Uaktualnianie wersji zestawu reguł CRS lub DRS

Domyślny zestaw reguł zarządzanych przez platformę Azure (DRS) w zaporze aplikacji internetowej (WAF) usługi Azure Application Gateway chroni aplikacje internetowe przed typowymi lukami w zabezpieczeniach i programami wykorzystującymi luki w zabezpieczeniach, w tym OWASP 10 najważniejszych typów ataków. Domyślny zestaw reguł zawiera również reguły zbierania danych analizy zagrożeń firmy Microsoft. Zalecamy zawsze uruchamianie najnowszej wersji zestawu reguł, która obejmuje najnowsze aktualizacje zabezpieczeń, ulepszenia reguł i poprawki.

Domyślny zestaw reguł zarządzany przez platformę Azure (DRS) to najnowsza generacja zestawów reguł w zaporze aplikacji internetowej platformy Azure, zastępując wszystkie poprzednie wersje zestawu reguł podstawowych (CRS). Wśród wersji drS zawsze używaj najwyższej dostępnej wersji (na przykład drS 2.2 po wydaniu), aby upewnić się, że masz najbardziej up-to-date protections.

Ten artykuł zawiera przykłady programu PowerShell dotyczące uaktualniania zasad zapory aplikacji internetowej platformy Azure do usługi DRS 2.1. W przykładach dokumentacji drS 2.1 należy zawsze uaktualnić do najnowszej dostępnej wersji usługi DRS, aby zapewnić maksymalną ochronę.

Wymagania wstępne

• Konto Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.

• Istniejące zasady zapory aplikacji internetowej platformy Azure z zastosowanym podstawowym zestawem reguł (CRS) lub domyślnym zestawem reguł (DRS). Jeśli nie masz jeszcze zasad zapory aplikacji internetowej, zobacz Tworzenie zasad zapory aplikacji internetowej dla usługi Application Gateway.

• Zainstalowana lokalnie najnowsza wersja programu Azure PowerShell. Ten artykuł wymaga modułu Az.Network.

Kluczowe zagadnienia dotyczące uaktualniania

Podczas uaktualniania wersji zestawu reguł zapory aplikacji internetowej platformy Azure upewnij się, że:

• Zachowaj istniejące dostosowania: przesłonięcia akcji reguły, przesłonięcia stanu reguły (włączone/wyłączone) i wykluczenia.

• Bezpiecznie zweryfikuj nowe reguły: upewnij się, że nowo dodane reguły są początkowo ustawione w trybie rejestrowania, dzięki czemu można monitorować ich wpływ i dostosowywać je przed włączeniem blokowania.

Przygotowywanie środowiska i zmiennych

1. Ustaw kontekst wybranej subskrypcji, grupy zasobów i zasad zapory aplikacji internetowej platformy Azure.

   Import-Module Az.Network
   Set-AzContext -SubscriptionId "<subscription_id>"
   $resourceGroupName = "<resource_group>"
   $wafPolicyName = "<policy_name>"
   

2. Pobierz obiekt zasad zapory aplikacji internetowej i pobierz jego definicje.

   $wafPolicy = Get-AzApplicationGatewayFirewallPolicy ` 
   -Name $wafPolicyName ` 
   -ResourceGroupName $resourceGroupName 
   $currentExclusions = $wafPolicy.ManagedRules.Exclusions 
   $currentManagedRuleset = $wafPolicy.ManagedRules.ManagedRuleSets 
   | Where-Object { $_.RuleSetType -eq "OWASP" } 
   $currentVersion = $currentManagedRuleset.RuleSetVersion
   

Zachowywanie istniejących dostosowań

1. Nie kopiuj przesłonięć ani wykluczeń, które mają zastosowanie do reguł usuniętych w usłudze DRS 2.1. Poniższa funkcja sprawdza, czy reguła została usunięta:

   function Test-RuleIsRemovedFromDRS21 { 
       param ( 
           [string]$RuleId, 
           [string]$CurrentRulesetVersion 
       ) 
       $removedRulesByCrsVersion = @{ 
           "3.0" = @( "200004", "913100", "913101", "913102", "913110", "913120", "920130", "920140", "920250", "921100", "800100", "800110", "800111", "800112", "800113" ) 
           "3.1" = @( "200004", "913100", "913101", "913102", "913110", "913120", "920130", "920140", "920250", "800100", "800110", "800111", "800112", "800113", "800114" ) 
           "3.2" = @( "200004", "913100", "913101", "913102", "913110", "913120", "920250", "800100", "800110", "800111", "800112", "800113", "800114" ) 
           } 
       # If the version isn't known, assume rule has not been removed 
       if (-not $removedRulesByCrsVersion.ContainsKey($CurrentRulesetVersion)) { 
           return $false 
           } 
       return $removedRulesByCrsVersion[$CurrentRulesetVersion] -contains $RuleId }
   

