP-Einschleusung: Variable gefunden
933140 Kritisch - 5 1 Angriff mit PHP-Einschleusung: E/A-Datenstrom gefunden
933150 Kritisch - 5 1 Angriff mit PHP-Einschleusung: PHP-Funktionsname mit hohem Risikofaktor gefunden
933151 Kritisch - 5 2 Angriff mit PHP-Einschleusung: PHP-Funktionsname mit mittlerem Risikofaktor gefunden
933160 Kritisch - 5 1 Angriff mit PHP-Einschleusung: PHP-Funktionsaufruf mit hohem Risikofaktor gefunden
933170 Kritisch - 5 1 Angriff mit PHP-Einschleusung: Einschleusung von serialisiertem Objekt
933180 Kritisch - 5 1 Angriff mit PHP-Einschleusung: Aufruf einer Variablenfunktion gefunden
933200 Kritisch - 5 1 Angriff mit PHP-Einschleusung: Wrapperschema erkannt
933210 Kritisch - 5 1 Angriff mit PHP-Einschleusung: Aufruf einer Variablenfunktion gefunden

Node JS-Angriffe

Regel-ID Schweregrad des Anomalie-Scores Paranoia-Ebene BESCHREIBUNG
934100 Kritisch - 5 1 Angriff mit Einschleusung von Node.js-Befehlen

XSS: Cross-Site-Scripting

Regel-ID Schweregrad des Anomalie-Scores Paranoia-Ebene BESCHREIBUNG
941100 Kritisch - 5 1 XSS-Angriff per libinjection erkannt
941101 Kritisch - 5 2 XSS-Angriff per libinjection erkannt
941110 Kritisch - 5 1 XSS-Filter – Kategorie 1: Skripttagvektor
941120 Kritisch - 5 2 XSS-Filter – Kategorie 2: Ereignishandlervektor
941130 Kritisch - 5 1 XSS-Filter – Kategorie 3: Attributvektor
941140 Kritisch - 5 1 XSS-Filter - Kategorie 4: Javascript-URI-Vektor
941150 Kritisch - 5 2 XSS-Filter – Kategorie 5: Unzulässige HTML-Attribute
941160 Kritisch - 5 1 NoScript XSS InjectionChecker: HTML-Einschleusung
941170 Kritisch - 5 1 NoScript XSS InjectionChecker: Attributeinschleusung
941180 Kritisch - 5 1 Schlüsselwörter von Sperrliste für Knotenvalidierung
941190 Kritisch - 5 1 IE XSS-Filter – Angriff erkannt.
941200 Kritisch - 5 1 IE XSS-Filter – Angriff erkannt.
941210 Kritisch - 5 1 IE XSS-Filter – Angriff erkannt.
941220 Kritisch - 5 1 IE XSS-Filter – Angriff erkannt.
941230 Kritisch - 5 1 IE XSS-Filter – Angriff erkannt.
941240 Kritisch - 5 1 IE XSS-Filter – Angriff erkannt.
941250 Kritisch - 5 1 IE XSS-Filter – Angriff erkannt.
941260 Kritisch - 5 1 IE XSS-Filter – Angriff erkannt.
941270 Kritisch - 5 1 IE XSS-Filter – Angriff erkannt.
941280 Kritisch - 5 1 IE XSS-Filter – Angriff erkannt.
941290 Kritisch - 5 1 IE XSS-Filter – Angriff erkannt.
941300 Kritisch - 5 1 IE XSS-Filter – Angriff erkannt.
941310 Kritisch - 5 1 Fehlerhaft formatierter US-ASCII XSS-Filter – Angriff erkannt.
941320 Kritisch - 5 2 Möglicher XSS-Angriff erkannt – HTML-Taghandler
941330 Kritisch - 5 2 IE XSS-Filter – Angriff erkannt.
941340 Kritisch - 5 2 IE XSS-Filter – Angriff erkannt.
941350 Kritisch - 5 1 UTF-7-Codierung Internet Explorer XSS - Angriff erkannt.
941360 Kritisch - 5 1 JSFuck / Hieroglyphy-Obfuscation erkannt
941370 Kritisch - 5 1 Globale JavaScript-Variable gefunden
941380 Kritisch - 5 2 Einschleusung clientseitiger AngularJS-Vorlagen erkannt

