Actualizar la versión del conjunto de reglas CRS o DRS

El conjunto de reglas predeterminado (DRS) administrado por Azure en El firewall de aplicaciones web (WAF) de Azure Application Gateway protege las aplicaciones web frente a vulnerabilidades comunes y vulnerabilidades de seguridad, incluidos los 10 tipos de ataque principales de OWASP. El conjunto de reglas predeterminado también incorpora las reglas de recopilación de inteligencia sobre amenazas de Microsoft. Se recomienda ejecutar siempre la versión más reciente del conjunto de reglas, que incluye las actualizaciones de seguridad, las mejoras de reglas y las correcciones más recientes.

El conjunto de reglas predeterminado (DRS) administrado por Azure es la última generación de conjuntos de reglas de Azure WAF, reemplazando todas las versiones anteriores del conjunto de reglas principales (CRS). Entre las versiones de DRS, use siempre la versión más alta disponible (por ejemplo, DRS 2.2 cuando se publique) para asegurarse de que tiene las protecciones más up-to-date.

En este artículo se proporcionan ejemplos de PowerShell para actualizar la directiva de WAF de Azure a DRS 2.1. Aunque los ejemplos hacen referencia específicamente a DRS 2.1, siempre debe actualizar a la versión más reciente disponible de DRS para garantizar la máxima protección.

Nota:

Los fragmentos de código de PowerShell son solo ejemplos. Reemplace todos los marcadores de posición por valores de su entorno.

Prerrequisitos

Una cuenta de Azure con una suscripción activa. Cree una cuenta gratuita.
Una directiva de Azure WAF existente con un conjunto de reglas principales (CRS) o un conjunto de reglas predeterminado (DRS) aplicado. Si aún no tiene una directiva de WAF, consulte Creación de directivas de firewall de aplicaciones web para Application Gateway.
Versión más reciente de Azure PowerShell instalada localmente. En este artículo se requiere el módulo Az.Network.

Consideraciones clave al actualizar

Al actualizar la versión del conjunto de reglas de Azure WAF, asegúrese de:

Conservar las personalizaciones existentes: traspase las sobrescrituras de la acción de regla, el estado de la regla (activado o desactivado) y las exclusiones.
Validar reglas nuevas de forma segura: asegúrese de que las reglas recién agregadas se establecen inicialmente en modo de registro, por lo que puede supervisar su impacto y ajustarlas antes de habilitar el bloqueo.

Preparación del entorno y las variables

Establezca el contexto de la suscripción seleccionada, el grupo de recursos y la directiva WAF de Azure.

Import-Module Az.Network
Set-AzContext -SubscriptionId "<subscription_id>"
$resourceGroupName = "<resource_group>"
$wafPolicyName = "<policy_name>"

Obtenga el objeto de directiva WAF y recupere sus definiciones.

$wafPolicy = Get-AzApplicationGatewayFirewallPolicy ` 
-Name $wafPolicyName ` 
-ResourceGroupName $resourceGroupName 
$currentExclusions = $wafPolicy.ManagedRules.Exclusions 
$currentManagedRuleset = $wafPolicy.ManagedRules.ManagedRuleSets 
| Where-Object { $_.RuleSetType -eq "OWASP" } 
$currentVersion = $currentManagedRuleset.RuleSetVersion

Conservar las personalizaciones existentes

No copie anulaciones ni exclusiones que se aplican a las reglas eliminadas en DRS 2.1. La función siguiente comprueba si se ha quitado una regla:

function Test-RuleIsRemovedFromDRS21 { 
    param ( 
        [string]$RuleId, 
        [string]$CurrentRulesetVersion 
    ) 
    $removedRulesByCrsVersion = @{ 
        "3.0" = @( "200004", "913100", "913101", "913102", "913110", "913120", "920130", "920140", "920250", "921100", "800100", "800110", "800111", "800112", "800113" ) 
        "3.1" = @( "200004", "913100", "913101", "913102", "913110", "913120", "920130", "920140", "920250", "800100", "800110", "800111", "800112", "800113", "800114" ) 
        "3.2" = @( "200004", "913100", "913101", "913102", "913110", "913120", "920250", "800100", "800110", "800111", "800112", "800113", "800114" ) 
        } 
    # If the version isn't known, assume rule has not been removed 
    if (-not $removedRulesByCrsVersion.ContainsKey($CurrentRulesetVersion)) { 
        return $false 
        } 
    return $removedRulesByCrsVersion[$CurrentRulesetVersion] -contains $RuleId }

