Reguły i grupy reguł usługi replikacji danych w usłudze Web Application Firewall

Usługa Azure Web Application Firewall w usłudze Azure Front Door chroni aplikacje internetowe przed typowymi lukami w zabezpieczeniach i programami wykorzystującymi luki w zabezpieczeniach. Zestawy reguł zarządzanych przez platformę Azure umożliwiają łatwe wdrażanie ochrony przed typowym zestawem zagrożeń bezpieczeństwa. Ponieważ platforma Azure zarządza tymi zestawami reguł, reguły są aktualizowane zgodnie z potrzebami w celu ochrony przed nowymi sygnaturami ataków.

Domyślny zestaw reguł (DRS) obejmuje również reguły zbierania danych analizy zagrożeń firmy Microsoft, które są napisane we współpracy z zespołem analizy firmy Microsoft w celu zapewnienia zwiększonego pokrycia, poprawek dla określonych luk w zabezpieczeniach i lepszej fałszywie dodatniej redukcji.

Domyślne zestawy reguł

Usługa DRS zarządzana przez platformę Azure obejmuje reguły dotyczące następujących kategorii zagrożeń:

• Skrypty między witrynami
• Ataki w języku Java
• Włączenie plików lokalnych
• Ataki iniekcyjne w języku PHP
• Zdalne wykonywanie poleceń
• Włączenie plików zdalnych
• Fiksacja sesji
• Ochrona przed atakami polegającymi na iniekcji SQL
• Atakujący protokoły

Numer wersji drS zwiększa się po dodaniu nowych podpisów ataków do zestawu reguł.

Usługa DRS jest domyślnie włączona w trybie wykrywania w zasadach zapory aplikacji internetowej. Możesz wyłączyć lub włączyć poszczególne reguły w usłudze DRS, aby spełnić wymagania aplikacji. Można również ustawić określone akcje na regułę. Dostępne akcje to Zezwalaj, Blokuj, Dzienniki i Przekierowywanie.

Czasami może być konieczne pominięcie niektórych atrybutów żądania z oceny zapory aplikacji internetowej (WAF). Typowym przykładem są wstawiane tokeny usługi Active Directory, które są używane do uwierzytelniania. Możesz skonfigurować listę wykluczeń dla reguły zarządzanej, grupy reguł lub całego zestawu reguł. Aby uzyskać więcej informacji, zobacz Azure Web Application Firewall on Azure Front Door exclusion lists (Usługa Azure Web Application Firewall na listach wykluczeń usługi Azure Front Door).

Domyślnie usługa DRS w wersji 2.0 lub nowszej używa oceniania anomalii, gdy żądanie jest zgodne z regułą. Wersje drS starsze niż 2.0 blokują żądania wyzwalające reguły. Ponadto reguły niestandardowe można skonfigurować w tych samych zasadach zapory aplikacji internetowej, jeśli chcesz pominąć dowolne wstępnie skonfigurowane reguły w usłudze DRS.

Reguły niestandardowe są zawsze stosowane przed oceną reguł w usłudze DRS. Jeśli żądanie pasuje do reguły niestandardowej, zostanie zastosowana odpowiednia akcja reguły. Żądanie jest zablokowane lub przekazywane do zaplecza. Żadne inne reguły niestandardowe ani reguły w usłudze DRS nie są przetwarzane. Możesz również usunąć usługę DRS z zasad zapory aplikacji internetowej.

Reguły zbierania danych analizy zagrożeń firmy Microsoft

Reguły zbierania danych analizy zagrożeń firmy Microsoft są napisane we współpracy z zespołem analizy zagrożeń firmy Microsoft w celu zapewnienia zwiększonego pokrycia, poprawek dla określonych luk w zabezpieczeniach i lepszej fałszywie dodatniej redukcji.

Domyślnie reguły zbierania danych analizy zagrożeń firmy Microsoft zastępują niektóre wbudowane reguły odzyskiwania po awarii, co powoduje ich wyłączenie. Na przykład identyfikator reguły 942440, wykryta sekwencja komentarzy SQL została wyłączona i zastąpiona przez regułę zbierania danych analizy zagrożeń firmy Microsoft 99031002. Zastąpiona reguła zmniejsza ryzyko fałszywie dodatnich wykryć z uzasadnionych żądań.

Ocenianie anomalii

W przypadku korzystania z usługi DRS 2.0 lub nowszej zapora aplikacji internetowej używa oceniania anomalii. Ruch zgodny z dowolną regułą nie jest natychmiast blokowany, nawet jeśli zapora aplikacji internetowej jest w trybie zapobiegania. Zamiast tego zestawy reguł OWASP definiują ważność dla każdej reguły: Krytyczne, Błąd, Ostrzeżenie lub Powiadomienie. Ważność ma wpływ na wartość liczbową żądania, która jest nazywana oceną anomalii. Jeśli żądanie gromadzi wynik anomalii o wartości 5 lub większej, zapora aplikacji internetowej podejmuje działania na żądanie.

