Regras e grupos de regras de DRS do Firewall de Aplicativo Web
O Firewall de Aplicativo Web do Azure no Azure Front Door protege os aplicativos Web contra vulnerabilidades e explorações comuns. Os conjuntos de regras gerenciados pelo Azure oferecem uma maneira fácil de implantar a proteção contra um conjunto comum de ameaças de segurança. Visto que esses conjuntos de regras são gerenciados pelo Azure, as regras são atualizadas conforme necessário para proteção contra novas assinaturas de ataque.
O Conjunto de Regras Padrão (DRS) também inclui as regras da Coleta de Inteligência contra Ameaças da Microsoft que são escritas em parceria com a equipe de Inteligência da Microsoft para fornecer maior cobertura, correções para vulnerabilidades específicas e melhor redução de falsos positivos.
Observação
Quando uma versão do conjunto de regras é alterada em uma Política do WAF, todas as personalizações existentes feitas no seu conjunto de regras serão redefinidas para os padrões do novo conjunto de regras. Veja: Atualizando ou alterando a versão do conjunto de regras.
Conjuntos de regras padrão
O DRS gerenciado pelo Azure inclui regras contra as seguintes categorias de ameaças:
- Script entre sites
- Ataques de Java
- Inclusão de arquivo local
- Ataque de injeção de PHP
- Execução de comando remoto
- Inclusão de arquivo remoto
- Fixação da sessão
- Proteção contra injeção de SQL
- Invasores de protocolo
O número de versão do DRS será incrementado quando novas assinaturas de ataque forem adicionadas ao conjunto de regras.
O DRS é habilitado por padrão no modo de detecção nas políticas de WAF. Você pode desabilitar ou habilitar regras individuais no DRS para atender aos requisitos do aplicativo. Você também pode definir ações específicas por regra. As ações disponíveis são Permitir, Bloquear, Registrar e Redirecionar.
Às vezes, pode ser necessário omitir determinados atributos de solicitação de uma avaliação do firewall do aplicativo Web (WAF). Um exemplo comum são os tokens inseridos pelo Active Directory que são usados para autenticação. Você pode configurar uma lista de exclusões para uma regra gerenciada, um grupo de regras ou todo o conjunto de regras. Para obter mais informações, confiraListas de exclusão do Firewall de Aplicativo Web do Azure no Azure Front Door.
Por padrão, as versões 2.0 e posteriores do DRS utilizam a pontuação de anomalias quando uma solicitação corresponde a uma regra. As versões do DRS anteriores à versão 2.0 bloqueiam solicitações que disparam as regras. Além disso, as regras personalizadas podem ser personalizadas na mesma política do WAF se você quiser ignorar qualquer uma das regras pré-configuradas no DRS.
As regras personalizadas são sempre aplicadas antes da avaliação das regras no DRS. Se uma solicitação corresponder a uma regra personalizada, a ação de regra correspondente será aplicada. A solicitação é bloqueada ou passada pelo back-end. Nenhuma outra regra personalizada ou as regras no DRS são processadas. Também é possível remover o DRS das suas políticas do WAF.
Regras de coleta de inteligência contra ameaças da Microsoft
As regras de coleta de inteligência contra ameaças da Microsoft são escritas em parceria com a equipe de Inteligência contra Ameaças da Microsoft para fornecer maior cobertura, patches para vulnerabilidades específicas e melhor redução de falsos positivos.
Por padrão, as regras da Coleta de Inteligência contra Ameaças da Microsoft substituem algumas das regras internas do DRS, fazendo com que elas sejam desabilitadas. Por exemplo, a ID da regra 942440, Sequência de Comentários SQL Detectada, foi desabilitada e substituída pela regra 99031002 da Coleta de Inteligência contra Ameaças da Microsoft. A regra substituída reduz o risco de detecções falsas positivas de solicitações legítimas.
Pontuação de anomalias
Quando você usa o DRS 2.0 ou posterior, o WAF usa a pontuação de anomalias. O tráfego que corresponde a qualquer regra não é imediatamente bloqueado, mesmo quando o WAF está no modo de prevenção. Em vez disso, os conjuntos de regras OWASP definem uma gravidade para cada regra: Crítico, Erro, Aviso ou Informativo. A gravidade afeta um valor numérico para a solicitação, que é chamado de pontuação de anomalias: Se uma solicitação acumular uma pontuação de anomalia igual ou superior a 5, o WAF tomará providências em relação à solicitação.
| Gravidade da regra | Valor que contribuiu para a pontuação de anomalias |
|---|---|
| Crítico | 5 |
| Erro | 4 |
| Aviso | 3 |
| Informativo | 2 |
Ao configurar o WAF, você pode decidir como o WAF lida com solicitações que excedem o limite de pontuação de anomalias de 5. As três opções de ação de pontuação de anomalia são Bloquear, Registrar ou Redirecionar. A ação de pontuação de anomalia selecionada no momento da configuração é aplicada a todas as solicitações que excedem o limite de pontuação de anomalia.