Al crear nuevos objetos de invalidación, use los nombres de grupo de DRS 2.1. La siguiente función asigna nombres de grupo CRS heredados a grupos DRS 2.1.

function Get-DrsRuleGroupName {
    param ( 
        [Parameter(Mandatory = $true)]
        [string]$SourceGroupName )
    $groupMap = @{ 
    "REQUEST-930-APPLICATION-ATTACK-LFI" = "LFI" 
    "REQUEST-931-APPLICATION-ATTACK-RFI" = "RFI" 
    "REQUEST-932-APPLICATION-ATTACK-RCE" = "RCE" 
    "REQUEST-933-APPLICATION-ATTACK-PHP" = "PHP" 
    "REQUEST-941-APPLICATION-ATTACK-XSS" = "XSS" 
    "REQUEST-942-APPLICATION-ATTACK-SQLI" = "SQLI" 
    "REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION" = "FIX" 
    "REQUEST-944-APPLICATION-ATTACK-JAVA" = "JAVA" 
    "REQUEST-921-PROTOCOL-ATTACK" = "PROTOCOL-ATTACK" 
    "REQUEST-911-METHOD-ENFORCEMENT" = "METHOD-ENFORCEMENT" 
    "REQUEST-920-PROTOCOL-ENFORCEMENT" = "PROTOCOL-ENFORCEMENT" 
    "REQUEST-913-SCANNER-DETECTION" = $null # No direct mapping 
    "Known-CVEs" = "MS-ThreatIntel-CVEs" 
    "General" = "General" 
    } 
    if ($groupMap.ContainsKey($SourceGroupName)) { 
        return $groupMap[$SourceGroupName] 
    } else { 
        return $SourceGroupName # No known mapping 
        } 
    }

Use el siguiente código de PowerShell para definir las invalidaciones de las reglas, duplicando invalidaciones de la versión del conjunto de reglas existente:

$groupOverrides = @() 
foreach ($group in $currentManagedRuleset.RuleGroupOverrides) {
  $mappedGroupName = Get-DrsRuleGroupName $group.RuleGroupName 
    foreach ($existingRule in $group.Rules) { 
if (-not (Test-RuleIsRemovedFromDRS21 $existingRule.RuleId $currentVersion)) 
  { 
   `$existingGroup = $groupOverrides | 
Where-Object { $_.RuleGroupName -eq $mappedGroupName } 
if ($existingGroup) { 
if (-not ($existingGroup.Rules | 
Where-Object { $_.RuleId -eq $existingRule.RuleId })) { 
$existingGroup.Rules.Add($existingRule) } } 
else { 
  $newGroup = New-AzApplicationGatewayFirewallPolicyManagedRuleGroupOverride ` -RuleGroupName $mappedGroupName ` -Rule @($existingRule) $groupOverrides += $newGroup } } } }

Use el siguiente código de PowerShell para duplicar las exclusiones existentes y aplicarlas en DRS 2.1:

# Create new exclusion objects
$newRuleSetExclusions = @()

if ($currentExclusions -ne $null -and $currentExclusions.Count -gt 0)
{
	foreach ($exclusion in $currentExclusions) {
		$newExclusion = New-AzApplicationGatewayFirewallPolicyExclusion `
			-MatchVariable $exclusion.MatchVariable `
			-SelectorMatchOperator $exclusion.SelectorMatchOperator `
			-Selector $exclusion.Selector

