Azure Front Door 上の Azure Web Application Firewall は、Web アプリケーションを一般的な脆弱性や悪用から保護します。 Azure で管理される規則セットでは、一般的なセキュリティ脅威のセットに対する保護をデプロイする簡単な方法が提供されます。 Azure がこれらのルール セットを管理するので、ルールは、新しい攻撃シグネチャから保護するために必要に応じて更新されます。
また、既定のルール セット (DRS) には、Microsoft 脅威インテリジェンスの収集規則が含まれます。これは、Microsoft インテリジェンス チームと協力して作成されており、カバレッジの向上、特定の脆弱性に対するパッチ、擬陽性削減の向上を実現するものです。
既定の規則セット
Azure のマネージド DRS には、次の脅威カテゴリに対するルールが含まれます:
- クロスサイト スクリプティング
- Java 攻撃
- ローカル ファイル インクルージョン
- PHP インジェクション攻撃
- リモート コマンド実行
- リモート ファイル インクルージョン
- セッション固定
- SQL インジェクションからの保護
- プロトコル攻撃者
DRS のバージョン番号は、新しい攻撃シグネチャが規則セットに追加されると増分されます。
WAF ポリシーの検出モードでは、DRS が既定で有効になります。 ご自分のアプリケーション要件に合わせて、DRS 内のルールを個別に有効または無効にすることができます。 また、規則ごとに特定のアクションを設定することもできます。 使用できるアクションは許可、ブロック、ログ、リダイレクトです。
場合によっては、Web アプリケーション ファイアウォール (WAF) の評価から特定の要求属性を省略する必要があります。 一般的な例として、認証に使用される、Active Directory で挿入されたトークンが挙げられます。 管理下にあるルールやルール グループに対する除外リスト、またはルール セット全体に対する除外リストを構成することができます。 詳細については、「Azure Front Door の Azure Web Application Firewall」をご覧ください。
既定では、DRS バージョン 2.0 以降では、要求がルールと一致するときに異常スコアリングが使用されます。 2.0 より前の DRS バージョンでは、ルールをトリガーする要求がブロックされます。 また、DRS 内の事前構成済みのルールのいずれかをバイパスしたい場合は、同じ WAF ポリシーでカスタム ルールを構成できます。
カスタム ルールは常に、DRS 内のルールが評価される前に適用されます。 要求がカスタム規則に一致した場合、対応する規則のアクションが適用されます。 要求はブロックされるか、バックエンドに渡されます。 他のカスタム ルールや DRS 内のルールは処理されません。 DRS を WAF ポリシーから削除することもできます。
Microsoft 脅威インテリジェンスの収集規則
Microsoft 脅威インテリジェンスの収集規則は、Microsoft 脅威インテリジェンス チームと協力して作成されており、カバレッジの向上、特定の脆弱性に対するパッチ、擬陽性削減の向上が実現されます。
既定では、組み込みの DRS ルールの一部が Microsoft Threat Intelligence Collection ルールによって置き換えられ、無効になります。 たとえば、ルール ID 942440、「SQL コメント シーケンスが検出されました。」は無効になっており、Microsoft Threat Intelligence Collection ルール 99031002 に置き換えられました。 置き換えられたルールにより、正当な要求の誤検知のリスクが軽減されます。
異常スコアリング
DRS 2.0 以降を使う場合、WAF には "異常スコアリング" が使われます。 WAF が防止モードであっても、いずれかの規則に一致するトラフィックはすぐにはブロックされません。 その代わり、OWASP 規則セットには、各規則に対して "重大"、"エラー"、"警告"、"注意" のいずれかの重大度が定義されています。 その重大度は、"異常スコア" という要求の数値に影響します。 要求に 5 以上の異常スコアが蓄積された場合、WAF は要求に対してアクションを実行します。
| ルールの重大度 |
異常スコアに寄与する値 |
| 危うい |
5 |
| エラー |
4 |
| 警告 |
3 |
| 注意事項 |
2 |
WAF を構成するときに、異常スコアのしきい値 5 を超える要求を WAF で処理する方法を決定できます。 3 つの異常スコア アクション オプションは、ブロック、ログ、またはリダイレクトです。 構成時に選択した異常スコア アクションは、異常スコアのしきい値を超えるすべての要求に適用されます。
たとえば、要求の異常スコアが 5 以上で、WAF が防止モードで、異常スコア アクションがブロックに設定されている場合、要求はブロックされます。 要求の異常スコアが 5 以上で、WAF が検出モードになっている場合、要求はログに記録されますが、ブロックされません。
防止モードで、異常スコア アクションがブロックに設定されている場合、1 つの 重大ルールが一致しただけでも、全体の異常スコアは 5 になるので、WAF によって要求はブロックされます。 一方、1 つの "警告" 規則が一致した場合、異常スコアの増加は 3 のみです。これだけではトラフィックはブロックされません。 異常ルールがトリガーされると、ログには "Matched" アクションが示されます。 異常スコアが 5 以上の場合、ルール セットに設定された異常スコア アクションでトリガーされる別のルールがあります。 既定の異常スコア アクションは "ブロック" で、その結果、アクション blocked を含むログ エントリが作成されます。
WAF が (DRS 2.0 より前の) 旧バージョンの既定のルールセットを使っている場合、WAF は従来のモードで実行されます。 いずれかの規則に一致するトラフィックが、他の規則の一致とは無関係に考慮されます。 従来のモードでは、特定の要求が一致した規則の完全なセットを確認できません。
使う DRS バージョンによって、要求本文の検査でサポートされるコンテンツ タイプも決まります。 詳細については、FAQ で WAF でサポートされるコンテンツ タイプ を参照してください。
パラノイア レベル
各ルールは、特定のパラノイア レベル (PL) で割り当てられます。 パラノイア レベル 1 (PL1) で構成されたルールは攻撃的でなく、誤検知を引き起こすことはほとんどありません。 これらは、微調整の必要性を最小限に抑えてベースライン セキュリティを提供します。 PL2 のルールは、より多くの攻撃を検出しますが、誤検知をトリガーすることが予想されます。これは微調整する必要があります。
既定では、DRS 2.2 は Paranoia レベル 1 (PL1) で構成され、すべての PL2 ルールは無効になっています。 PL2 で WAF を実行するには、任意またはすべての PL2 規則を手動で有効にします。
以前の規則セットでは、DRS 2.1 と CRS 3.2 には、PL1 と PL2 の両方の規則をカバーする Paranoia レベル 2 に定義された規則が含まれています。 PL1 で厳密に操作する場合は、特定の PL2 ルールを無効にするか、アクションをログに設定します。
Paranoia レベル 3 と 4 は、Azure WAF では現在サポートされていません。
ルールセットのバージョンのアップグレードまたは変更
新しいルールセットバージョンをアップグレードまたは割り当て、既存のルールのオーバーライドと除外を保持する場合は、PowerShell、CLI、REST API、またはテンプレートを使用してルールセットのバージョンを変更することをお勧めします。 新しいバージョンのルールセットには、新しいルール、追加のルール グループを含めることができます。また、セキュリティを強化し、誤検知を減らすために既存の署名を更新することもできます。 テスト環境での変更を検証し、必要に応じて微調整してから、運用環境にデプロイすることをお勧めします。
注
Azure portal を使用して新しいマネージド ルールセットを WAF ポリシーに割り当てる場合、ルールの状態、ルール アクション、ルール レベルの除外など、既存のマネージド ルールセットの以前のカスタマイズはすべて、新しいマネージド ルールセットの既定値にリセットされます。 ただし、カスタム ルールやポリシー設定は、新しいルールセットの割り当て中に影響を受けないまま維持されます。 運用環境にデプロイする前に、ルールのオーバーライドを再定義し、変更を検証する必要があります。
DRS 2.2
DRS 2.2 ルールは、以前のバージョンの DRS よりも優れた保護を提供します。 これには、Microsoft 脅威インテリジェンス チームによって開発されたルールと、誤検知を減らすための署名の更新が含まれます。 また、URL デコード以外の変換もサポートしています。
DRS 2.2 には、次の表に示すように、18 個のルール グループが含まれています。 各グループには複数のルールが含まれており、個々のルール、ルール グループ、またはルール セット全体の動作をカスタマイズできます。 DRS 2.2 は、Open Web Application Security Project (OWASP) Core Rule Set (CRS) 3.3.4 からベースライン化されており、Microsoft Threat Intelligence チームによって開発された追加の独自の保護規則が含まれています。
無効化された規則