Por exemplo, se a pontuação de anomalia for igual ou superior a 5 em uma solicitação e o WAF estiver no modo de prevenção com a ação de pontuação de anomalia definida como Bloquear, a solicitação será bloqueada. Se a pontuação de anomalia for 5 ou maior em uma solicitação, e o WAF estiver no modo de detecção, a solicitação será registrada, mas não bloqueada.
Uma correspondência de regra Crítica única é suficiente para que o WAF bloqueie uma solicitação no modo de prevenção com a ação de pontuação de anomalia definida como Bloquear, pois a pontuação geral de anomalia é 5. Entretanto, uma correspondência de regra de Aviso aumenta apenas a pontuação de anomalias em 3, o que não é suficiente para bloquear o tráfego. Quando uma regra de anomalia é disparada, ela mostra uma ação “correspondente” nos logs. Se a pontuação de anomalia for igual ou superior a 5, uma regra separada será disparada com a ação de pontuação da anomalia configurada para o conjunto de regras. A ação de pontuação de anomalia padrão é Bloquear, o que resulta em uma entrada de log com a ação blocked.
Quando o WAF usa uma versão mais antiga do Conjunto de Regras Padrão (antes do DRS 2.0), o WAF é executado no modo tradicional. O tráfego que corresponde a qualquer regra é considerado independentemente de qualquer outra correspondência de regra. No modo tradicional, você não tem visibilidade do conjunto completo de regras que corresponde a uma solicitação específica.
A versão do DRS que você usa também determina quais tipos de conteúdo têm suporte para inspeção do corpo da solicitação. Para obter mais informações, confira O WAF dá suporte a quais tipos de conteúdo? nas perguntas frequentes.
Atualizando ou alterando a versão do conjunto de regras
Se você estiver atualizando ou atribuindo uma nova versão do conjunto de regras e quiser preservar as substituições e exclusões de regras existentes, é recomendável usar o PowerShell, a CLI, a API REST ou modelos para fazer alterações na versão do conjunto de regras. Uma nova versão de um conjunto de regras pode ter regras mais recentes, grupos de regras adicionais e pode ter atualizações em assinaturas existentes para reforçar a segurança e reduzir falsos positivos. É recomendável validar as alterações em um ambiente de teste, fazer ajustes finos, se necessário, e depois implantar em um ambiente de produção.
Observação
Se você estiver usando o portal do Azure para atribuir um novo conjunto de regras gerenciado a uma política do WAF, todas as personalizações anteriores do conjunto de regras gerenciado existente, como estado da regra, ações da regra e exclusões de nível de regra, serão redefinidas para os padrões do novo conjunto de regras gerenciado. No entanto, quaisquer regras personalizadas ou configurações de política permanecerão inalteradas durante a atribuição do novo conjunto de regras. Você precisará redefinir substituições de regras e validar alterações antes de implantar em um ambiente de produção.
DRS 2.1
As regras do DRS 2.1 oferecem uma proteção melhor do que as versões anteriores do DRS. Ele inclui outras regras desenvolvidas pela equipe de Inteligência contra Ameaças da Microsoft e atualizações nas assinaturas para reduzir falsos positivos. Ele também dá suporte a transformações além da decodificação de URL.
O DRS 2.1 inclui 17 grupos de regras, conforme mostrado na tabela a seguir. Cada grupo contém várias regras e você pode personalizar o comportamento das regras individuais, grupos de regras ou de um conjunto de regras inteiro. O DRS 2.1 tem como base o Conjunto de Regras Básicas (CRS) 3.3.2 do Open Web Application Security Project (OWASP) e inclui regras de proteção proprietárias adicionais desenvolvidas pela equipe de Inteligência de Ameaças da Microsoft.
Para obter mais informações, confira Ajustando o WAF (Firewall de Aplicativo Web) no Azure Front Door.