		# Migrate scopes: RuleSet, RuleGroup, or individual Rules
		if ($exclusion.ExclusionManagedRuleSets) {
			foreach ($scope in $exclusion.ExclusionManagedRuleSets) {
				# Create RuleGroup objects from existing RuleGroups
				$ruleGroups = @()
				foreach ($group in $scope.RuleGroups) {
					$drsGroupName = Get-DrsRuleGroupName $group.RuleGroupName
					if ($drsGroupName)
					{
							$exclusionRules = @()
							foreach ($rule in $group.Rules) 
							{
								if (-not (Test-RuleIsRemovedFromDRS21 $rule.RuleId "3.2"))
								{
								$exclusionRules += New-AzApplicationGatewayFirewallPolicyExclusionManagedRule `
									-RuleId $rule.RuleId
								}
							}
						if ($exclusionRules -ne $null -and $exclusionRules.Count -gt 0)
						{
							$ruleGroups += New-AzApplicationGatewayFirewallPolicyExclusionManagedRuleGroup `
							-Name $drsGroupName `
							-Rule $exclusionRules
						} else {
							$ruleGroups += New-AzApplicationGatewayFirewallPolicyExclusionManagedRuleGroup `
							-Name $drsGroupName
						}
					}
				}

				# Create the ManagedRuleSet scope object with the updated RuleGroups
				if ($ruleGroups.Count -gt 0) {
					$newRuleSetScope = New-AzApplicationGatewayFirewallPolicyExclusionManagedRuleSet `
						-Type "Microsoft_DefaultRuleSet" `
						-Version "2.1" `
						-RuleGroup $ruleGroups
				}

				# Add to the new exclusion object
				$newExclusion.ExclusionManagedRuleSets += $newRuleSetScope
			}
		}

		if (-not $newExclusion.ExclusionManagedRuleSets)
		{
			$newExclusion.ExclusionManagedRuleSets = @()
		}

		$newRuleSetExclusions += $newExclusion
	}
}

Validar reglas nuevas de forma segura

Al actualizar, las nuevas reglas de DRS 2.1 están activas de forma predeterminada. Si el WAF está en modo de prevención, primero establezca nuevas reglas en modo de registro. El modo de registro permite revisar los registros antes de habilitar el bloqueo.

Las siguientes definiciones de PowerShell son para las reglas introducidas en DRS 2.1 en comparación con cada versión de CRS:

# Added in DRS 2.1 compared to CRS 3.0 
$rulesAddedInThisVersionByGroup = @{ 
    "General" = @("200002", "200003") 
    "PROTOCOL-ENFORCEMENT" = @("920121", "920171", "920181", "920341", "920470", "920480", "920500") 
    "PROTOCOL-ATTACK" = @("921190", "921200") 
    "RCE" = @("932180") 
    "PHP" = @("933200", "933210") 
    "NODEJS" = @("934100") 
    "XSS" = @("941101", "941360", "941370", "941380") 
    "SQLI" = @("942361", "942470", "942480", "942500", "942510") 
    "JAVA" = @("944100", "944110", "944120", "944130", "944200", "944210", "944240", "944250") 
    "MS-ThreatIntel-WebShells" = @("99005002", "99005003", "99005004", "99005005", "99005006") 
    "MS-ThreatIntel-AppSec" = @("99030001", "99030002") 
    "MS-ThreatIntel-SQLI" = @("99031001", "99031002", "99031003", "99031004") 
    "MS-ThreatIntel-CVEs" = @( "99001001","99001002","99001003","99001004","99001005","99001006", "99001007","99001008","99001009","99001010","99001011","99001012", "99001013","99001014","99001015","99001016","99001017" ) 
}