Paranoia レベル 2 で構成された DRS 2.2 ルールは、既定で無効になっています。 Paranoia レベル 1 で WAF ポリシーを構成したままにする場合は、それらの状態を無効のままにすることができます。 ポリシーのパラノイア レベルを上げたい場合は、これらのルールの状態を有効に変更し、アクションをログ モードに安全に変更できます。 ログを分析し、必要な微調整を行い、それに応じてルールを有効にします。 詳細については、「Azure Front Door と Paranoia レベルの Web アプリケーション ファイアウォール (WAF) のチューニング」を参照してください。
一部の OWASP ルールは、Microsoft が作成した置換によって置き換えられます。 元のルールは既定で無効になっており、説明の末尾は "(...) に置き換えられます。
DRS 2.1
DRS 2.1 の規則は、以前のバージョンの DRS よりも優れた保護を実現します。 これには、Microsoft 脅威インテリジェンス チームによって開発されたルールと、誤検知を減らすための署名の更新が含まれます。 また、URL デコード以外の変換もサポートしています。
次の表に示すように、DRS 2.1 には 17 個の規則グループが含まれています。 各グループには複数のルールが含まれており、個々のルール、ルール グループ、またはルール セット全体の動作をカスタマイズできます。 DRS 2.1 は、Open Web Application Security Project (OWASP) のコア ルール セット (CRS) 3.3.2 からベースライン化されており、Microsoft 脅威インテリジェンス チームによって開発された追加の独自の保護ルールが含まれています。
詳細については、「Azure Front Door 用に Web Application Firewall (WAF) を調整する」を参照してください。
注
DRS 2.1 は、Azure Front Door Premium でのみ利用できます。
無効化された規則
DRS 2.1 では、次の規則が既定で無効になっています。
| ルールの ID |
規則グループ |
説明 |
詳細 |
| 942110 |
SQLI |
SQL インジェクション攻撃: 一般的なインジェクション テストが検出されました |
MSTIC 規則 99031001 に置き換えられました |
| 942150 |
SQLI |
SQL インジェクション攻撃 |
MSTIC 規則 99031003 に置き換えられました |
| 942260 |
SQLI |
基本的な SQL 認証のバイパスの試行 2/3 を検出します |
MSTIC 規則 99031004 に置き換えられました |
| 942430 |
SQLI |
制限された SQL 文字の異常検出 (引数): 特殊文字数が超過しました (12) |
誤検出が多すぎる。 |
| 942440 |
SQLI |
SQL コメント シーケンスが検出されました |
MSTIC 規則 99031002 に置き換えられました |
| 99005006 |
MS-ThreatIntel-WebShells |
Spring4Shell 相互作用の試行 |
SpringShell の脆弱性を防ぐルールを有効にします |
| 99001014 |
MS-ThreatIntel-CVEs |
Spring Cloud ルーティング式インジェクション CVE-2022-22963 が試みられました |
SpringShell の脆弱性を防ぐルールを有効にします |
| 99001015 |
MS-ThreatIntel-WebShells |
Spring Framework の安全でないクラス オブジェクトの悪用 CVE-2022-22965 が試みられました |
SpringShell の脆弱性を防ぐルールを有効にします |
| 99001016 |
MS-ThreatIntel-WebShells |
Spring Cloud Gateway Actuator インジェクション CVE-2022-22947 が試みられました |
SpringShell の脆弱性を防ぐルールを有効にします |
| 99001017 |
MS-ThreatIntel-CVEs |
Apache Struts ファイル アップロードの悪用が試みられました CVE-2023-50164 |
Apache のストラットの脆弱性を防ぐルールを有効にする |
DRS 2.0
DRS 2.0 の規則は、以前のバージョンの DRS よりも優れた保護を実現します。 DRS 2.0 では、URL デコード以外の変換もサポートしています。
次の表に示すように、DRS 2.0 には 17 個の規則グループが含まれています。 各グループには、複数のルールが含まれています。 個々のルールとルール グループ全体を無効にすることができます。
注
DRS 2.0 は、Azure Front Door Premium でのみ利用できます。
DRS 1.1
DRS 1.0
Bot Manager 1.0
Bot Manager 1.0 ルール セットでは、悪意のあるボットに対する保護を行い、良いボットを検出します。 これらのルールを利用して、ボット トラフィックを Good (良い)、Bad (悪い)、Unknown (不明) のボットとして分類して、WAF によって検出されたボットをきめ細かく制御できます。
Bot Manager 1.1
Bot Manager 1.1 ルール セットは、Bot Manager 1.0 ルール セットを改良したものです。 悪意のあるボットに対する保護が強化され、良いボットの検出が向上しています。
次のルール グループとルールは、Azure Front Door で Web Application Firewall を使用するときに利用できます。
2.2 ルールセット
全般
| ルールの ID |
異常スコアの重大度 |
パラノイア レベル |
説明 |
| 200002 |
重大 - 5 |
1 |
要求本文を解析できませんでした。 |
| 200003 |
重大 - 5 |
1 |
マルチパートの要求本文が厳密な検証に失敗しました。 |
メソッドの適用
| ルールの ID |
異常スコアの重大度 |
パラノイア レベル |
説明 |
| 911100 |
重大 - 5 |
1 |
メソッドがポリシーによって許可されていません |
プロトコル強制
| ルールの ID |
異常スコアの重大度 |
パラノイア レベル |
説明 |
| 920100 |
通知 - 2 |
1 |
無効な HTTP 要求行 |
| 920120 |
重大 - 5 |
1 |
マルチパート/フォームデータのバイパスを試行しました |
| 920121 |
重大 - 5 |
2 |
マルチパート/フォームデータのバイパスを試行しました |
| 920160 |
重大 - 5 |
1 |
Content-Length HTTP ヘッダーは数値ではありません。 |
| 920170 |
重大 - 5 |
1 |
本文コンテンツがある GET または HEAD 要求。 |
| 920171 |
重大 - 5 |
1 |
転送エンコードを使用した GET または HEAD 要求。 |
| 920180 |
通知 - 2 |
1 |
Content-Length または Transfer-Encoding ヘッダーのない POST。 |
| 920181 |
警告 - 3 |
1 |
Content-Length ヘッダーと Transfer-Encoding ヘッダーが存在する |
| 920190 |
警告 - 3 |
1 |
範囲: 最後のバイト値が無効です。 |
| 920200 |
警告 - 3 |
2 |
範囲: フィールドが多すぎます (6 以上) |
| 920201 |
警告 - 3 |
2 |
範囲: pdf 要求のフィールドが多すぎます (63 以上) |
| 920210 |
警告 - 3 |
1 |
複数/競合している接続ヘッダー データが見つかりました。 |
| 920220 |
警告 - 3 |
1 |
URL エンコード悪用攻撃の試行 |
| 920230 |
警告 - 3 |
2 |
複数の URL エンコードが検出されました |
| 920240 |
警告 - 3 |
1 |
URL エンコード悪用攻撃の試行 |
| 920260 |
警告 - 3 |
1 |
Unicode 全/半角悪用攻撃の試行 |
| 920270 |
重大 - 5 |
1 |
要求に無効な文字が含まれています (null 文字) |
| 920271 |
重大 - 5 |
2 |
要求に無効な文字が含まれています (印字できない文字) |
| 920280 |
警告 - 3 |
1 |
要求にホスト ヘッダーがありません |
| 920290 |
警告 - 3 |
1 |
ホスト ヘッダーが空です |
| 920300 |
通知 - 2 |
2 |
要求に Accept ヘッダーがありません |
| 920310 |
通知 - 2 |
1 |
要求に空の Accept ヘッダーがあります |
| 920311 |
通知 - 2 |
1 |
要求に空の Accept ヘッダーがあります |
| 920320 |
通知 - 2 |
2 |
User Agent ヘッダーがありません |
| 920330 |
通知 - 2 |
1 |
User Agent ヘッダーが空です |
| 920340 |
通知 - 2 |
1 |
要求にコンテンツは含まれていますが、Content-Type ヘッダーがありません |
| 920341 |
重大 - 5 |
2 |
コンテンツを含む要求には Content-Type ヘッダーが必要です |
| 920350 |
警告 - 3 |
1 |
ホスト ヘッダーが数値 IP アドレスです |
| 920420 |
重大 - 5 |
2 |
要求コンテンツ タイプはポリシーで許可されていません |
| 920430 |
重大 - 5 |
1 |
HTTP プロトコルのバージョンはポリシーで許可されていません |
| 920440 |
重大 - 5 |
1 |
URL ファイル拡張子がポリシーによって制限されています |
| 920450 |
重大 - 5 |
1 |
HTTP ヘッダーがポリシーによって制限されています |
| 920470 |