Observação
O DRS 2.1 só está disponível no Azure Front Door Premium.
| Grupo de regras | ruleGroupName | Descrição |
|---|---|---|
| Geral | Geral | Grupo geral |
| METHOD-ENFORCEMENT | METHOD-ENFORCEMENT | Métodos de bloqueio (PUT, PATCH) |
| PROTOCOL-ENFORCEMENT | PROTOCOL-ENFORCEMENT | Protege contra problemas de protocolo e codificação |
| PROTOCOL-ATTACK | PROTOCOL-ATTACK | Protege contra injeção de cabeçalho, solicitações indesejadas e divisão de resposta |
| APPLICATION-ATTACK-LFI | LFI | Protege contra ataques de arquivo e caminho |
| APPLICATION-ATTACK-RFI | RFI | Protege contra ataques de inclusão de arquivo remoto (RFI) |
| APPLICATION-ATTACK-RCE | RCE | Protege novamente contra ataques de execução remota de código |
| APPLICATION-ATTACK-PHP | PHP | Protege contra ataques de injeção de PHP |
| APPLICATION-ATTACK-NodeJS | NODEJS | Protege contra ataques de Node JS |
| APPLICATION-ATTACK-XSS | XSS | Protege contra ataques de scripts entre sites |
| APPLICATION-ATTACK-SQLI | SQLI | Protege contra ataques de injeção de SQL |
| APPLICATION-ATTACK-SESSION-FIXATION | FIX | Protege contra ataques de fixação de sessão |
| APPLICATION-ATTACK-SESSION-JAVA | JAVA | Protege contra ataques JAVA |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Protege contra ataques de web shell |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Protege contra ataques do AppSec |
| MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | Protege contra ataques SQLI |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Protege contra ataques CVE |
Regras desabilitadas
As regras a seguir estão desabilitadas por padrão no DRS 2.1.
| ID da regra | Grupo de regras | Descrição | Detalhes |
|---|---|---|---|
| 942110 | SQLI | Ataque de injeção de SQL: teste de injeção comum detectado | Substituído pela regra 99031001 da MSTIC |
| 942150 | SQLI | Ataque de injeção de SQL | Substituído pela regra 99031003 da MSTIC |
| 942260 | SQLI | Detecta tentativas básicas de bypass de autenticação SQL 2/3 | Substituído pela regra 99031004 da MSTIC |
| 942430 | SQLI | Detecção restrita de anomalias de caracteres SQL (args): # de caracteres especiais excedidos (12) | Muitos falsos positivos |
| 942440 | SQLI | Sequência de comentários SQL detectada | Substituído pela regra 99031002 da MSTIC |
| 99005006 | MS-ThreatIntel-WebShells | Tentativa de interação do Spring4Shell | Habilitar a regra para evitar a vulnerabilidade do SpringShell |
| 99001014 | MS-ThreatIntel-CVEs | Tentativa de injeção de expressão de roteamento do Spring Cloud CVE-2022-22963 | Habilitar a regra para evitar a vulnerabilidade do SpringShell |
| 99001015 | MS-ThreatIntel-WebShells | Tentativa de exploração de objeto de classe não segura do Spring Framework CVE-2022-22965 | Habilitar a regra para evitar a vulnerabilidade do SpringShell |
| 99001016 | MS-ThreatIntel-WebShells | Tentativa de injeção do Actuator do Spring Cloud Gateway CVE-2022-22947 | Habilitar a regra para evitar a vulnerabilidade do SpringShell |
| 99001017 | MS-ThreatIntel-CVEs | Tentativa de exploração de upload do arquivo do Apache Struts CVE-2023-50164. | Habilitar a regra para evitar a vulnerabilidade do Apache Struts |
DRS 2.0
As regras do DRS 2.0 oferecem uma proteção maior do que as versões anteriores do DRS. O DRS 2.0 também dá suporte a transformações que vão além da decodificação de URL.
O DRS 2.0 inclui 17 grupos de regras, conforme mostrado na tabela a seguir. Cada grupo contém várias regras. Você pode desabilitar regras individuais e grupos de regras inteiros.