SQLI: Einschleusung von SQL-Befehlen

Regel-ID Schweregrad des Anomalie-Scores Paranoia-Ebene BESCHREIBUNG
942100 Kritisch - 5 1 SQL Injection-Angriff per libinjection erkannt
942110 Warnung - 3 2 Angriff mit Einschleusung von SQL-Befehlen: Gängige Tests für Einschleusung von SQL-Befehlen erkannt
942120 Kritisch - 5 2 Angriff mit Einschleusung von SQL-Befehlen: SQL-Operator ermittelt
942140 Kritisch - 5 1 Angriff mit Einschleusung von SQL-Befehlen: Häufige Datenbanknamen erkannt
942150 Kritisch - 5 2 SQL Injection Attack (ersetzt durch Regel #99031003)
942160 Kritisch - 5 1 Erkennt blinde SQLI-Tests mithilfe von Sleep() oder Benchmark().
942170 Kritisch - 5 1 Erkennt SQL Benchmark- und Sleep Injection-Angriffsversuche, einschließlich bedingter Abfragen.
942180 Kritisch - 5 2 Erkennt Versuche der Umgehung der einfachen SQL-Authentifizierung 1/3
942190 Kritisch - 5 1 Erkennt die Ausführung von MSSQL-Code und Versuche, Informationen auszulesen
942200 Kritisch - 5 2 Erkennt durch MySQL-Kommentare oder -Leerzeichen verschleierte Einschleusungen und die Terminierung per Backtick
942210 Kritisch - 5 2 Erkennt verkette Angriffsversuche SQL-Einschleusung 1/2
942220 Kritisch - 5 1 Suche nach Ganzzahlüberlauf-Angriffen. Diese werden aus Skipfish übernommen, mit Ausnahme von 3.0.00738585072007e-308 (Absturz wegen ungültiger „magischer Zahl“).
942230 Kritisch - 5 1 Erkennt Angriffsversuche mit bedingter SQL-Einschleusung.
942240 Kritisch - 5 1 Erkennt MySQL-Zeichensatzwechsel und MSSQL-DoS-Angriffsversuche
942250 Kritisch - 5 1 Erkennt MATCH AGAINST-, MERGE- und EXECUTE IMMEDIATE-Einschleusungen
942260 Kritisch - 5 2 Erkennt die Standard-SQL-Authentifizierungsumgehungsversuche 2/3 (ersetzt durch Regel #99031004)
942270 Kritisch - 5 1 Suche nach grundlegender SQL-Einschleusung. Häufige Angriffszeichenfolge für Mysql, Oracle und andere.
942280 Kritisch - 5 1 Erkennt Postgres pg_sleep-Einschleusung, WAITFOR DELAY-Angriffe und Versuche des Herunterfahrens von Datenbanken
942290 Kritisch - 5 1 Ermittelt Angriffsversuche mit grundlegender MongoDB SQL-Einschleusung.
942300 Kritisch - 5 2 Erkennt MySQL-Kommentare, Bedingungen und Einschleusungen von „ch(ar)“
942310 Kritisch - 5 2 Erkennt verkette Angriffsversuche SQL-Einschleusung 2/2.
942320 Kritisch - 5 1 Erkennt Einschleusungen von gespeicherten Prozeduren/Funktionen für MySQL und PostgreSQL.
942330 Kritisch - 5 2 Erkennt klassische SQL-Injection-Tests 1/3
942340 Kritisch - 5 2 Erkennt die Standard-SQL-Authentifizierungsumgehungsversuche 3/3 (ersetzt durch Regel #99031006)
942350 Kritisch - 5 1 Erkennt MySQL-UDF-Einschleusung und andere Versuche der Manipulation von Daten bzw. der Struktur.
942360 Kritisch - 5 1 Erkennt Versuche des Verkettens einfacher eingeschleuster SQL-Befehle und von SQL/LFI
942361 Kritisch - 5 2 Erkennt grundlegende SQL-Einschleusung basierend auf Schlüsselwort „Alter“ oder „Union“
942370 Kritisch - 5 2 Erkennt klassische SQL-Injection-Versuche 2/3
942380 Kritisch - 5 2 Angriff mit Einschleusung von SQL-Befehlen
942390 Kritisch - 5 2 Angriff mit Einschleusung von SQL-Befehlen
942400 Kritisch - 5 2 Angriff mit Einschleusung von SQL-Befehlen
942410 Kritisch - 5 2 Angriff mit Einschleusung von SQL-Befehlen
942430 Warnung - 3 2 Eingeschränkte SQL-Zeichenabweichungserkennung (Argumente): Anzahl der Sonderzeichen überschritten (12) (ersetzt durch Regel #99031005)
942440 Kritisch - 5 2 SQL-Kommentarsequenz erkannt (ersetzt durch Regel #99031002).
942450 Kritisch - 5 2 Hexadezimale SQL-Codierung identifiziert
942470 Kritisch - 5 2 Angriff mit Einschleusung von SQL-Befehlen
942480 Kritisch - 5 2 Angriff mit Einschleusung von SQL-Befehlen
942500 Kritisch - 5 1 MySQL-Inline-Kommentar erkannt.
942510 Kritisch - 5 2 Versuch der Umgehung der Einschleusung von SQL-Befehlen durch Ticks und Backticks erkannt