重大 - 5 |
1 |
無効な Content-Type ヘッダー |
| 920480 |
重大 - 5 |
1 |
要求コンテンツ タイプの文字セットはポリシーで許可されていません |
| 920500 |
重大 - 5 |
1 |
バックアップ ファイルまたは作業ファイルへのアクセスの試行 |
| 920530 |
重大 - 5 |
1 |
コンテンツ タイプ ヘッダー内の charset パラメーターを最大 1 回だけ実行するように制限する |
| 920620 |
重大 - 5 |
1 |
複数のコンテンツ タイプ要求ヘッダー |
プロトコル攻撃
| ルールの ID |
異常スコアの重大度 |
パラノイア レベル |
説明 |
| 921110 |
重大 - 5 |
1 |
HTTP 要求スマグリング攻撃 |
| 921120 |
重大 - 5 |
1 |
HTTP 応答分割攻撃 |
| 921130 |
重大 - 5 |
1 |
HTTP 応答分割攻撃 |
| 921140 |
重大 - 5 |
1 |
ヘッダーによる HTTP ヘッダー インジェクション攻撃 |
| 921150 |
重大 - 5 |
1 |
ペイロードによる HTTP ヘッダー インジェクション攻撃 (CR/LF 検出) |
| 921151 |
重大 - 5 |
2 |
ペイロードによる HTTP ヘッダー インジェクション攻撃 (CR/LF 検出) |
| 921160 |
重大 - 5 |
1 |
ペイロードによる HTTP ヘッダー インジェクション攻撃 (CR/LF および header-name 検出) |
| 921190 |
重大 - 5 |
1 |
HTTP 分割 (要求ファイル名に CR/LF が検出されました) |
| 921200 |
重大 - 5 |
1 |
LDAP インジェクション攻撃 |
| 921422 |
重大 - 5 |
2 |
実際のコンテンツ タイプ宣言の外部で Content-Type ヘッダー内のコンテンツ タイプを検出する |
LFI: ローカル ファイル インクルージョン
| ルールの ID |
異常スコアの重大度 |
パラノイア レベル |
説明 |
| 930100 |
重大 - 5 |
1 |
パス トラバーサル攻撃 (/../) |
| 930110 |
重大 - 5 |
1 |
パス トラバーサル攻撃 (/../) |
| 930120 |
重大 - 5 |
1 |
OS ファイル アクセスの試行 |
| 930130 |
重大 - 5 |
1 |
制限付きファイル アクセスの試行 |
RFI: リモート ファイル インクルージョン
| ルールの ID |
異常スコアの重大度 |
パラノイア レベル |
説明 |
| 931100 |
重大 - 5 |
2 |
リモート ファイル インクルード (RFI) 攻撃の可能性あり: IP アドレスを使用している URL パラメーター |
| 931110 |
重大 - 5 |
1 |
リモート ファイル インクルード (RFI) 攻撃の可能性あり: URL ペイロードと共に使用される一般的な RFI 脆弱性パラメーター名 |
| 931120 |
重大 - 5 |
1 |
リモート ファイル インクルード (RFI) 攻撃の可能性あり: 末尾の疑問符 (?) と共に使用される URL ペイロード |
| 931130 |
重大 - 5 |
2 |
可能性のあるリモート ファイル インクルード (RFI) 攻撃: ドメイン外参照/リンク |
RCE: リモート コマンド実行
| ルールの ID |
異常スコアの重大度 |
パラノイア レベル |
説明 |
| 932100 |
重大 - 5 |
1 |
リモート コマンド実行: UNIX コマンド インジェクション |
| 932105 |
重大 - 5 |
1 |
リモート コマンド実行: UNIX コマンド インジェクション |
| 932110 |
重大 - 5 |
1 |
リモート コマンド実行: Windows コマンド インジェクション |
| 932115 |
重大 - 5 |
1 |
リモート コマンド実行: Windows コマンド インジェクション |
| 932120 |
重大 - 5 |
1 |
リモート コマンド実行: Windows PowerShell コマンドが見つかりました |
| 932130 |
重大 - 5 |
1 |
リモート コマンド実行: Unix シェル式または Confluence の脆弱性 (CVE-2022-26134) が見つかりました |
| 932140 |
重大 - 5 |
1 |
リモート コマンド実行: Windows FOR/IF コマンドが見つかりました |
| 932150 |
重大 - 5 |
1 |
リモート コマンド実行: Unix コマンドの直接実行 |
| 932160 |
重大 - 5 |
1 |
リモート コマンド実行: Unix シェル コードが見つかりました |
| 932170 |
重大 - 5 |
1 |
リモート コマンド実行: Shellshock (CVE-2014-6271) |
| 932171 |
重大 - 5 |
1 |
リモート コマンド実行: Shellshock (CVE-2014-6271) |
| 932180 |
重大 - 5 |
1 |
制限付きファイル アップロードの試行 |
PHP 攻撃
| ルールの ID |
異常スコアの重大度 |
パラノイア レベル |
説明 |
| 933100 |
重大 - 5 |
1 |
PHP インジェクション攻撃: PHP の開始タグが見つかりました |
| 933110 |
重大 - 5 |
1 |
PHP インジェクション攻撃: PHP スクリプト ファイルのアップロードが見つかりました |
| 933120 |
重大 - 5 |
1 |
PHP インジェクション攻撃: 構成ディレクティブが見つかりました |
| 933130 |
重大 - 5 |
1 |
PHP インジェクション攻撃: 変数が見つかりました |
| 933140 |
重大 - 5 |
1 |
PHP インジェクション攻撃: I/O ストリームが見つかりました |
| 933150 |
重大 - 5 |
1 |
PHP インジェクション攻撃: 危険度の高い PHP 関数名が見つかりました |
| 933151 |
重大 - 5 |
2 |
PHP インジェクション攻撃: 危険度が中程度の PHP 関数名が見つかりました |
| 933160 |
重大 - 5 |
1 |
PHP インジェクション攻撃: 危険度の高い PHP 関数呼び出しが見つかりました |
| 933170 |
重大 - 5 |
1 |
PHP インジェクション攻撃: シリアル化されたオブジェクトの挿入 |
| 933180 |
重大 - 5 |
1 |
PHP インジェクション攻撃: 関数呼び出しが見つかりました |
| 933200 |
重大 - 5 |
1 |
PHP インジェクション攻撃: ラッパー スキームが検出されました |
| 933210 |
重大 - 5 |
1 |
PHP インジェクション攻撃: 関数呼び出しが見つかりました |
Node JS 攻撃
| ルールの ID |
異常スコアの重大度 |
パラノイア レベル |
説明 |
| 934100 |
重大 - 5 |
1 |
Node.js インジェクション攻撃 |
XSS: クロスサイト スクリプティング
| ルールの ID |
異常スコアの重大度 |
パラノイア レベル |
説明 |
| 941100 |
重大 - 5 |
1 |
libinjection を通じて XSS 攻撃が検出されました |
| 941101 |
重大 - 5 |
2 |
libinjection を通じて XSS 攻撃が検出されました |
| 941110 |
重大 - 5 |
1 |
XSS フィルター - カテゴリ 1: スクリプト タグ ベクター |
| 941120 |
重大 - 5 |
2 |
XSS フィルター - カテゴリ 2: イベント ハンドラー ベクター |
| 941130 |
重大 - 5 |
1 |
XSS フィルター - カテゴリ 3: 属性ベクター |
| 941140 |
重大 - 5 |
1 |
XSS フィルター - カテゴリ 4: Javascript URI ベクター |
| 941150 |
重大 - 5 |
2 |
XSS フィルター - カテゴリ 5: 許可されていない HTML 属性 |
| 941160 |
重大 - 5 |
1 |
NoScript XSS InjectionChecker: HTML インジェクション |
| 941170 |
重大 - 5 |
1 |
NoScript XSS InjectionChecker: 属性インジェクション |
| 941180 |
重大 - 5 |
1 |
ノード検証コントロールのブラックリスト キーワード |
| 941190 |
重大 - 5 |
1 |
IE XSS フィルター - 攻撃が検出されました。 |
| 941200 |
重大 - 5 |
1 |
IE XSS フィルター - 攻撃が検出されました。 |
| 941210 |
重大 - 5 |
1 |
IE XSS フィルター - 攻撃が検出されました。 |
| 941220 |
重大 - 5 |
1 |
IE XSS フィルター - 攻撃が検出されました。 |
| 941230 |
重大 - 5 |
1 |
IE XSS フィルター - 攻撃が検出されました。 |
| 941240 |
重大 - 5 |
1 |
IE XSS フィルター - 攻撃が検出されました。 |
| 941250 |
重大 - 5 |
1 |
IE XSS フィルター - 攻撃が検出されました。 |
| 941260 |
重大 - 5 |
1 |
IE XSS フィルター - 攻撃が検出されました。 |
| 941270 |
重大 - 5 |
1 |
IE XSS フィルター - 攻撃が検出されました。 |
| 941280 |
重大 - 5 |
1 |
IE XSS フィルター - 攻撃が検出されました。 |