Observação
O DRS 2.0 só está disponível no Azure Front Door Premium.
| Grupo de regras | ruleGroupName | Descrição |
|---|---|---|
| Geral | Geral | Grupo geral |
| METHOD-ENFORCEMENT | METHOD-ENFORCEMENT | Métodos de bloqueio (PUT, PATCH) |
| PROTOCOL-ENFORCEMENT | PROTOCOL-ENFORCEMENT | Protege contra problemas de protocolo e codificação |
| PROTOCOL-ATTACK | PROTOCOL-ATTACK | Protege contra injeção de cabeçalho, solicitações indesejadas e divisão de resposta |
| APPLICATION-ATTACK-LFI | LFI | Protege contra ataques de arquivo e caminho |
| APPLICATION-ATTACK-RFI | RFI | Protege contra ataques de inclusão de arquivo remoto (RFI) |
| APPLICATION-ATTACK-RCE | RCE | Protege novamente contra ataques de execução remota de código |
| APPLICATION-ATTACK-PHP | PHP | Protege contra ataques de injeção de PHP |
| APPLICATION-ATTACK-NodeJS | NODEJS | Protege contra ataques de Node JS |
| APPLICATION-ATTACK-XSS | XSS | Protege contra ataques de scripts entre sites |
| APPLICATION-ATTACK-SQLI | SQLI | Protege contra ataques de injeção de SQL |
| APPLICATION-ATTACK-SESSION-FIXATION | FIX | Protege contra ataques de fixação de sessão |
| APPLICATION-ATTACK-SESSION-JAVA | JAVA | Protege contra ataques JAVA |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Protege contra ataques de web shell |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Protege contra ataques do AppSec |
| MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | Protege contra ataques SQLI |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Protege contra ataques CVE |
DRS 1.1
| Grupo de regras | ruleGroupName | Descrição |
|---|---|---|
| PROTOCOL-ATTACK | PROTOCOL-ATTACK | Protege contra injeção de cabeçalho, solicitações indesejadas e divisão de resposta |
| APPLICATION-ATTACK-LFI | LFI | Protege contra ataques de arquivo e caminho |
| APPLICATION-ATTACK-RFI | RFI | Protege contra ataques de inclusão de arquivo remoto |
| APPLICATION-ATTACK-RCE | RCE | Protege contra execução remota de comando |
| APPLICATION-ATTACK-PHP | PHP | Protege contra ataques de injeção de PHP |
| APPLICATION-ATTACK-XSS | XSS | Protege contra ataques de scripts entre sites |
| APPLICATION-ATTACK-SQLI | SQLI | Protege contra ataques de injeção de SQL |
| APPLICATION-ATTACK-SESSION-FIXATION | FIX | Protege contra ataques de fixação de sessão |
| APPLICATION-ATTACK-SESSION-JAVA | JAVA | Protege contra ataques JAVA |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Protege contra ataques de web shell |
| MS-ThreatIntel-AppSec | MS-ThreatIntel-AppSec | Protege contra ataques do AppSec |
| MS-ThreatIntel-SQLI | MS-ThreatIntel-SQLI | Protege contra ataques SQLI |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Protege contra ataques CVE |
DRS 1.0
| Grupo de regras | ruleGroupName | Descrição |
|---|---|---|
| PROTOCOL-ATTACK | PROTOCOL-ATTACK | Protege contra injeção de cabeçalho, solicitações indesejadas e divisão de resposta |
| APPLICATION-ATTACK-LFI | LFI | Protege contra ataques de arquivo e caminho |
| APPLICATION-ATTACK-RFI | RFI | Protege contra ataques de inclusão de arquivo remoto |
| APPLICATION-ATTACK-RCE | RCE | Protege contra execução remota de comando |
| APPLICATION-ATTACK-PHP | PHP | Protege contra ataques de injeção de PHP |
| APPLICATION-ATTACK-XSS | XSS | Protege contra ataques de scripts entre sites |
| APPLICATION-ATTACK-SQLI | SQLI | Protege contra ataques de injeção de SQL |
| APPLICATION-ATTACK-SESSION-FIXATION | FIX | Protege contra ataques de fixação de sessão |
| APPLICATION-ATTACK-SESSION-JAVA | JAVA | Protege contra ataques JAVA |
| MS-ThreatIntel-WebShells | MS-ThreatIntel-WebShells | Protege contra ataques de web shell |
| MS-ThreatIntel-CVEs | MS-ThreatIntel-CVEs | Protege contra ataques CVE |
Bot Manager 1.0
O conjunto de regras do Bot Manager 1.0 fornece proteção contra bots mal-intencionados e detecção de bots bem-intencionados. As regras fornecem controle granular sobre bots detectados pelo WAF, categorizando o tráfego de bots como bots Bem-intencionados, Mal-intencionados ou Desconhecidos.
| Grupo de regras | Descrição |
|---|---|
| BadBots | Protege contra bots inválidos |
| GoodBots | Identifica bots válidos |
| UnknownBots | Identifica bots desconhecidos |
Bot Manager 1.1
O conjunto de regras do Bot Manager 1.1 é um aprimoramento do conjunto de regras do Bot Manager 1.0. Ele fornece proteção aprimorada contra bots mal-intencionados e aumenta a detecção de bots bem-intencionados.
| Grupo de regras | Descrição |
|---|---|
| BadBots | Protege contra bots inválidos |
| GoodBots | Identifica bots válidos |
| UnknownBots | Identifica bots desconhecidos |
As regras e os grupos de regras a seguir estão disponíveis ao usar o Firewall de Aplicativo Web do Azure no Azure Front Door.