Podczas konfigurowania zapory aplikacji internetowej możesz zdecydować, w jaki sposób zapora aplikacji internetowej obsługuje żądania przekraczające próg oceny anomalii 5. Trzy opcje akcji oceny anomalii to Blokuj, Dziennik lub Przekierowanie. Akcja oceny anomalii wybrana w momencie konfiguracji jest stosowana do wszystkich żądań, które przekraczają próg oceny anomalii.

Jeśli na przykład wynik anomalii wynosi 5 lub większy w żądaniu, a zapora aplikacji internetowej jest w trybie zapobiegania z ustawioną akcją oceny anomalii ustawioną na Wartość Blokuj, żądanie zostanie zablokowane. Jeśli wynik anomalii wynosi 5 lub więcej w żądaniu, a zapora aplikacji internetowej jest w trybie wykrywania, żądanie jest rejestrowane, ale nie jest blokowane.

Dopasowanie pojedynczej reguły krytycznej wystarczy, aby zapora aplikacji internetowej zablokowała żądanie w trybie zapobiegania z ustawioną akcją oceny anomalii na wartość Blokuj, ponieważ ogólny wynik anomalii wynosi 5. Jednak jedno dopasowanie reguły ostrzeżenia zwiększa tylko wynik anomalii o 3, co nie wystarczy, aby zablokować ruch. Po wyzwoleniu reguły anomalii w dziennikach zostanie wyświetlona akcja "dopasowana". Jeśli wynik anomalii ma wartość 5 lub większą, zostanie wyzwolona osobna reguła z akcją oceny anomalii skonfigurowaną dla zestawu reguł. Domyślna akcja oceny anomalii to Blokuj, co powoduje wpis dziennika z akcją blocked.

Jeśli zapora aplikacji internetowej używa starszej wersji domyślnego zestawu reguł (przed drS 2.0), zapora aplikacji internetowej jest uruchamiana w trybie tradycyjnym. Ruch zgodny z dowolną regułą jest uznawany niezależnie od innych dopasowań reguł. W trybie tradycyjnym nie masz wglądu w pełny zestaw reguł pasujących do określonego żądania.

Wersja używanego odzyskiwania po awarii określa również, które typy zawartości są obsługiwane w przypadku inspekcji treści żądań. Aby uzyskać więcej informacji, zobacz Jakie typy zawartości obsługuje WAF w FAQ.

Poziom paranoi

Każda reguła jest przypisana do określonego poziomu paranoi (PL). Reguły skonfigurowane w Paranoia Level 1 (PL1) są mniej agresywne i prawie nigdy nie wywołują fałszywego alarmu. Zapewniają one podstawowe zabezpieczenia przy minimalnej potrzebie dostrajania. Reguły w PL2 wykrywają więcej ataków, ale oczekuje się, że wyzwolą wyniki fałszywie dodatnie, co powinno być dostosowane.

Domyślnie usługa DRS 2.2 jest skonfigurowana na poziomie Paranoi Level 1 (PL1), a wszystkie reguły PL2 są wyłączone. Aby uruchomić WAF na poziomie PL2, można ręcznie włączyć dowolne lub wszystkie reguły PL2. W przypadku wcześniejszych zestawów reguł, DRS 2.1 i CRS 3.2 zawierają reguły zdefiniowane dla poziomu paranoi 2, który obejmuje zarówno reguły PL1, jak i PL2. Jeśli wolisz działać ściśle w PL1, możesz wyłączyć określone reguły PL2 lub ustawić ich akcję na Log.

Poziomy paranoi 3 i 4 nie są obecnie obsługiwane przez Azure WAF.

Uaktualnianie lub zmienianie wersji zestawu reguł

Jeśli uaktualniasz lub przypisujesz nową wersję zestawu reguł i chcesz zachować istniejące przesłonięcia i wykluczenia reguł, zaleca się użycie programu PowerShell, interfejsu wiersza polecenia, interfejsu API REST lub szablonu w celu wprowadzenia zmian w wersji zestawu reguł. Nowa wersja zestawu reguł może mieć nowsze reguły, dodatkowe grupy reguł i mogą mieć aktualizacje istniejących podpisów w celu wymuszenia lepszych zabezpieczeń i zmniejszenia liczby wyników fałszywie dodatnich. Zaleca się zweryfikowanie zmian w środowisku testowym, dostosowanie w razie potrzeby, a następnie wdrożenie w środowisku produkcyjnym.