| 941290 |
重大 - 5 |
1 |
IE XSS フィルター - 攻撃が検出されました。 |
| 941300 |
重大 - 5 |
1 |
IE XSS フィルター - 攻撃が検出されました。 |
| 941310 |
重大 - 5 |
1 |
US-ASCII 不正フォーマットのエンコード XSS フィルタ - 攻撃が検出されました。 |
| 941320 |
重大 - 5 |
2 |
可能性のある XSS 攻撃が検出されました - HTML タグ ハンドラー |
| 941330 |
重大 - 5 |
2 |
IE XSS フィルター - 攻撃が検出されました。 |
| 941340 |
重大 - 5 |
2 |
IE XSS フィルター - 攻撃が検出されました。 |
| 941350 |
重大 - 5 |
1 |
UTF-7 エンコード IE XSS - 攻撃が検出されました。 |
| 941360 |
重大 - 5 |
1 |
JSFuck / Hieroglyphy の難読化が検出されました |
| 941370 |
重大 - 5 |
1 |
JavaScript のグローバル変数が見つかりました |
| 941380 |
重大 - 5 |
2 |
AngularJS クライアント側テンプレート インジェクションが検出されました |
SQLI: SQL インジェクション
| ルールの ID |
異常スコアの重大度 |
パラノイア レベル |
説明 |
| 942100 |
重大 - 5 |
1 |
libinjection を通じて SQL インジェクション攻撃が検出されました |
| 942110 |
警告 - 3 |
2 |
SQL インジェクション攻撃: 一般的なインジェクション テストが検出されました |
| 942120 |
重大 - 5 |
2 |
SQL インジェクション攻撃: SQL 演算子が検出されました |
| 942140 |
重大 - 5 |
1 |
SQL インジェクション攻撃: 共通 DB 名が検出されました |
| 942150 |
重大 - 5 |
2 |
SQL インジェクション攻撃 (ルール #99031003 に置き換えられました) |
| 942160 |
重大 - 5 |
1 |
sleep() または benchmark() を使用して、ブラインド sqli テストを検出します。 |
| 942170 |
重大 - 5 |
1 |
条件付きクエリも含めて、SQL ベンチマークとスリープ インジェクション試行を検出します |
| 942180 |
重大 - 5 |
2 |
基本的な SQL 認証のバイパスの試行 1/3 を検出します |
| 942190 |
重大 - 5 |
1 |
MSSQL コード実行と情報収集の試行を検出します。 |
| 942200 |
重大 - 5 |
2 |
MySQL コメント/スペース難読化インジェクションとバッククォートの終了を検出します |
| 942210 |
重大 - 5 |
2 |
チェーンされた SQL インジェクション試行 1/2 を検出します |
| 942220 |
重大 - 5 |
1 |
整数オーバーフロー攻撃を探しています。これらは、skipfish から取得されます。ただし、3.0.00738585072007e-308 は "マジック番号" クラッシュであるため除きます |
| 942230 |
重大 - 5 |
1 |
条件付き SQL インジェクション試行を検出します |
| 942240 |
重大 - 5 |
1 |
MySQL 文字セット スイッチと MSSQL DoS 試行を検出します |
| 942250 |
重大 - 5 |
1 |
MATCH AGAINST、MERGE、EXECUTE IMMEDIATE インジェクションを検出します |
| 942260 |
重大 - 5 |
2 |
基本的な SQL 認証バイパス試行 2/3 を検出します (規則 #99031004 に置き換えられます) |
| 942270 |
重大 - 5 |
1 |
基本的な sql インジェクションを探しています。 mysql、oracle などの一般的な攻撃文字列。 |
| 942280 |
重大 - 5 |
1 |
Postgres pg_sleep インジェクション、waitfor delay 攻撃、データベース シャットダウン試行を検出します |
| 942290 |
重大 - 5 |
1 |
基本的な MongoDB SQL インジェクション試行を探します |
| 942300 |
重大 - 5 |
2 |
MySQL コメント、条件、および ch(a)r インジェクションを検出します。 |
| 942310 |
重大 - 5 |
2 |
チェーンされた SQL インジェクション試行 2/2 を検出します |
| 942320 |
重大 - 5 |
1 |
MySQL および PostgreSQL ストアド プロシージャ/関数インジェクションを検出します |
| 942330 |
重大 - 5 |
2 |
従来の SQL インジェクションプローブを検出します 1/3 |
| 942340 |
重大 - 5 |
2 |
基本的な SQL 認証バイパス試行 3/3 を検出します (規則 #99031006 に置き換えられます) |
| 942350 |
重大 - 5 |
1 |
MySQL UDF インジェクションと、その他のデータ/構造操作試行を検出します |
| 942360 |
重大 - 5 |
1 |
連結された基本的な SQL インジェクションと SQLLFI 試行を検出します |
| 942361 |
重大 - 5 |
2 |
キーワード alter または union に基づいて基本的な SQL インジェクションを検出します |
| 942370 |
重大 - 5 |
2 |
従来の SQL インジェクション プローブ 2/3 を検出します |
| 942380 |
重大 - 5 |
2 |
SQL インジェクション攻撃 |
| 942390 |
重大 - 5 |
2 |
SQL インジェクション攻撃 |
| 942400 |
重大 - 5 |
2 |
SQL インジェクション攻撃 |
| 942410 |
重大 - 5 |
2 |
SQL インジェクション攻撃 |
| 942430 |
警告 - 3 |
2 |
制限付き SQL 文字の異常検出 (args): 特殊文字の数が (12) を超えました (ルール #99031005 に置き換えられます) |
| 942440 |
重大 - 5 |
2 |
SQL コメント シーケンスが検出されました (ルール #99031002 に置き換えられました)。 |
| 942450 |
重大 - 5 |
2 |
SQL 16 進数エンコードが識別されました |
| 942470 |
重大 - 5 |
2 |
SQL インジェクション攻撃 |
| 942480 |
重大 - 5 |
2 |
SQL インジェクション攻撃 |
| 942500 |
重大 - 5 |
1 |
MySQL のインライン コメントが検出されました。 |
| 942510 |
重大 - 5 |
2 |
ティックまたはバックティックによる SQLi バイパス試行が検出されました。 |
セッション固定
| ルールの ID |
異常スコアの重大度 |
パラノイア レベル |
説明 |
| 943100 |
重大 - 5 |
1 |
可能性のあるセッション固定攻撃: HTML への Cookie 値の設定 |
| 943110 |
重大 - 5 |
1 |
可能性のあるセッション固定攻撃: SessionID パラメーター名とドメイン外参照元 |
| 943120 |
重大 - 5 |
1 |
可能性のあるセッション固定攻撃: 参照元のない SessionID パラメーター名 |
Java 攻撃
| ルールの ID |
異常スコアの重大度 |
パラノイア レベル |
説明 |
| 944100 |
重大 - 5 |
1 |
リモート コマンド実行: 疑わしい Java クラスが検出されました |
| 944110 |
重大 - 5 |
1 |
リモート コマンド実行: Java プロセスの生成 (CVE-2017-9805) |
| 944120 |
重大 - 5 |
1 |
リモート コマンド実行: Java シリアル化 (CVE-2015-5842) |
| 944130 |
重大 - 5 |
1 |
疑わしい Java クラスが検出されました |
| 944200 |
重大 - 5 |
2 |
マジック バイトが検出されました。使用されている可能性が高い Java シリアル化 |
| 944210 |
重大 - 5 |
2 |
マジックバイトが検出され、Javaシリアル化が使用されている可能性が高く、Base64でエンコードされています。 |
| 944240 |
重大 - 5 |
2 |
リモート コマンド実行: Java のシリアル化と Log4j の脆弱性 (CVE-2021-44228, CVE-2021-45046) |
| 944250 |
重大 - 5 |
2 |
リモート コマンド実行: 疑わしい Java メソッドが検出されました |
MS-ThreatIntel-WebShells
| ルールの ID |
異常スコアの重大度 |
パラノイア レベル |
説明 |
| 99005002 |
重大 - 5 |
2 |
Web シェル相互作用の試行 (POST) |
| 99005003 |
重大 - 5 |
2 |
Web シェル アップロードの試行 (POST) - CHOPPER PHP |
| 99005004 |
重大 - 5 |
2 |
Web シェル アップロードの試行 (POST) - CHOPPER ASPX |
| 99005005 |
重大 - 5 |
2 |
Web シェル相互作用の試行 |
| 99005006 |
重大 - 5 |
2 |
Spring4Shell 相互作用の試行 |
MS-ThreatIntel-AppSec
| ルールの ID |
異常スコアの重大度 |
パラノイア レベル |