Conjuntos de regras da versão 2.1
Geral
| RuleId | Descrição |
|---|---|
| 200002 | Falha ao analisar o corpo da solicitação |
| 200003 | Falha na validação estrita do corpo da solicitação de várias partes |
Imposição do método
| RuleId | Descrição |
|---|---|
| 911100 | O método não é permitido pela política |
Imposição de protocolo
| RuleId | Descrição |
|---|---|
| 920100 | Linha de solicitação de HTTP inválida. |
| 920120 | Tentativa de bypass de dados de várias/formulário. |
| 920121 | Tentativa de bypass de dados de várias/formulário. |
| 920160 | O cabeçalho HTTP Content-Length não é numérico. |
| 920170 | Solicitação GET ou HEAD com conteúdo no corpo. |
| 920171 | Solicitação GET ou HEAD com codificação de transferência. |
| 920180 | Solicitação POST com cabeçalho Content-Length ausente. |
| 920181 | Os cabeçalhos Content-Length e Transfer-Encoding estão presentes 99001003. |
| 920190 | Intervalo: último valor de byte inválido. |
| 920200 | Intervalo: excesso de campos (6 ou mais). |
| 920201 | Intervalo: excesso de campos para a solicitação de pdf (35 ou mais). |
| 920210 | Dados de cabeçalho de conexão em grande número ou conflitantes. |
| 920220 | Tentativa de ataque de abuso de codificação de URL. |
| 920230 | Várias codificações de URL detectadas. |
| 920240 | Tentativa de ataque de abuso de codificação de URL. |
| 920260 | Tentativa de ataque de abuso de largura total/meia largura em Unicode. |
| 920270 | Caractere inválido na solicitação (caractere nulo). |
| 920271 | Caractere inválido na solicitação (caracteres não imprimíveis). |
| 920280 | Solicitação com cabeçalho de host ausente. |
| 920290 | Cabeçalho de host vazio. |
| 920300 | Solicitação com cabeçalho de aceitação ausente. |
| 920310 | A solicitação tem uma cabeçalho de aceitação vazio. |
| 920311 | A solicitação tem uma cabeçalho de aceitação vazio. |
| 920320 | Cabeçalho do agente de usuário ausente. |
| 920330 | Cabeçalho do usuário de agente vazio. |
| 920340 | A solicitação tem conteúdo, mas o cabeçalho Content-Type está ausente. |
| 920341 | A solicitação com conteúdo exige o cabeçalho Content-Type. |
| 920350 | O cabeçalho de host é um endereço IP numérico. |
| 920420 | O tipo de conteúdo da solicitação não é permitido pela política. |
| 920430 | A versão do protocolo HTTP não é permitida pela política. |
| 920440 | A extensão de arquivo da URL é restrita pela política. |
| 920450 | O cabeçalho HTTP é restrito pela política. |
| 920470 | Cabeçalho Content-Type ilegal. |
| 920480 | O conjunto de caracteres do tipo de conteúdo da solicitação não é permitido pela política. |
| 920500 | Tentativa de acessar um arquivo de backup ou de trabalho. |
Ataque de protocolo
| RuleId | Descrição |
|---|---|
| 921110 | Ataque de solicitação HTTP indesejada |
| 921120 | Ataque de divisão de resposta HTTP |
| 921130 | Ataque de divisão de resposta HTTP |
| 921140 | Ataque de injeção de cabeçalho HTTP por meio de cabeçalhos |
| 921150 | Ataque de injeção de cabeçalho HTTP por meio de conteúdo (CR/LF detectado) |
| 921151 | Ataque de injeção de cabeçalho HTTP por meio de conteúdo (CR/LF detectado) |
| 921160 | Ataque de injeção de cabeçalho HTTP por meio de conteúdo (CR/LF e header-name detectado) |
| 921190 | Divisão de HTTP (CR/LF no nome do arquivo de solicitação detectado) |
| 921200 | Ataques de injeção de LDAP |
LFI: inclusão de arquivo local
| RuleId | Descrição |
|---|---|
| 930100 | Ataques de percurso de caminho (/../) |
| 930110 | Ataques de percurso de caminho (/../) |
| 930120 | Tentativa de acesso ao arquivo do sistema operacional |
| 930130 | Tentativa de acesso a arquivo restrito |
RFI: inclusão de arquivo remoto
| RuleId | Descrição |
|---|---|