Session Fixation

Regel-ID Schweregrad des Anomalie-Scores Paranoia-Ebene BESCHREIBUNG
943100 Kritisch - 5 1 Möglicher Session Fixation-Angriff: Festlegung von Cookiewerten in HTML
943110 Kritisch - 5 1 Möglicher Session Fixation-Angriff: SessionID-Parametername mit domänenexternem Verweiser
943120 Kritisch - 5 1 Möglicher Session Fixation-Angriff: SessionID-Parametername ohne Verweiser

Java-Angriffe

Regel-ID Schweregrad des Anomalie-Scores Paranoia-Ebene BESCHREIBUNG
944100 Kritisch - 5 1 Remotebefehlsausführung: Verdächtige Java-Klasse erkannt
944110 Kritisch - 5 1 Remotebefehlsausführung: Java-Prozessstart (CVE-2017-9805)
944120 Kritisch - 5 1 Remotebefehlsausführung: Java-Serialisierung (CVE-2015-5842)
944130 Kritisch - 5 1 Verdächtige Java-Klasse erkannt
944200 Kritisch - 5 2 Magische Bytes erkannt, wahrscheinlich Java-Serialisierung in Verwendung
944210 Kritisch - 5 2 Magische Bytes erkannt: Base64-codiert, wahrscheinlich Java-Serialisierung in Gebrauch.
944240 Kritisch - 5 2 Außerhalbige Befehlsausführung: Java-Serialisierung und Log4j-Sicherheitslücke (CVE-2021-44228, CVE-2021-45046)
944250 Kritisch - 5 2 Remotebefehlsausführung: Verdächtige Java-Methode erkannt

MS-ThreatIntel-WebShells

Regel-ID Schweregrad des Anomalie-Scores Paranoia-Ebene BESCHREIBUNG
99005002 Kritisch - 5 2 Webshell-Interaktionsversuch (POST)
99005003 Kritisch - 5 2 Webshell-Uploadversuch (POST) – CHOPPER PHP
99005004 Kritisch - 5 2 Webshell-Uploadversuch (POST) – CHOPPER ASPX
99005005 Kritisch - 5 2 Webshell-Interaktionsversuch
99005006 Kritisch - 5 2 Spring4Shell-Interaktionsversuch

MS-ThreatIntel-AppSec

Regel-ID Schweregrad des Anomalie-Scores Paranoia-Ebene BESCHREIBUNG
99030001 Kritisch - 5 2 Path Traversal-Umgehung in Headern (/.././../)
99030002 Kritisch - 5 2 Path Traversal-Umgehung in Anforderungstext (/.././../)
99030003 Kritisch - 5 2 URL-codierter Dateipfad
99030004 Kritisch - 5 2 Fehlende Brotli-Komprimierung im unterstützten Browser mit HTTPS-Referer
99030005 Kritisch - 5 2 Fehlende Brotli-Codierung bei der Unterstützung durch den Browser über HTTP/2
99030006 Kritisch - 5 2 Ungültiges Zeichen im angeforderten Dateinamen