説明 |
| 99030001 |
重大 - 5 |
2 |
ヘッダーでのパス トラバーサル回避 (/.././../) |
| 99030002 |
重大 - 5 |
2 |
要求本文でのパス トラバーサル回避 (/.././../) |
| 99030003 |
重大 - 5 |
2 |
URL でエンコードされたファイル パス |
| 99030004 |
重大 - 5 |
2 |
https referer を使用したサポート ブラウザーからの brotli エンコードの欠落 |
| 99030005 |
重大 - 5 |
2 |
HTTP/2 経由でブラウザーのサポートから brotli エンコードが見つからない |
| 99030006 |
重大 - 5 |
2 |
要求されたファイル名の無効な文字 |
MS-ThreatIntel-SQLI
| ルールの ID |
異常スコアの重大度 |
パラノイア レベル |
説明 |
| 99031001 |
警告 - 3 |
2 |
SQL インジェクション攻撃: 一般的なインジェクション テストが検出されました (ルール #942110 の置き換え) |
| 99031002 |
重大 - 5 |
2 |
SQL コメント シーケンスが検出されました (ルール #942440 の置き換え)。 |
| 99031003 |
重大 - 5 |
2 |
SQL インジェクション攻撃 (ルール #942150 の置き換え) |
| 99031004 |
重大 - 5 |
2 |
基本的な SQL 認証バイパス試行 2/3 を検出します (規則 #942260 の置き換え) |
| 99031005 |
警告 - 3 |
2 |
制限付き SQL 文字の異常検出 (引数): 特殊文字の数が (12) を超えました (置き換えルール #942430) |
| 99031006 |
重大 - 5 |
2 |
基本的な SQL 認証バイパス試行 3/3 を検出します (規則 #942340 の置き換え) |
MS-ThreatIntel-CVEs
| ルールの ID |
異常スコアの重大度 |
パラノイア レベル |
説明 |
| 99001001 |
重大 - 5 |
2 |
既知の資格情報で F5 tmui (CVE-2020-5902) REST API の悪用が試みられました |
| 99001002 |
重大 - 5 |
2 |
Citrix NSC_USER のディレクトリ トラバーサル CVE-2019-19781 が試行されました |
| 99001003 |
重大 - 5 |
2 |
Atlassian Confluence Widget Connector の悪用 CVE-2019-3396 が試みられました |
| 99001004 |
重大 - 5 |
2 |
Pulse Secure カスタム テンプレートの悪用 CVE-2020-8243 が試みられました |
| 99001005 |
重大 - 5 |
2 |
SharePoint 型コンバーターの悪用 CVE-2020-0932 が試みられました |
| 99001006 |
重大 - 5 |
2 |
Pulse Connect のディレクトリ トラバーサル CVE-2019-11510 が試行されました |
| 99001007 |
重大 - 5 |
2 |
Junos OS J-Web ローカル ファイル インクルージョン CVE-2020-1631 が試行されました |
| 99001008 |
重大 - 5 |
2 |
Fortinet のパス トラバーサル CVE-2018-13379 が試行されました |
| 99001009 |
重大 - 5 |
2 |
Apache Struts の ognl インジェクション CVE-2017-5638 が試行されました |
| 99001010 |
重大 - 5 |
2 |
Apache Struts の ognl インジェクション CVE-2017-12611 が試行されました |
| 99001011 |
重大 - 5 |
2 |
Oracle WebLogic のパス トラバーサル CVE-2020-14882 が試行されました |
| 99001012 |
重大 - 5 |
2 |
Telerik WebUI の安全でない逆シリアル化の悪用 CVE-2019-18935 が試みられました |
| 99001013 |
重大 - 5 |
2 |
SharePoint の安全でない XML 逆シリアル化 CVE-2019-0604 が試みられました |
| 99001014 |
重大 - 5 |
2 |
Spring Cloud ルーティング式インジェクション CVE-2022-22963 が試みられました |
| 99001015 |
重大 - 5 |
2 |
Spring Framework の安全でないクラス オブジェクトの悪用 CVE-2022-22965 が試みられました |
| 99001016 |
重大 - 5 |
2 |
Spring Cloud Gateway Actuator インジェクション CVE-2022-22947 が試みられました |
| 99001017 |
重大 - 5 |
2 |
Apache Struts ファイル アップロードの悪用が試みられました CVE-2023-50164 |
MS-ThreatIntel-XSS
| ルールの ID |
異常スコアの重大度 |
パラノイア レベル |
説明 |
| 99032001 |
重大 - 5 |
1 |
XSS フィルター - カテゴリ 2: イベント ハンドラー ベクター (ルール #941120 の置き換え) |
| 99032002 |
重大 - 5 |
2 |
リモートファイルインクルージョン(RFI)攻撃の可能性: オフドメインリファレンス/リンク(置き換えルール #931130) |
2.1 の規則セット
全般
| ルールの ID |
異常スコアの重大度 |
パラノイア レベル |
説明 |
| 200002 |
重大 - 5 |
1 |
要求本文を解析できませんでした |
| 200003 |
重大 - 5 |
1 |
マルチパートの要求本文が厳密な検証に失敗しました。 |
メソッドの適用
| ルールの ID |
異常スコアの重大度 |
パラノイア レベル |
説明 |
| 911100 |
重大 - 5 |
1 |
メソッドがポリシーによって許可されていません |
プロトコル強制
| ルールの ID |
異常スコアの重大度 |
パラノイア レベル |
説明 |
| 920100 |
通知 - 2 |
1 |
無効な HTTP 要求行 |
| 920120 |
重大 - 5 |
1 |
マルチパート/フォームデータのバイパスを試行しました |
| 920121 |
重大 - 5 |
2 |
マルチパート/フォームデータのバイパスを試行しました |
| 920160 |
重大 - 5 |
1 |
Content-Length HTTP ヘッダーが数値ではありません |
| 920170 |
重大 - 5 |
1 |
本文コンテンツがある GET または HEAD 要求 |
| 920171 |
重大 - 5 |
1 |
Transfer-Encoding を使用した GET または HEAD 要求 |
| 920180 |
通知 - 2 |
1 |
POST 要求に Content-Length ヘッダーがありません |
| 920181 |
警告 - 3 |
1 |
Content-Length ヘッダーと Transfer-Encoding ヘッダーが 99001003 の原因となります |
| 920190 |
警告 - 3 |
1 |
範囲: 最後のバイト値が無効です |
| 920200 |
警告 - 3 |
2 |
範囲: フィールドが多すぎます (6 以上) |
| 920201 |
警告 - 3 |
2 |
範囲: pdf 要求のフィールドが多すぎます (35 以上) |
| 920210 |
警告 - 3 |
1 |
複数/競合している接続ヘッダー データが見つかりました |
| 920220 |
警告 - 3 |
1 |
URL エンコード悪用攻撃の試行 |
| 920230 |
警告 - 3 |
2 |
複数の URL エンコードが検出されました |
| 920240 |
警告 - 3 |
1 |
URL エンコード悪用攻撃の試行 |
| 920260 |
警告 - 3 |
1 |
Unicode 全/半角悪用攻撃の試行 |
| 920270 |
重大 - 5 |
1 |
要求に無効な文字が含まれています (null 文字) |
| 920271 |
重大 - 5 |
2 |
要求の文字が無効です (印刷できない文字) |
| 920280 |
警告 - 3 |
1 |
要求にホスト ヘッダーがありません |
| 920290 |
警告 - 3 |
1 |
ホスト ヘッダーが空です |
| 920300 |
通知 - 2 |
2 |
要求に Accept ヘッダーがありません |
| 920310 |
通知 - 2 |
1 |
要求に空の Accept ヘッダーがあります |
| 920311 |
通知 - 2 |
1 |
要求に空の Accept ヘッダーがあります |
| 920320 |
通知 - 2 |
2 |
User Agent ヘッダーがありません |
| 920330 |
通知 - 2 |
1 |
User Agent ヘッダーが空です |
| 920340 |
通知 - 2 |
1 |
要求にコンテンツは含まれていますが、Content-Type ヘッダーがありません |
| 920341 |
重大 - 5 |
2 |
コンテンツを含む要求には、Content-Type ヘッダーが必要です |
| 920350 |
警告 - 3 |
1 |
ホスト ヘッダーが数値 IP アドレスです |
| 920420 |
重大 - 5 |
1 |
要求のコンテンツ タイプがポリシーで許可されていません |
| 920430 |
重大 - 5 |
1 |
HTTP プロトコルのバージョンがポリシーで許可されていません |