| 931100 | Possível ataque de RFI (inclusão de arquivo remoto): parâmetro de URL usando o endereço IP |
| 931110 | Possível ataque de RFI (inclusão de arquivo remoto): nome de parâmetro vulnerável de RFI comum usado com carga de URL |
| 931120 | Possível ataque de RFI (inclusão de arquivo remoto): carga de URL usada com o caractere de ponto de interrogação à direita (?) |
| 931130 | Possível ataque de remoção de arquivo (RFI): link/referência fora do domínio |
RCE: execução de comando remoto
| RuleId | Descrição |
|---|---|
| 932100 | Execução de comando remoto: injeção de comando Unix |
| 932105 | Execução de comando remoto: injeção de comando Unix |
| 932110 | Execução de comando remoto: injeção de comando Windows |
| 932115 | Execução de comando remoto: injeção de comando Windows |
| 932120 | Execução remota de comando: comando do Windows PowerShell encontrado |
| 932130 | Execução de comando remoto: vulnerabilidade de confluência ou expressão do Unix Shell (CVE-2022-26134) encontrada |
| 932140 | Execução remota de comando: comando Windows FOR/IF encontrado |
| 932150 | Execução de comando remoto: execução direta de comando Unix |
| 932160 | Execução remota de comando: código shell do Unix encontrado |
| 932170 | Execução remota de comando: shellshock (CVE-2014-6271) |
| 932171 | Execução remota de comando: shellshock (CVE-2014-6271) |
| 932180 | Tentativa de carregamento de arquivo restrito |
Ataques de PHP
| RuleId | Descrição |
|---|---|
| 933100 | Ataque de injeção de PHP: marca de abertura/fechamento encontrada |
| 933110 | Ataque de injeção de PHP: carregamento de arquivo de script PHP encontrado |
| 933120 | Ataque de injeção de PHP: diretiva de configuração encontrada |
| 933130 | Ataque de injeção de PHP: variáveis encontradas |
| 933140 | Ataque de injeção de PHP: fluxo de E/S encontrado |
| 933150 | Ataque de injeção de PHP: nome da função PHP de alto risco encontrado |
| 933151 | Ataque de injeção de PHP: nome de função PHP de médio risco encontrado |
| 933160 | Ataque de injeção de PHP: chamada de função PHP de alto risco encontrada |
| 933170 | Ataque de injeção de PHP: injeção de objeto serializado |
| 933180 | Ataque de injeção de PHP: chamada de função de variável encontrada |
| 933200 | Ataque de injeção de PHP: esquema de wrapper detectado |
| 933210 | Ataque de injeção de PHP: chamada de função de variável encontrada |
Ataques de Node JS
| RuleId | Descrição |
|---|---|
| 934100 | Ataque de injeção Node.js |
XSS: cross-site scripting
| RuleId | Descrição |
|---|---|
| 941100 | Ataque de XSS detectado via libinjection |
| 941101 | Ataque de XSS detectado via libinjection A regra detecta solicitações com um cabeçalho Referer |
| 941110 | Filtro XSS – Categoria 1: vetor de marca de script |
| 941120 | Filtro XSS – Categoria 2: vetor de manipulador de eventos |
| 941130 | Filtro XSS – Categoria 3: vetor de atributo |
| 941140 | Filtro XSS – Categoria 4: vetor de URI de JavaScript |
| 941150 | Filtro XSS – Categoria 5: atributos HTML não permitidos |
| 941160 | NoScript XSS InjectionChecker: injeção de HTML |
| 941170 | NoScript XSS InjectionChecker: injeção de atributo |
| 941180 | Palavras-chave da lista de bloqueios do validador de nós |
| 941190 | XSS usando folhas de estilos |
| 941200 | XSS usando quadros VML |
| 941210 | XSS usando JavaScript ofuscado |
| 941220 | XSS usando script de VB ofuscado |
| 941230 | XSS usando a marca embed |
| 941240 | XSS usando o atributo import ou implementation |
| 941250 | Filtros XSS do IE - ataque detectado |
| 941260 | XSS usando a marca meta |
| 941270 | XSS usando o href link |
| 941280 | XSS usando a marca base |
| 941290 | XSS usando a marca applet |
| 941300 | XSS usando a marca object |
| 941310 | Filtro XSS com codificação malformada US-ASCII – Ataque detectado |
