Zapora aplikacji internetowej DRS i grupy reguł CRS i reguły

Domyślny zestaw reguł zarządzanych przez platformę Azure (DRS) w zaporze aplikacji internetowej Application Gateway (WAF) aktywnie chroni aplikacje internetowe przed typowymi lukami w zabezpieczeniach i programami wykorzystującymi luki w zabezpieczeniach. Te zestawy reguł zarządzane przez platformę Azure otrzymują aktualizacje w razie potrzeby w celu ochrony przed nowymi sygnaturami ataków. Domyślny zestaw reguł zawiera również reguły zbierania danych analizy zagrożeń firmy Microsoft. Zespół ds. analizy firmy Microsoft współpracuje w pisaniu tych reguł, zapewniając ulepszone pokrycie, konkretne poprawki luk w zabezpieczeniach i ulepszoną fałszywie dodatnią redukcję.

Reguły można wyłączyć indywidualnie lub ustawić określone akcje dla każdej reguły. W tym artykule wymieniono dostępne bieżące reguły i zestawy reguł. Jeśli opublikowany zestaw reguł wymaga aktualizacji, udokumentowamy ją tutaj.

Domyślny zestaw reguł 2.1

Domyślny zestaw reguł (DRS) 2.1 jest oparty na podstawowym zestawie reguł (CRS) 3.3.2 Open Web Application Security Project (OWASP) i obejmuje dodatkowe zastrzeżone reguły zabezpieczeń opracowane przez zespół Microsoft Threat Intelligence oraz aktualizacje sygnatur w celu zmniejszenia liczby wyników fałszywie dodatnich. Obsługuje również przekształcenia wykraczające poza dekodowanie adresów URL.

DRS 2.1 oferuje nowy silnik i nowe zestawy reguł chroniących przed wstrzyknięciami oprogramowania Java, początkowy zestaw kontroli przesyłania plików i mniej fałszywych alarmów w porównaniu z wersjami CRS. Możesz również dostosować reguły zgodnie z twoimi potrzebami. Dowiedz się więcej na temat nowego aparatu zapory aplikacji internetowej platformy Azure.

Usługa DRS 2.1 zawiera 17 grup reguł, jak pokazano w poniższej tabeli. Każda grupa zawiera wiele reguł i można dostosować zachowanie poszczególnych reguł, grup reguł lub całego zestawu reguł.

Wskazówki dotyczące dostrajania dla DRS 2.1

Skorzystaj z poniższych wskazówek, aby dostroić WAF przy rozpoczęciu pracy z DRS 2.1 na Application Gateway WAF.

Podstawowe zestawy reguł (CRS) — wersja dziedziczna

Zalecanym zarządzanym zestawem reguł jest Domyślny Zestaw Reguł 2.1, który bazuje na Zestawie Reguł Podstawowych Open Web Application Security Project (OWASP) 3.3.2 i zawiera dodatkowe zastrzeżone reguły ochrony opracowane przez zespół Microsoft Threat Intelligence oraz aktualizacje sygnatur w celu zmniejszenia liczby wyników fałszywie dodatnich. Podczas tworzenia nowej polityki zapory aplikacji internetowej należy użyć najnowszej, zalecanej wersji zestawu reguł DRS 2.1. Jeśli masz istniejącą politykę WAF korzystającą z CRS 3.2 lub CRS 3.1, zaleca się aktualizację do DRS 2.1. Aby uzyskać więcej informacji, zobacz Uaktualnianie wersji zestawu reguł CRS lub DRS.

Dostrajanie zarządzanych zestawów reguł

Zarówno drS, jak i CRS są domyślnie włączone w trybie wykrywania w zasadach zapory aplikacji internetowej. Możesz wyłączyć lub włączyć poszczególne reguły w zestawie reguł zarządzanych, aby spełnić wymagania aplikacji. Można również ustawić określone akcje na regułę. Usługa DRS/CRS obsługuje działania dotyczące bloków, dzienników oraz oceny anomalii. Zestaw reguł Bot Manager obsługuje akcje zezwalania, blokowania i rejestrowania.

Czasami może być konieczne pominięcie niektórych atrybutów żądania z oceny zapory aplikacji internetowej. Typowym przykładem są wstawiane tokeny usługi Active Directory, które są używane do uwierzytelniania. Wykluczenia można skonfigurować do zastosowania, gdy są oceniane określone reguły zapory aplikacji internetowej, lub stosować globalnie do oceny wszystkich reguł zapory aplikacji internetowej. Reguły wykluczania mają zastosowanie do całej aplikacji internetowej. Aby uzyskać więcej informacji, zobacz Web Application Firewall (WAF) with Application Gateway exclusion lists (Zapora aplikacji internetowej) z listami wykluczeń usługi Application Gateway.

Domyślnie zapora aplikacji internetowej platformy Azure używa oceniania anomalii, gdy żądanie jest zgodne z regułą. Ponadto możesz skonfigurować reguły niestandardowe w tej samej polityce WAF, jeśli chcesz ominąć dowolną ze wstępnie skonfigurowanych reguł w Core Rule Set.

Reguły niestandardowe są zawsze stosowane przed obliczeniu reguł w zestawie reguł podstawowych. Jeśli żądanie pasuje do reguły niestandardowej, zostanie zastosowana odpowiednia akcja reguły. Żądanie jest zablokowane lub przekazywane do zaplecza. Żadne inne reguły niestandardowe ani reguły w zestawie reguł podstawowych nie są przetwarzane.