| 920440 |
重大 - 5 |
1 |
URL ファイル拡張子がポリシーによって制限されています |
| 920450 |
重大 - 5 |
1 |
HTTP ヘッダーがポリシーによって制限されています |
| 920470 |
重大 - 5 |
1 |
無効な Content-Type ヘッダー |
| 920480 |
重大 - 5 |
1 |
要求コンテンツ タイプの文字セットはがポリシーで許可されていません |
| 920500 |
重大 - 5 |
1 |
バックアップ ファイルまたは作業ファイルへのアクセスの試行 |
プロトコル攻撃
| ルールの ID |
異常スコアの重大度 |
パラノイア レベル |
説明 |
| 921110 |
重大 - 5 |
1 |
HTTP 要求スマグリング攻撃 |
| 921120 |
重大 - 5 |
1 |
HTTP 応答分割攻撃 |
| 921130 |
重大 - 5 |
1 |
HTTP 応答分割攻撃 |
| 921140 |
重大 - 5 |
1 |
ヘッダーによる HTTP ヘッダー インジェクション攻撃 |
| 921150 |
重大 - 5 |
1 |
ペイロードによる HTTP ヘッダー インジェクション攻撃 (CR/LF 検出) |
| 921151 |
重大 - 5 |
2 |
ペイロードによる HTTP ヘッダー インジェクション攻撃 (CR/LF 検出) |
| 921160 |
重大 - 5 |
1 |
ペイロードによる HTTP ヘッダー インジェクション攻撃 (CR/LF および header-name 検出) |
| 921190 |
重大 - 5 |
1 |
HTTP 分割 (要求ファイル名に CR/LF が検出されました) |
| 921200 |
重大 - 5 |
1 |
LDAP インジェクション攻撃 |
LFI: ローカル ファイル インクルージョン
| ルールの ID |
異常スコアの重大度 |
パラノイア レベル |
説明 |
| 930100 |
重大 - 5 |
1 |
パス トラバーサル攻撃 (/../) |
| 930110 |
重大 - 5 |
1 |
パス トラバーサル攻撃 (/../) |
| 930120 |
重大 - 5 |
1 |
OS ファイル アクセスの試行 |
| 930130 |
重大 - 5 |
1 |
制限付きファイル アクセスの試行 |
RFI: リモート ファイル インクルージョン
| ルールの ID |
異常スコアの重大度 |
パラノイア レベル |
説明 |
| 931100 |
重大 - 5 |
1 |
リモート ファイル インクルージョン (RFI) 攻撃の可能性あり: IP アドレスを使用している URL パラメーター |
| 931110 |
重大 - 5 |
1 |
リモート ファイル インクルード (RFI) 攻撃の可能性あり: URL ペイロードと共に使用される一般的な RFI 脆弱性パラメーター名 |
| 931120 |
重大 - 5 |
1 |
リモート ファイル インクルード (RFI) 攻撃の可能性あり: 末尾の疑問符 (?) と共に使用される URL ペイロード |
| 931130 |
重大 - 5 |
2 |
可能性のあるリモート ファイル インクルード (RFI) 攻撃: ドメイン外参照/リンク |
RCE: リモート コマンド実行
| ルールの ID |
異常スコアの重大度 |
パラノイア レベル |
説明 |
| 932100 |
重大 - 5 |
1 |
リモート コマンド実行: UNIX コマンド インジェクション |
| 932105 |
重大 - 5 |
1 |
リモート コマンド実行: UNIX コマンド インジェクション |
| 932110 |
重大 - 5 |
1 |
リモート コマンド実行: Windows コマンド インジェクション |
| 932115 |
重大 - 5 |
1 |
リモート コマンド実行: Windows コマンド インジェクション |
| 932120 |
重大 - 5 |
1 |
リモート コマンド実行: Windows PowerShell コマンドが見つかりました |
| 932130 |
重大 - 5 |
1 |
リモート コマンド実行: Unix シェル式または Confluence の脆弱性 (CVE-2022-26134) が見つかりました |
| 932140 |
重大 - 5 |
1 |
リモート コマンド実行: Windows FOR/IF コマンドが見つかりました |
| 932150 |
重大 - 5 |
1 |
リモート コマンド実行: Unix コマンドの直接実行 |
| 932160 |
重大 - 5 |
1 |
リモート コマンド実行: Unix シェル コードが見つかりました |
| 932170 |
重大 - 5 |
1 |
リモート コマンド実行: Shellshock (CVE-2014-6271) |
| 932171 |
重大 - 5 |
1 |
リモート コマンド実行: Shellshock (CVE-2014-6271) |
| 932180 |
重大 - 5 |
1 |
制限付きファイル アップロードの試行 |
PHP 攻撃
| ルールの ID |
異常スコアの重大度 |
パラノイア レベル |
説明 |
| 933100 |
重大 - 5 |
1 |
PHP インジェクション攻撃: 開始または終了タグが見つかりました |
| 933110 |
重大 - 5 |
1 |
PHP インジェクション攻撃: PHP スクリプト ファイルのアップロードが見つかりました |
| 933120 |
重大 - 5 |
1 |
PHP インジェクション攻撃: 構成ディレクティブが見つかりました |
| 933130 |
重大 - 5 |
1 |
PHP インジェクション攻撃: 変数が見つかりました |
| 933140 |
重大 - 5 |
1 |
PHP インジェクション攻撃: I/O ストリームが見つかりました |
| 933150 |
重大 - 5 |
1 |
PHP インジェクション攻撃: 危険度の高い PHP 関数名が見つかりました |
| 933151 |
重大 - 5 |
2 |
PHP インジェクション攻撃: 危険度が中程度の PHP 関数名が見つかりました |
| 933160 |
重大 - 5 |
1 |
PHP インジェクション攻撃: 危険度の高い PHP 関数呼び出しが見つかりました |
| 933170 |
重大 - 5 |
1 |
PHP インジェクション攻撃: シリアル化されたオブジェクトの挿入 |
| 933180 |
重大 - 5 |
1 |
PHP インジェクション攻撃: 関数呼び出しが見つかりました |
| 933200 |
重大 - 5 |
1 |
PHP インジェクション攻撃: ラッパー スキームが検出されました |
| 933210 |
重大 - 5 |
1 |
PHP インジェクション攻撃: 関数呼び出しが見つかりました |
Node JS 攻撃
| ルールの ID |
異常スコアの重大度 |
パラノイア レベル |
説明 |
| 934100 |
重大 - 5 |
1 |
Node.js インジェクション攻撃 |
XSS: クロスサイト スクリプティング
| ルールの ID |
異常スコアの重大度 |
パラノイア レベル |
説明 |
| 941100 |
重大 - 5 |
1 |
libinjection を通じて XSS 攻撃が検出されました |
| 941101 |
重大 - 5 |
2 |
libinjection を通じて XSS 攻撃が検出されました
ルールが Referer ヘッダを含む要求を検出します |
| 941110 |
重大 - 5 |
1 |
XSS フィルター - カテゴリ 1: スクリプト タグ ベクター |
| 941120 |
重大 - 5 |
1 |
XSS フィルター - カテゴリ 2: イベント ハンドラー ベクター |
| 941130 |
重大 - 5 |
1 |
XSS フィルター - カテゴリ 3: 属性ベクター |
| 941140 |
重大 - 5 |
1 |
XSS フィルター - カテゴリ 4: JavaScript URI ベクター |
| 941150 |
重大 - 5 |
2 |
XSS フィルター - カテゴリ 5: 許可されていない HTML 属性 |
| 941160 |
重大 - 5 |
1 |
NoScript XSS InjectionChecker: HTML インジェクション |
| 941170 |
重大 - 5 |
1 |
NoScript XSS InjectionChecker: 属性インジェクション |
| 941180 |
重大 - 5 |
1 |
ノード検証コントロールのブロックリスト キーワード |
| 941190 |
重大 - 5 |
1 |
スタイル シートを使用する XSS |
| 941200 |
重大 - 5 |
1 |
VML フレームを使用する XSS |
| 941210 |
重大 - 5 |
1 |
難読化 JavaScript を使用する XSS |
| 941220 |
重大 - 5 |
1 |
難読化 VB Script を使用する XSS |
| 941230 |
重大 - 5 |
1 |
embed タグを使用した XSS |
| 941240 |
重大 - 5 |
1 |
import または implementation 属性を使用した XSS |
| 941250 |
重大 - 5 |
1 |
IE XSS フィルター - 攻撃が検出されました |
| 941260 |
重大 - 5 |
1 |
meta タグを使用した XSS |
| 941270 |
重大 - 5 |
1 |
link href を使用した XSS |
| 941280 |
重大 - 5 |
1 |
base タグを使用した XSS |
| 941290 |
重大 - 5 |
1 |
applet タグを使用した XSS |
| 941300 |
重大 - 5 |
1 |
object タグを使用した XSS |