2. Podczas tworzenia nowych obiektów przesłaniania użyj nazw grup DRS 2.1. Następująca funkcja mapuje starsze nazwy grup CRS na grupy DRS 2.1:

   function Get-DrsRuleGroupName {
       param ( 
           [Parameter(Mandatory = $true)]
           [string]$SourceGroupName )
       $groupMap = @{ 
       "REQUEST-930-APPLICATION-ATTACK-LFI" = "LFI" 
       "REQUEST-931-APPLICATION-ATTACK-RFI" = "RFI" 
       "REQUEST-932-APPLICATION-ATTACK-RCE" = "RCE" 
       "REQUEST-933-APPLICATION-ATTACK-PHP" = "PHP" 
       "REQUEST-941-APPLICATION-ATTACK-XSS" = "XSS" 
       "REQUEST-942-APPLICATION-ATTACK-SQLI" = "SQLI" 
       "REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION" = "FIX" 
       "REQUEST-944-APPLICATION-ATTACK-JAVA" = "JAVA" 
       "REQUEST-921-PROTOCOL-ATTACK" = "PROTOCOL-ATTACK" 
       "REQUEST-911-METHOD-ENFORCEMENT" = "METHOD-ENFORCEMENT" 
       "REQUEST-920-PROTOCOL-ENFORCEMENT" = "PROTOCOL-ENFORCEMENT" 
       "REQUEST-913-SCANNER-DETECTION" = $null # No direct mapping 
       "Known-CVEs" = "MS-ThreatIntel-CVEs" 
       "General" = "General" 
       } 
       if ($groupMap.ContainsKey($SourceGroupName)) { 
           return $groupMap[$SourceGroupName] 
       } else { 
           return $SourceGroupName # No known mapping 
           } 
       }
   

3. Użyj następującego kodu programu PowerShell, aby zdefiniować przesłonięcia reguł, duplikując przesłonięcia z istniejącej wersji zestawu reguł:

   $groupOverrides = @() 
   foreach ($group in $currentManagedRuleset.RuleGroupOverrides) {
     $mappedGroupName = Get-DrsRuleGroupName $group.RuleGroupName 
       foreach ($existingRule in $group.Rules) { 
   if (-not (Test-RuleIsRemovedFromDRS21 $existingRule.RuleId $currentVersion)) 
     { 
      `$existingGroup = $groupOverrides | 
   Where-Object { $_.RuleGroupName -eq $mappedGroupName } 
   if ($existingGroup) { 
   if (-not ($existingGroup.Rules | 
   Where-Object { $_.RuleId -eq $existingRule.RuleId })) { 
   $existingGroup.Rules.Add($existingRule) } } 
   else { 
     $newGroup = New-AzApplicationGatewayFirewallPolicyManagedRuleGroupOverride ` -RuleGroupName $mappedGroupName ` -Rule @($existingRule) $groupOverrides += $newGroup } } } }
   
   

4. Użyj następującego kodu programu PowerShell, aby zduplikować istniejące wykluczenia i zastosować je w usłudze DRS 2.1:

   # Create new exclusion objects
   $newRuleSetExclusions = @()
   
   if ($currentExclusions -ne $null -and $currentExclusions.Count -gt 0)
   {
   	foreach ($exclusion in $currentExclusions) {
   		$newExclusion = New-AzApplicationGatewayFirewallPolicyExclusion `
   			-MatchVariable $exclusion.MatchVariable `
   			-SelectorMatchOperator $exclusion.SelectorMatchOperator `
   			-Selector $exclusion.Selector
   