# Added in DRS 2.1 compared to CRS 3.1 
    $rulesAddedInThisVersionByGroup = @{ 
    "General" = @("200002", "200003") 
    "PROTOCOL-ENFORCEMENT" = @("920181", "920500") 
    "PROTOCOL-ATTACK" = @("921190", "921200") 
    "PHP" = @("933200", "933210") 
    "NODEJS" = @("934100") 
    "XSS" = @("941360", "941370", "941380") 
    "SQLI" = @("942500", "942510") 
    "MS-ThreatIntel-WebShells" = @("99005002", "99005003", "99005004", "99005005", "99005006") 
    "MS-ThreatIntel-AppSec" = @("99030001", "99030002") 
    "MS-ThreatIntel-SQLI" = @("99031001", "99031002", "99031003", "99031004") "MS-ThreatIntel-CVEs" = @( "99001001","99001002","99001003","99001004","99001005","99001006", "99001007","99001008","99001009","99001010","99001011","99001012", "99001013","99001014","99001015","99001016","99001017" ) 
}

# Added in DRS 2.1 compared to CRS 3.2 
$rulesAddedInThisVersionByGroup = @{ 
    "General" = @("200002", "200003") 
    "PROTOCOL-ENFORCEMENT" = @("920181", "920500") 
    "PROTOCOL-ATTACK" = @("921190", "921200") 
    "PHP" = @("933200", "933210") 
    "NODEJS" = @("934100") 
    "XSS" = @("941360", "941370", "941380") 
    "SQLI" = @("942100", "942500", "942510") 
    "MS-ThreatIntel-WebShells" = @("99005002", "99005003", "99005004", "99005005", "99005006") 
    "MS-ThreatIntel-AppSec" = @("99030001", "99030002") 
    "MS-ThreatIntel-SQLI" = @("99031001", "99031002", "99031003", "99031004") 
    "MS-ThreatIntel-CVEs" = @( "99001001","99001002","99001003","99001004","99001005","99001006", "99001007","99001008","99001009","99001010","99001011","99001012", "99001013","99001014","99001015","99001016","99001017" ) 
}

Use el código de PowerShell siguiente para agregar nuevas invalidaciones de regla al objeto existente $groupOverrides definido anteriormente:

foreach ($groupName in $rulesAddedInDRS21.Keys) { 
    $ruleOverrides = @() 
    foreach ($ruleId in $rulesAddedInDRS21[$groupName]) { 
        $alreadyExists = $existingOverrides | 
            Where-Object { $_.RuleId -eq $ruleId } 
        if (-not $alreadyExists) { 
            $ruleOverrides += New-AzApplicationGatewayFirewallPolicyManagedRuleOverride ` 
            -RuleId $ruleId ` 
            -Action "Log" ` 
            -State "Enabled" 
            } 
        } # Only create group override if we added rules to it 
    if ($ruleOverrides.Count -gt 0) { 
        $groupOverrides += New-AzApplicationGatewayFirewallPolicyManagedRuleGroupOverride ` 
            -RuleGroupName $groupName ` 
            -Rule $ruleOverrides } 
            }

Aplicación de personalizaciones y actualización

Defina el objeto de directiva actualizado de Azure WAF, incorporando las anulaciones de reglas y exclusiones duplicadas y actualizadas:

$managedRuleSet = New-AzApplicationGatewayFirewallPolicyManagedRuleSet ` 
    -RuleSetType "Microsoft_DefaultRuleSet" ` 
    -RuleSetVersion "2.1" ` 
    -RuleGroupOverride $groupOverrides 
for ($i = 0; $i -lt $wafPolicy.ManagedRules.ManagedRuleSets.Count; $i++) { 
    if ($wafPolicy.ManagedRules.ManagedRuleSets[$i].RuleSetType -eq "OWASP") { 
    $wafPolicy.ManagedRules.ManagedRuleSets[$i] = $managedRuleSet 
    break 
    } 
} 
# Assign to policy
if ($newRuleSetExclusions) {
    $wafPolicy.ManagedRules.Exclusions = $currentExclusions + $newRuleSetExclusions 
}
# Apply the updated WAF policy 
Set-AzApplicationGatewayFirewallPolicy -InputObject $wafPolicy

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2025-08-28