| 941310 |
重大 - 5 |
1 |
形式に誤りがある US-ASCII エンコード XSS フィルター - 攻撃が検出されました |
| 941320 |
重大 - 5 |
2 |
可能性のある XSS 攻撃が検出されました - HTML タグ ハンドラー |
| 941330 |
重大 - 5 |
2 |
IE XSS フィルター - 攻撃が検出されました |
| 941340 |
重大 - 5 |
2 |
IE XSS フィルター - 攻撃が検出されました |
| 941350 |
重大 - 5 |
1 |
UTF-7 エンコード IE XSS - 攻撃が検出されました |
| 941360 |
重大 - 5 |
1 |
JavaScript の難読化が検出されました |
| 941370 |
重大 - 5 |
1 |
JavaScript のグローバル変数が見つかりました |
| 941380 |
重大 - 5 |
2 |
AngularJS クライアント側テンプレート インジェクションが検出されました |
SQLI: SQL インジェクション
| ルールの ID |
異常スコアの重大度 |
パラノイア レベル |
説明 |
| 942100 |
重大 - 5 |
1 |
libinjection を通じて SQL インジェクション攻撃が検出されました |
| 942110 |
警告 - 3 |
2 |
SQL インジェクション攻撃: 一般的なインジェクション テストが検出されました |
| 942120 |
重大 - 5 |
2 |
SQL インジェクション攻撃: SQL 演算子が検出されました |
| 942140 |
重大 - 5 |
1 |
SQL インジェクション攻撃: 共通 DB 名が検出されました |
| 942150 |
重大 - 5 |
2 |
SQL インジェクション攻撃 |
| 942160 |
重大 - 5 |
1 |
sleep() または benchmark() を使用してブラインド SQLI テストを検出します |
| 942170 |
重大 - 5 |
1 |
条件付きクエリも含めて、SQL ベンチマークとスリープ インジェクション試行を検出します |
| 942180 |
重大 - 5 |
2 |
基本的な SQL 認証のバイパスの試行 1/3 を検出します |
| 942190 |
重大 - 5 |
1 |
MSSQL コード実行と情報収集の試行を検出します。 |
| 942200 |
重大 - 5 |
2 |
MySQL コメント/スペース難読化インジェクションとバッククォートの終了を検出します |
| 942210 |
重大 - 5 |
2 |
チェーンされた SQL インジェクション試行 1/2 を検出します |
| 942220 |
重大 - 5 |
1 |
整数オーバーフロー攻撃を探しています。これらは、skipfish から取得されます。ただし、3.0.00738585072007e-308 は "マジック番号" クラッシュであるため除きます |
| 942230 |
重大 - 5 |
1 |
条件付き SQL インジェクション試行を検出します |
| 942240 |
重大 - 5 |
1 |
MySQL 文字セット スイッチと MSSQL DoS 試行を検出します |
| 942250 |
重大 - 5 |
1 |
MATCH AGAINST、MERGE、EXECUTE IMMEDIATE インジェクションを検出します |
| 942260 |
重大 - 5 |
2 |
基本的な SQL 認証のバイパスの試行 2/3 を検出します |
| 942270 |
重大 - 5 |
1 |
基本的な SQL インジェクションを探しています。 MySQL、Oracle などの一般的な攻撃文字列 |
| 942280 |
重大 - 5 |
1 |
Postgres pg_sleep インジェクション、wait for delay 攻撃、データベース シャットダウン試行を検出します |
| 942290 |
重大 - 5 |
1 |
基本的な MongoDB SQL インジェクション試行を探します |
| 942300 |
重大 - 5 |
2 |
MySQL コメント、条件、および ch(a)r インジェクションを検出します |
| 942310 |
重大 - 5 |
2 |
チェーンされた SQL インジェクション試行 2/2 を検出します |
| 942320 |
重大 - 5 |
1 |
MySQL および PostgreSQL ストアド プロシージャ/関数インジェクションを検出します |
| 942330 |
重大 - 5 |
2 |
従来の SQL インジェクション プローブ 1/2 を検出します |
| 942340 |
重大 - 5 |
2 |
基本的な SQL 認証のバイパスの試行 3/3 を検出します |
| 942350 |
重大 - 5 |
1 |
MySQL UDF インジェクションと、その他のデータ/構造操作試行を検出します |
| 942360 |
重大 - 5 |
1 |
連結された基本的な SQL インジェクションと SQLLFI 試行を検出します |
| 942361 |
重大 - 5 |
2 |
キーワード alter または union に基づいて基本的な SQL インジェクションを検出します |
| 942370 |
重大 - 5 |
2 |
従来の SQL インジェクション プローブ 2/2 を検出します |
| 942380 |
重大 - 5 |
2 |
SQL インジェクション攻撃 |
| 942390 |
重大 - 5 |
2 |
SQL インジェクション攻撃 |
| 942400 |
重大 - 5 |
2 |
SQL インジェクション攻撃 |
| 942410 |
重大 - 5 |
2 |
SQL インジェクション攻撃 |
| 942430 |
警告 - 3 |
2 |
制限された SQL 文字の異常検出 (引数): 特殊文字数が超過しました (12) |
| 942440 |
重大 - 5 |
2 |
SQL コメント シーケンスが検出されました |
| 942450 |
重大 - 5 |
2 |
SQL 16 進数エンコードが識別されました |
| 942470 |
重大 - 5 |
2 |
SQL インジェクション攻撃 |
| 942480 |
重大 - 5 |
2 |
SQL インジェクション攻撃 |
| 942500 |
重大 - 5 |
1 |
MySQL のインライン コメントが検出されました |
| 942510 |
重大 - 5 |
2 |
ティックまたはバックティックによる SQLi バイパス試行が検出されました |
セッション固定
| ルールの ID |
異常スコアの重大度 |
パラノイア レベル |
説明 |
| 943100 |
重大 - 5 |
1 |
可能性のあるセッション固定攻撃: HTML への Cookie 値の設定 |
| 943110 |
重大 - 5 |
1 |
可能性のあるセッション固定攻撃: SessionID パラメーター名とドメイン外参照元 |
| 943120 |
重大 - 5 |
1 |
可能性のあるセッション固定攻撃: 参照元のない SessionID パラメーター名 |
Java 攻撃
| ルールの ID |
異常スコアの重大度 |
パラノイア レベル |
説明 |
| 944100 |
重大 - 5 |
1 |
リモート コマンド実行: Apache Struts、Oracle WebLogic |
| 944110 |
重大 - 5 |
1 |
ペイロード実行の可能性を検出します |
| 944120 |
重大 - 5 |
1 |
可能性のあるペイロード実行とリモート コマンド実行 |
| 944130 |
重大 - 5 |
1 |
不審な Java クラス |
| 944200 |
重大 - 5 |
2 |
Java 逆シリアル化 Apache Commons の悪用 |
| 944210 |
重大 - 5 |
2 |
Java シリアル化の使用の可能性 |
| 944240 |
重大 - 5 |
2 |
リモート コマンド実行: Java シリアル化と Log4j の脆弱性 (CVE-2021-44228、CVE-2021-45046) |
| 944250 |
重大 - 5 |
2 |
リモート コマンド実行: 疑わしい Java メソッドが検出されました |
MS-ThreatIntel-WebShells
| ルールの ID |
異常スコアの重大度 |
パラノイア レベル |
説明 |
| 99005002 |
重大 - 5 |
2 |
Web シェル相互作用の試行 (POST) |
| 99005003 |
重大 - 5 |
2 |
Web シェル アップロードの試行 (POST) - CHOPPER PHP |
| 99005004 |
重大 - 5 |
2 |
Web シェル アップロードの試行 (POST) - CHOPPER ASPX |
| 99005005 |
重大 - 5 |
2 |
Web シェル相互作用の試行 |
| 99005006 |
重大 - 5 |
2 |
Spring4Shell 相互作用の試行 |
MS-ThreatIntel-AppSec
| ルールの ID |
異常スコアの重大度 |
パラノイア レベル |
説明 |
| 99030001 |
重大 - 5 |
2 |
ヘッダーでのパス トラバーサル回避 (/.././../) |
| 99030002 |
重大 - 5 |
2 |
要求本文でのパス トラバーサル回避 (/.././../) |
MS-ThreatIntel-SQLI
| ルールの ID |
異常スコアの重大度 |
パラノイア レベル |
説明 |
| 99031001 |
警告 - 3 |
2 |
SQL インジェクション攻撃: 一般的なインジェクション テストが検出されました |
| 99031002 |
重大 - 5 |
2 |
SQL コメント シーケンスが検出されました |
| 99031003 |
重大 - 5 |
2 |
SQL インジェクション攻撃 |
| 99031004 |