| 941320 | Possível ataque XSS detectado - manipulador de marcação HTML |
| 941330 | Filtros XSS do IE - ataque detectado |
| 941340 | Filtros XSS do IE - ataque detectado |
| 941350 | XSS do IE com codificação UTF-7 – Ataque detectado |
| 941360 | Ofuscação de JavaScript detectada |
| 941370 | Variável global de JavaScript encontrada |
| 941380 | Injeção de modelo detectada no lado do cliente do AngularJS |
SQLI: injeção de SQL
| RuleId | Descrição |
|---|---|
| 942100 | Ataque de injeção de SQL detectado via libinjection. |
| 942110 | Ataque de injeção de SQL: teste de injeção comum detectado. |
| 942120 | Ataque de injeção de SQL: operador SQL detectado. |
| 942140 | Ataque de injeção de SQL: nomes comuns de banco de dados detectados. |
| 942150 | Ataques de injeção de SQL. |
| 942160 | Detecta testes cegos de SQLI usando sleep() ou benchmark(). |
| 942170 | Detecta tentativas de injeção de sleep e benchmark de SQL, incluindo consultas condicionais. |
| 942180 | Detecta tentativas básicas de bypass de autenticação SQL 1/3. |
| 942190 | Detecta tentativas de execução de código MSSQL e coleta de informações. |
| 942200 | Detecta injeções de comment-/space-obfuscated e terminação por acento grave do MySQL. |
| 942210 | Detecta tentativas encadeadas de injeção de SQL 1.2. |
| 942220 | Procurando ataques de estouro de inteiros; esses são retirados do skipfish, exceto 3.0.00738585072007e-308, que é a falha de “número mágico”. |
| 942230 | Detecta tentativas condicionais de injeção de SQL. |
| 942240 | Detecta a troca de conjunto de caracteres MySQL e tentativas de DoS MSSQL. |
| 942250 | Detecta injeções de MATCH AGAINST, MERGE e EXECUTE IMMEDIATE. |
| 942260 | Detecta tentativas básicas de bypass de autenticação SQL 2/3. |
| 942270 | Procurando injeção de SQL básica. Cadeia de ataque comum para MySQL, Oracle e outros. |
| 942280 | Detecta injeção de pg_sleep no Postgres, ataques a wait for delay e tentativas de desligamento do banco de dados. |
| 942290 | Encontra tentativas básicas de injeção de SQL no MongoDB. |
| 942300 | Detecta comentários, condições e injeções ch(a)r do MySQL. |
| 942310 | Detecta tentativas encadeadas de injeção de SQL 2/2. |
| 942320 | Detecta injeções de função/procedimento armazenado no MySQL e no PostgreSQL. |
| 942330 | Detecta investigações clássicas de injeção de SQL 1/2. |
| 942340 | Detecta tentativas básicas de bypass de autenticação SQL 3/3. |
| 942350 | Detecta injeção de UDF do MySQL e outras tentativas de manipulação de dados/estrutura. |
| 942360 | Detecta injeções de SQL básicas concatenadas e tentativas de SQLLFI. |
| 942361 | Detecta a injeção de SQL básica com base na alteração ou união de palavra-chave. |
| 942370 | Detecta investigações clássicas de injeção de SQL 2/2. |
| 942380 | Ataques de injeção de SQL. |
| 942390 | Ataques de injeção de SQL. |
| 942400 | Ataques de injeção de SQL. |
| 942410 | Ataques de injeção de SQL. |
| 942430 | Detecção restrita de anomalias de caracteres SQL (args): número de caracteres especiais excedido (12). |
| 942440 | Sequência de comentário SQL detectada. |
| 942450 | Codificação hexadecimal de SQL identificada. |
| 942460 | Alerta de detecção de anomalias de metacaracteres – Caracteres repetitivos que não são palavras. |
| 942470 | Ataques de injeção de SQL. |
| 942480 | Ataques de injeção de SQL. |
| 942500 | Comentário embutido do MySQL detectado. |
| 942510 | Tentativa de bypass de SQLi por ticks ou backticks detectada. |
Correção de sessão
| RuleId | Descrição |
|---|---|
| 943100 | Possível ataque de fixação de sessão: definindo valores de cookie em HTML |
| 943110 | Possível ataque de fixação de sessão: nome do parâmetro de SessionID com referenciador fora do domínio |