   		# Migrate scopes: RuleSet, RuleGroup, or individual Rules
   		if ($exclusion.ExclusionManagedRuleSets) {
   			foreach ($scope in $exclusion.ExclusionManagedRuleSets) {
   				# Create RuleGroup objects from existing RuleGroups
   				$ruleGroups = @()
   				foreach ($group in $scope.RuleGroups) {
   					$drsGroupName = Get-DrsRuleGroupName $group.RuleGroupName
   					if ($drsGroupName)
   					{
   							$exclusionRules = @()
   							foreach ($rule in $group.Rules) 
   							{
   								if (-not (Test-RuleIsRemovedFromDRS21 $rule.RuleId "3.2"))
   								{
   								$exclusionRules += New-AzApplicationGatewayFirewallPolicyExclusionManagedRule `
   									-RuleId $rule.RuleId
   								}
   							}
   						if ($exclusionRules -ne $null -and $exclusionRules.Count -gt 0)
   						{
   							$ruleGroups += New-AzApplicationGatewayFirewallPolicyExclusionManagedRuleGroup `
   							-Name $drsGroupName `
   							-Rule $exclusionRules
   						} else {
   							$ruleGroups += New-AzApplicationGatewayFirewallPolicyExclusionManagedRuleGroup `
   							-Name $drsGroupName
   						}
   					}
   				}
   
   				# Create the ManagedRuleSet scope object with the updated RuleGroups
   				if ($ruleGroups.Count -gt 0) {
   					$newRuleSetScope = New-AzApplicationGatewayFirewallPolicyExclusionManagedRuleSet `
   						-Type "Microsoft_DefaultRuleSet" `
   						-Version "2.1" `
   						-RuleGroup $ruleGroups
   				}
   
   				# Add to the new exclusion object
   				$newExclusion.ExclusionManagedRuleSets += $newRuleSetScope
   			}
   		}
   
   		if (-not $newExclusion.ExclusionManagedRuleSets)
   		{
   			$newExclusion.ExclusionManagedRuleSets = @()
   		}
   
   		$newRuleSetExclusions += $newExclusion
   	}
   }
   

Bezpieczne weryfikowanie nowych reguł

Podczas uaktualniania nowe reguły DRS 2.1 są domyślnie aktywne. Jeśli zapora aplikacji internetowej jest w trybie zapobiegania , ustaw najpierw nowe reguły na tryb rejestrowania . Tryb dziennika umożliwia przeglądanie dzienników przed włączeniem blokowania.

1. Następujące definicje programu PowerShell są przeznaczone dla reguł wprowadzonych w usłudze DRS 2.1 w porównaniu z każdą wersją crS:

   # Added in DRS 2.1 compared to CRS 3.0 
   $rulesAddedInThisVersionByGroup = @{ 
       "General" = @("200002", "200003") 
       "PROTOCOL-ENFORCEMENT" = @("920121", "920171", "920181", "920341", "920470", "920480", "920500") 
       "PROTOCOL-ATTACK" = @("921190", "921200") 
       "RCE" = @("932180") 
       "PHP" = @("933200", "933210") 
       "NODEJS" = @("934100") 
       "XSS" = @("941101", "941360", "941370", "941380") 
       "SQLI" = @("942361", "942470", "942480", "942500", "942510") 
       "JAVA" = @("944100", "944110", "944120", "944130", "944200", "944210", "944240", "944250") 
       "MS-ThreatIntel-WebShells" = @("99005002", "99005003", "99005004", "99005005", "99005006") 
       "MS-ThreatIntel-AppSec" = @("99030001", "99030002") 
       "MS-ThreatIntel-SQLI" = @("99031001", "99031002", "99031003", "99031004") 
       "MS-ThreatIntel-CVEs" = @( "99001001","99001002","99001003","99001004","99001005","99001006", "99001007","99001008","99001009","99001010","99001011","99001012", "99001013","99001014","99001015","99001016","99001017" ) 
   }
   