DRS 2.2

Reguły drS 2.2 zapewniają lepszą ochronę niż wcześniejsze wersje usługi DRS. Obejmuje ona inne reguły opracowane przez zespół ds. analizy zagrożeń firmy Microsoft i aktualizacje podpisów w celu zmniejszenia liczby wyników fałszywie dodatnich. Obsługuje również przekształcenia wykraczające poza dekodowanie adresów URL.

Usługa DRS 2.2 zawiera 18 grup reguł, jak pokazano w poniższej tabeli. Każda grupa zawiera wiele reguł i można dostosować zachowanie poszczególnych reguł, grup reguł lub całego zestawu reguł. DRS 2.2 opiera się na zestawie reguł podstawowych Open Web Application Security Project (OWASP) Core Rule Set (CRS) 3.3.4 i zawiera dodatkowe zastrzeżone reguły zabezpieczające opracowane przez zespół ds. analizy zagrożeń firmy Microsoft.

Wyłączone reguły

Reguły DRS 2.2 skonfigurowane na poziomie Paranoi 2 są domyślnie wyłączone. Możesz pozostawić ich stan wyłączony, jeśli chcesz zachować zasady WAF skonfigurowane na poziomie Paranoia Level 1. Jeśli chcesz zwiększyć poziom paranoi polityki, możesz bezpiecznie zmienić stan tych reguł na włączony oraz ustawić ich akcję na tryb rejestrowania. Przeanalizuj dziennik, wprowadź wymagane dostrajanie i odpowiednio włącz reguły. Aby uzyskać więcej informacji, zobacz Dostrajanie zapory aplikacji internetowej (WAF) dla usługi Azure Front Door i Poziom paranoi.

Niektóre reguły OWASP są zastępowane przez zastąpienia utworzone przez firmę Microsoft. Oryginalne reguły są domyślnie wyłączone, a ich opisy kończą się ciągiem "(zastąpione przez ...)".

DRS 2.1 (wersja 2.1)

Reguły drS 2.1 zapewniają lepszą ochronę niż wcześniejsze wersje usługi DRS. Obejmuje ona inne reguły opracowane przez zespół ds. analizy zagrożeń firmy Microsoft i aktualizacje podpisów w celu zmniejszenia liczby wyników fałszywie dodatnich. Obsługuje również przekształcenia wykraczające poza dekodowanie adresów URL.

Usługa DRS 2.1 zawiera 17 grup reguł, jak pokazano w poniższej tabeli. Każda grupa zawiera wiele reguł i można dostosować zachowanie poszczególnych reguł, grup reguł lub całego zestawu reguł. Usługa DRS 2.1 jest oparta na planie bazowym zestawu reguł open Web Application Security Project (OWASP) Core Rule Set (CRS) 3.3.2 i zawiera dodatkowe reguły ochrony własności opracowane przez zespół ds. analizy zagrożeń firmy Microsoft.

Aby uzyskać więcej informacji, zobacz Dostrajanie zapory aplikacji internetowej (WAF) dla usługi Azure Front Door.

Wyłączone reguły

Następujące reguły są domyślnie wyłączone dla usługi DRS 2.1.

DRS 2.0 (wersja 2.0)

Reguły drS 2.0 zapewniają lepszą ochronę niż wcześniejsze wersje usługi DRS. Usługa DRS 2.0 obsługuje również przekształcenia wykraczające poza dekodowanie tylko adresów URL.

Usługa DRS 2.0 zawiera 17 grup reguł, jak pokazano w poniższej tabeli. Każda grupa zawiera wiele reguł. Można wyłączyć poszczególne reguły i całe grupy reguł.

DRS 1.1 (wersja 1.1)

DRS 1.0 (wersja 1.0)

Menedżer botów 1.0

Zestaw reguł usługi Bot Manager 1.0 zapewnia ochronę przed złośliwymi botami i wykrywaniem dobrych botów. Reguły zapewniają szczegółową kontrolę nad botami wykrytymi przez zaporę aplikacji internetowej przez kategoryzowanie ruchu bota jako Dobre, Złe lub Nieznane boty.

Menedżer botów 1.1

Zestaw reguł usługi Bot Manager 1.1 to ulepszenie zestawu reguł usługi Bot Manager 1.0. Zapewnia on rozszerzoną ochronę przed złośliwymi botami i zwiększa dobre wykrywanie botów.

Następujące grupy reguł i reguły są dostępne w przypadku korzystania z usługi Azure Web Application Firewall w usłudze Azure Front Door.

Treści powiązane

• Reguły niestandardowe dla usługi Azure Web Application Firewall w usłudze Azure Front Door
• Ustawienia zasad zapory aplikacji webowej w usłudze Azure Front Door
• Dowiedz się więcej o zabezpieczeniach sieci platformy Azure