MS-ThreatIntel-SQLI

Regel-ID Schweregrad des Anomalie-Scores Paranoia-Ebene BESCHREIBUNG
99031001 Warnung - 3 2 SQL-Injection-Angriff: Häufige Erkennung von Injektionstests (ersetzt Regel Nr. 942110)
99031002 Kritisch - 5 2 SQL-Kommentarsequenz erkannt (Regel #942440 ersetzen).
99031003 Kritisch - 5 2 SQL Injection Attack (ersetzende Regel #942150)
99031004 Kritisch - 5 2 Erkennt die Standard-SQL-Authentifizierungsumgehungsversuche 2/3 (ersetzende Regel #942260)
99031005 Warnung - 3 2 Eingeschränkte SQL-Zeichenanomalie-Erkennung (args): Anzahl der Sonderzeichen überschritten (12) (Ersetzungsregel #942430)
99031006 Kritisch - 5 2 Erkennt die Standard-SQL-Authentifizierungsumgehungsversuche 3/3 (ersetzende Regel #942340)

MS-ThreatIntel-CVEs

Regel-ID Schweregrad des Anomalie-Scores Paranoia-Ebene BESCHREIBUNG
99001001 Kritisch - 5 2 Versuch der Ausnutzung der F5 TMUI-REST-API-Schwachstelle (CVE-2020-5902) mit bekannten Anmeldeinformationen
99001002 Kritisch - 5 2 Versuch eines Citrix NSC_USER-Verzeichnisdurchlaufs CVE-2019-19781
99001003 Kritisch - 5 2 Versuch der Ausnutzung eines Atlassian Confluence Widget-Connectors CVE-2019-3396
99001004 Kritisch - 5 2 Versuch der Ausnutzung einer benutzerdefinierten Pulse Secure-Vorlage CVE-2020-8243
99001005 Kritisch - 5 2 Versuch der Ausnutzung eines SharePoint-Typkonverters CVE-2020-0932
99001006 Kritisch - 5 2 Versuch eines Pulse Connect-Verzeichnisdurchlaufs CVE-2019-11510
99001007 Kritisch - 5 2 Versuch einer Local File Inclusion für Junos OS J-Web CVE-2020-1631
99001008 Kritisch - 5 2 Versuch eines Fortinet-Pfaddurchlaufs CVE-2018-13379
99001009 Kritisch - 5 2 Versuch einer Apache-Struts ognl-Einschleusung CVE-2017-5638
99001010 Kritisch - 5 2 Versuch einer Apache-Struts ognl-Einschleusung CVE-2017-12611
99001011 Kritisch - 5 2 Versuch eines Oracle WebLogic-Pfaddurchlaufs CVE-2020-14882
99001012 Kritisch - 5 2 Versuch der Ausnutzung einer unsicheren Telerik WebUI-Deserialisierung CVE-2019-18935
99001013 Kritisch - 5 2 Versuch einer unsicheren XML-Deserialisierung in SharePoint CVE-2019-0604
99001014 Kritisch - 5 2 Versucht der Einschleusung von Spring Cloud-Routingausdrücken CVE-2022-22963
99001015 Kritisch - 5 2 Versuch der Ausnutzung der nicht sicherer Klassenobjekte von Spring Framework CVE-2022-22965
99001016 Kritisch - 5 2 Versuch der Einschleusung eins Spring Cloud Gateway-Aktuators CVE-2022-22947
99001017 Kritisch - 5 2 Versuchter Apache Struts-Dateiupload CVE-2023-50164

MS-ThreatIntel-XSS

Regel-ID Schweregrad des Anomalie-Scores Paranoia-Ebene BESCHREIBUNG
99032001 Kritisch - 5 1 XSS-Filter - Kategorie 2: Ereignishandlervektor (ersetzende Regel #941120)
99032002 Kritisch - 5 2 Möglicher Remote File Inclusion (RFI)-Angriff: Off-Domain-Referenz/Link (ersetzende Regel #931130)

Hinweis

  • Beim Durchgehen der Protokolle Ihrer WAF sehen Sie möglicherweise die Regel-ID 949110. Die Beschreibung der Regel kann Eingehende Anomaliebewertung überschritten enthalten. Diese Regel gibt an, dass die Gesamtanomaliebewertung für die Anforderung die maximale zulässige Bewertung überschritten hat. Weitere Informationen finden Sie unter Anomaliebewertung.

  • Wenn Sie Ihre WAF-Richtlinien optimieren, müssen Sie die anderen Regeln untersuchen, die von der Anforderung ausgelöst wurden, damit Sie die Konfiguration Ihrer WAF anpassen können. Weitere Informationen finden Sie unter Optimieren der Azure Web Application Firewall für Azure Front Door.

Verwandte Inhalte

  • Last updated on