   # Added in DRS 2.1 compared to CRS 3.1 
       $rulesAddedInThisVersionByGroup = @{ 
       "General" = @("200002", "200003") 
       "PROTOCOL-ENFORCEMENT" = @("920181", "920500") 
       "PROTOCOL-ATTACK" = @("921190", "921200") 
       "PHP" = @("933200", "933210") 
       "NODEJS" = @("934100") 
       "XSS" = @("941360", "941370", "941380") 
       "SQLI" = @("942500", "942510") 
       "MS-ThreatIntel-WebShells" = @("99005002", "99005003", "99005004", "99005005", "99005006") 
       "MS-ThreatIntel-AppSec" = @("99030001", "99030002") 
       "MS-ThreatIntel-SQLI" = @("99031001", "99031002", "99031003", "99031004") "MS-ThreatIntel-CVEs" = @( "99001001","99001002","99001003","99001004","99001005","99001006", "99001007","99001008","99001009","99001010","99001011","99001012", "99001013","99001014","99001015","99001016","99001017" ) 
   }
   

   # Added in DRS 2.1 compared to CRS 3.2 
   $rulesAddedInThisVersionByGroup = @{ 
       "General" = @("200002", "200003") 
       "PROTOCOL-ENFORCEMENT" = @("920181", "920500") 
       "PROTOCOL-ATTACK" = @("921190", "921200") 
       "PHP" = @("933200", "933210") 
       "NODEJS" = @("934100") 
       "XSS" = @("941360", "941370", "941380") 
       "SQLI" = @("942100", "942500", "942510") 
       "MS-ThreatIntel-WebShells" = @("99005002", "99005003", "99005004", "99005005", "99005006") 
       "MS-ThreatIntel-AppSec" = @("99030001", "99030002") 
       "MS-ThreatIntel-SQLI" = @("99031001", "99031002", "99031003", "99031004") 
       "MS-ThreatIntel-CVEs" = @( "99001001","99001002","99001003","99001004","99001005","99001006", "99001007","99001008","99001009","99001010","99001011","99001012", "99001013","99001014","99001015","99001016","99001017" ) 
   }
   
   

2. Użyj następującego kodu programu PowerShell, aby dodać nowe zastąpienia reguł do istniejącego $groupOverrides obiektu zdefiniowanego wcześniej:

   foreach ($groupName in $rulesAddedInDRS21.Keys) { 
       $ruleOverrides = @() 
       foreach ($ruleId in $rulesAddedInDRS21[$groupName]) { 
           $alreadyExists = $existingOverrides | 
               Where-Object { $_.RuleId -eq $ruleId } 
           if (-not $alreadyExists) { 
               $ruleOverrides += New-AzApplicationGatewayFirewallPolicyManagedRuleOverride ` 
               -RuleId $ruleId ` 
               -Action "Log" ` 
               -State "Enabled" 
               } 
           } # Only create group override if we added rules to it 
       if ($ruleOverrides.Count -gt 0) { 
           $groupOverrides += New-AzApplicationGatewayFirewallPolicyManagedRuleGroupOverride ` 
               -RuleGroupName $groupName ` 
               -Rule $ruleOverrides } 
               }
   

Stosowanie dostosowań i uaktualnianie

Zdefiniuj zaktualizowany obiekt zasad zapory aplikacji internetowej platformy Azure z uwzględnieniem zduplikowanych i zaktualizowanych przesłonięć i wykluczeń reguł:

$managedRuleSet = New-AzApplicationGatewayFirewallPolicyManagedRuleSet ` 
    -RuleSetType "Microsoft_DefaultRuleSet" ` 
    -RuleSetVersion "2.1" ` 
    -RuleGroupOverride $groupOverrides 
for ($i = 0; $i -lt $wafPolicy.ManagedRules.ManagedRuleSets.Count; $i++) { 
    if ($wafPolicy.ManagedRules.ManagedRuleSets[$i].RuleSetType -eq "OWASP") { 
    $wafPolicy.ManagedRules.ManagedRuleSets[$i] = $managedRuleSet 
    break 
    } 
} 
# Assign to policy
if ($newRuleSetExclusions) {
    $wafPolicy.ManagedRules.Exclusions = $currentExclusions + $newRuleSetExclusions 
}
# Apply the updated WAF policy 
Set-AzApplicationGatewayFirewallPolicy -InputObject $wafPolicy

Treści powiązane

• Zapora aplikacji internetowej DRS i grupy reguł CRS i reguły
• Dostosowywanie reguł usługi Web Application Firewall przy użyciu witryny Azure Portal