| 943120 | Possível ataque de fixação de sessão: nome do parâmetro de SessionID sem referenciador |
Ataques de Java
| RuleId | Descrição |
|---|---|
| 944100 | Execução remota de comando: Apache Struts, Oracle WebLogic |
| 944110 | Detecta a execução de carga potencial |
| 944120 | Possível execução de carga e execução remota de comando |
| 944130 | Classes Java suspeitas |
| 944200 | Exploração do Apache Commons de desserialização do Java |
| 944210 | Possível uso da serialização Java |
| 944240 | Execução de comando remoto: serialização de Java e vulnerabilidade Log4j (CVE-2021-44228, CVE-2021-45046) |
| 944250 | Execução remota de comando: método Java suspeito detectado |
MS-ThreatIntel-WebShells
| RuleId | Descrição |
|---|---|
| 99005002 | Tentativa de interação de web shell (POST) |
| 99005003 | Web Shell Upload Attempt (POST) - CHOPPER PHP |
| 99005004 | Tentativa de upload de web shell (POST) - CHOPPER ASPX |
| 99005005 | Tentativa de interação de web shell |
| 99005006 | Tentativa de interação do Spring4Shell |
MS-ThreatIntel-AppSec
| RuleId | Descrição |
|---|---|
| 99030001 | Evasão de percurso de caminho em cabeçalhos (/.././../) |
| 99030002 | Evasão de percurso de caminho no corpo da solicitação (/.././../) |
MS-ThreatIntel-SQLI
| RuleId | Descrição |
|---|---|
| 99031001 | Ataque de injeção de SQL: teste de injeção comum detectado |
| 99031002 | Sequência de comentários SQL detectada |
| 99031003 | Ataque de injeção de SQL |
| 99031004 | Detecta tentativas básicas de bypass de autenticação SQL 2/3 |
MS-ThreatIntel-CVEs
| RuleId | Descrição |
|---|---|
| 99001001 | Tentativa de exploração da API REST de F5 tmui (CVE-2020-5902) com credenciais conhecidas |
| 99001002 | Tentativa de passagem de diretório do Citrix NSC_USER CVE-2019-19781 |
| 99001003 | Tentativa de exploração do Conector de Widget do Atlassian Confluence CVE-2019-3396 |
| 99001004 | Tentativa de exploração de modelo personalizado do Pulse Secure CVE-2020-8243 |
| 99001005 | Tentativa de exploração do conversor de tipo do SharePoint CVE-2020-0932 |
| 99001006 | Tentativa de passagem de diretório do Pulse Connect CVE-2019-11510 |
| 99001007 | Tentativa de inclusão do arquivo local do Junos OS J-Web CVE-2020-1631 |
| 99001008 | Tentativa de passagem de caminho do Fortinet CVE-2018-13379 |
| 99001009 | Tentativa de injeção de ognl do Apache Struts CVE-2017-5638 |
| 99001010 | Tentativa de injeção de ognl do Apache Struts CVE-2017-12611 |
| 99001011 | Tentativa de passagem de caminho do Oracle WebLogic CVE-2020-14882 |
| 99001012 | Tentativa de exploração de desserialização não segura da WebUI do Telerik CVE-2019-18935 |
| 99001013 | Tentativa de desserialização de XML não segura do SharePoint CVE-2019-0604 |
| 99001014 | Tentativa de injeção de expressão de roteamento do Spring Cloud CVE-2022-22963 |
| 99001015 | Tentativa de exploração de objeto de classe não segura do Spring Framework CVE-2022-22965 |
| 99001016 | Tentativa de injeção do Actuator do Spring Cloud Gateway CVE-2022-22947 |
| 99001017 | Tentativa de exploração de upload do arquivo do Apache Struts CVE-2023-50164 |
Observação
Ao revisar os logs do WAF, você poderá ver a ID da regra 949110. A descrição da regra pode incluir a Pontuação de Anomalias de Entrada Excedida.
Essa regra indica que a pontuação total de anomalias para a solicitação excedeu a máxima permitida. Para obter mais informações, confira Pontuação de anomalias.
Ao ajustar as políticas do WAF, você precisa investigar as outras regras que foram disparadas pela solicitação para que seja possível ajustar a configuração do WAF. Para obter mais informações, confira Ajuste do Firewall de Aplicativo Web do Azure para o Azure Front Door.