Ocenianie anomalii

W przypadku korzystania z usług CRS lub DRS 2.1 lub nowszych zapora aplikacji internetowej jest domyślnie skonfigurowana do używania oceniania anomalii. Ruch zgodny z dowolną regułą nie jest natychmiast blokowany, nawet jeśli zapora aplikacji internetowej jest w trybie zapobiegania. Zamiast tego zestawy reguł OWASP definiują ważność dla każdej reguły: Krytyczne, Błąd, Ostrzeżenie lub Powiadomienie. Ważność ma wpływ na wartość liczbową żądania, która jest nazywana wynikiem anomalii:

Jeśli wynik anomalii wynosi 5 lub większy, a zapora aplikacji internetowej jest w trybie zapobiegania, żądanie zostanie zablokowane. Jeśli wynik anomalii wynosi 5 lub większy, a zapora aplikacji internetowej jest w trybie wykrywania, żądanie jest rejestrowane, ale nie jest blokowane.

Na przykład pojedyncze dopasowanie reguły krytycznej wystarczy, aby zapora aplikacji internetowej zablokowała żądanie w trybie zapobiegania, ponieważ ogólny wynik anomalii wynosi 5. Jednak jedno dopasowanie reguły ostrzeżenia zwiększa tylko wynik anomalii o 3, co nie wystarczy, aby zablokować ruch. Po wyzwoleniu reguły anomalii w dziennikach zostanie wyświetlona akcja "Dopasowane". Jeśli wynik anomalii wynosi 5 lub więcej, jest uruchamiana osobna reguła z akcją "Zablokowane" lub "Wykryte", w zależności od tego, czy polityka WAF jest w trybie zapobiegania, czy wykrywania. Aby uzyskać więcej informacji, sprawdź Tryb oceniania anomalii.

Poziom paranoi

Każda reguła jest przypisana do określonego poziomu paranoi (PL). Reguły skonfigurowane w Paranoia Level 1 (PL1) są mniej agresywne i prawie nigdy nie wywołują fałszywego alarmu. Zapewniają one podstawowe zabezpieczenia przy minimalnej potrzebie dostrajania. Reguły w PL2 wykrywają więcej ataków, ale oczekuje się, że mogą wywoływać fałszywe alarmy, które należy dostosować.

Domyślnie wersje reguł DRS 2.1 i CRS 3.2 są wstępnie skonfigurowane w Paranoia Level 2, w tym reguły przypisane zarówno w PL1, jak i w PL2. Jeśli chcesz używać WAF wyłącznie z PL1, możesz wyłączyć dowolną lub wszystkie reguły PL2 lub zmienić ich działanie na "log". Interfejsy PL3 i PL4 nie są obecnie obsługiwane w zaporze aplikacji internetowej Azure (WAF).

Uaktualnianie lub zmienianie wersji zestawu reguł

Jeśli uaktualniasz lub przypisujesz nową wersję zestawu reguł i chcesz zachować istniejące przesłonięcia i wykluczenia reguł, zaleca się użycie programu PowerShell, interfejsu wiersza polecenia, interfejsu API REST lub szablonu w celu wprowadzenia zmian w wersji zestawu reguł. Nowa wersja zestawu reguł może mieć nowsze reguły lub dodatkowe grupy reguł, które można bezpiecznie zweryfikować. Zaleca się zweryfikowanie zmian w środowisku testowym, dostosowanie w razie potrzeby, a następnie wdrożenie w środowisku produkcyjnym. Aby uzyskać więcej informacji, zobacz Uaktualnianie wersji zestawu reguł CRS lub DRS

Jeśli używasz portalu Azure do przypisania nowego zarządzanego zestawu reguł do zasad WAF, wszystkie wcześniejsze dostosowania z istniejącego zarządzanego zestawu reguł, takie jak stan reguły, akcje reguł i wykluczenia na poziomie reguły, zostaną zresetowane do wartości domyślnych nowego zarządzanego zestawu reguł. Jednak wszystkie niestandardowe reguły, ustawienia zasad i wykluczenia globalne pozostaną nienaruszone podczas nowego przypisania zestawu reguł. Przed wdrożeniem w środowisku produkcyjnym należy ponownie zdefiniować przesłonięcia reguł i zweryfikować zmiany.

Menedżer botów 1.0

Zestaw reguł usługi Bot Manager 1.0 zapewnia ochronę przed złośliwymi botami i wykrywaniem dobrych botów. Reguły zapewniają szczegółową kontrolę nad botami wykrytymi przez zaporę aplikacji internetowej przez kategoryzowanie ruchu bota jako Dobre, Złe lub Nieznane boty.

Menedżer botów 1.1

Zestaw reguł usługi Bot Manager 1.1 to ulepszenie zestawu reguł usługi Bot Manager 1.0. Zapewnia on rozszerzoną ochronę przed złośliwymi botami i zwiększa dobre wykrywanie botów.

Następujące grupy reguł i reguły są dostępne w przypadku korzystania z zapory aplikacji internetowej w usłudze Application Gateway.

Poniżej przedstawiono poprzednie wersje zestawu reguł podstawowych. Jeśli używasz crS 3.2, CRS 3.1, CRS 3.0 lub CRS 2.2.9, zaleca się uaktualnienie do najnowszej wersji zestawu reguł DRS 2.1. Aby uzyskać więcej informacji, zobacz Uaktualnianie lub zmienianie wersji zestawu reguł.

Treści powiązane

• Dostosowywanie reguł usługi Web Application Firewall przy użyciu witryny Azure Portal
• Dowiedz się więcej o zabezpieczeniach sieci platformy Azure