重大 - 5 |
2 |
基本的な SQL 認証のバイパスの試行 2/3 を検出します |
MS-ThreatIntel-CVEs
| ルールの ID |
異常スコアの重大度 |
パラノイア レベル |
説明 |
| 99001001 |
重大 - 5 |
2 |
既知の資格情報で F5 tmui (CVE-2020-5902) REST API の悪用が試みられました |
| 99001002 |
重大 - 5 |
2 |
Citrix NSC_USER のディレクトリ トラバーサル CVE-2019-19781 が試行されました |
| 99001003 |
重大 - 5 |
2 |
Atlassian Confluence Widget Connector の悪用 CVE-2019-3396 が試みられました |
| 99001004 |
重大 - 5 |
2 |
Pulse Secure カスタム テンプレートの悪用 CVE-2020-8243 が試みられました |
| 99001005 |
重大 - 5 |
2 |
SharePoint 型コンバーターの悪用 CVE-2020-0932 が試みられました |
| 99001006 |
重大 - 5 |
2 |
Pulse Connect のディレクトリ トラバーサル CVE-2019-11510 が試行されました |
| 99001007 |
重大 - 5 |
2 |
Junos OS J-Web ローカル ファイル インクルージョン CVE-2020-1631 が試行されました |
| 99001008 |
重大 - 5 |
2 |
Fortinet のパス トラバーサル CVE-2018-13379 が試行されました |
| 99001009 |
重大 - 5 |
2 |
Apache Struts の ognl インジェクション CVE-2017-5638 が試行されました |
| 99001010 |
重大 - 5 |
2 |
Apache Struts の ognl インジェクション CVE-2017-12611 が試行されました |
| 99001011 |
重大 - 5 |
2 |
Oracle WebLogic のパス トラバーサル CVE-2020-14882 が試行されました |
| 99001012 |
重大 - 5 |
2 |
Telerik WebUI の安全でない逆シリアル化の悪用 CVE-2019-18935 が試みられました |
| 99001013 |
重大 - 5 |
2 |
SharePoint の安全でない XML 逆シリアル化 CVE-2019-0604 が試みられました |
| 99001014 |
重大 - 5 |
2 |
Spring Cloud ルーティング式インジェクション CVE-2022-22963 が試みられました |
| 99001015 |
重大 - 5 |
2 |
Spring Framework の安全でないクラス オブジェクトの悪用 CVE-2022-22965 が試みられました |
| 99001016 |
重大 - 5 |
2 |
Spring Cloud Gateway Actuator インジェクション CVE-2022-22947 が試みられました |
| 99001017 |
重大 - 5 |
2 |
Apache Struts ファイル アップロードの悪用が試みられました CVE-2023-50164 |
2.0 の規則セット
全般
| ルールの ID |
説明 |
| 200002 |
要求本文を解析できませんでした |
| 200003 |
マルチパートの要求本文が厳密な検証に失敗しました。 |
メソッドの適用
| ルールの ID |
説明 |
| 911100 |
メソッドがポリシーによって許可されていません |
プロトコル強制
| ルールの ID |
説明 |
| 920100 |
無効な HTTP 要求行 |
| 920120 |
マルチパート/フォームデータのバイパスを試行しました |
| 920121 |
マルチパート/フォームデータのバイパスを試行しました |
| 920160 |
Content-Length HTTP ヘッダーが数値ではありません |
| 920170 |
本文コンテンツがある GET または HEAD 要求 |
| 920171 |
Transfer-Encoding を使用した GET または HEAD 要求 |
| 920180 |
POST 要求に Content-Length ヘッダーがありません |
| 920190 |
範囲: 最後のバイト値が無効です |
| 920200 |
範囲: フィールドが多すぎます (6 以上) |
| 920201 |
範囲: pdf 要求のフィールドが多すぎます (35 以上) |
| 920210 |
複数/競合している接続ヘッダー データが見つかりました |
| 920220 |
URL エンコード悪用攻撃の試行 |
| 920230 |
複数の URL エンコードが検出されました |
| 920240 |
URL エンコード悪用攻撃の試行 |
| 920260 |
Unicode 全/半角悪用攻撃の試行 |
| 920270 |
要求に無効な文字が含まれています (null 文字) |
| 920271 |
要求の文字が無効です (印刷できない文字) |
| 920280 |
要求にホスト ヘッダーがありません |
| 920290 |
ホスト ヘッダーが空です |
| 920300 |
要求に Accept ヘッダーがありません |
| 920310 |
要求に空の Accept ヘッダーがあります |
| 920311 |
要求に空の Accept ヘッダーがあります |
| 920320 |
User Agent ヘッダーがありません |
| 920330 |
User Agent ヘッダーが空です |
| 920340 |
要求にコンテンツは含まれていますが、Content-Type ヘッダーがありません |
| 920341 |
コンテンツを含む要求には、Content-Type ヘッダーが必要です |
| 920350 |
ホスト ヘッダーが数値 IP アドレスです |
| 920420 |
要求のコンテンツ タイプがポリシーで許可されていません |
| 920430 |
HTTP プロトコルのバージョンがポリシーで許可されていません |
| 920440 |
URL ファイル拡張子がポリシーによって制限されています |
| 920450 |
HTTP ヘッダーがポリシーによって制限されています |
| 920470 |
無効な Content-Type ヘッダー |
| 920480 |
要求コンテンツ タイプの文字セットはがポリシーで許可されていません |
プロトコル攻撃
| ルールの ID |
説明 |
| 921110 |
HTTP 要求スマグリング攻撃 |
| 921120 |
HTTP 応答分割攻撃 |
| 921130 |
HTTP 応答分割攻撃 |
| 921140 |
ヘッダーによる HTTP ヘッダー インジェクション攻撃 |
| 921150 |
ペイロードによる HTTP ヘッダー インジェクション攻撃 (CR/LF 検出) |
| 921151 |
ペイロードによる HTTP ヘッダー インジェクション攻撃 (CR/LF 検出) |
| 921160 |
ペイロードによる HTTP ヘッダー インジェクション攻撃 (CR/LF および header-name 検出) |
LFI: ローカル ファイル インクルージョン
| ルールの ID |
説明 |
| 930100 |
パス トラバーサル攻撃 (/../) |
| 930110 |
パス トラバーサル攻撃 (/../) |
| 930120 |
OS ファイル アクセスの試行 |
| 930130 |
制限付きファイル アクセスの試行 |
RFI: リモート ファイル インクルージョン
| ルールの ID |
説明 |
| 931100 |
リモート ファイル インクルード (RFI) 攻撃の可能性あり: IP アドレスを使用している URL パラメーター |
| 931110 |
リモート ファイル インクルード (RFI) 攻撃の可能性あり: URL ペイロードと共に使用される一般的な RFI 脆弱性パラメーター名 |
| 931120 |
リモート ファイル インクルード (RFI) 攻撃の可能性あり: 末尾の疑問符 (?) と共に使用される URL ペイロード |
| 931130 |
可能性のあるリモート ファイル インクルード (RFI) 攻撃: ドメイン外参照/リンク |
RCE: リモート コマンド実行
| ルールの ID |
説明 |
| 932100 |
リモート コマンド実行: UNIX コマンド インジェクション |
| 932105 |
リモート コマンド実行: UNIX コマンド インジェクション |
| 932110 |
リモート コマンド実行: Windows コマンド インジェクション |
| 932115 |
リモート コマンド実行: Windows コマンド インジェクション |
| 932120 |
リモート コマンド実行: Windows PowerShell コマンドが見つかりました |
| 932130 |
リモート コマンド実行: Unix シェル式または Confluence の脆弱性 (CVE-2022-26134) または Text4Shell (CVE-2022-42889) が見つかりました |
| 932140 |
リモート コマンド実行: Windows FOR/IF コマンドが見つかりました |
| 932150 |
リモート コマンド実行: Unix コマンドの直接実行 |
| 932160 |
リモート コマンド実行: Unix シェル コードが見つかりました |
| 932170 |
リモート コマンド実行: Shellshock (CVE-2014-6271) |
| 932171 |
リモート コマンド実行: Shellshock (CVE-2014-6271) |
| 932180 |
制限付きファイル アップロードの試行 |
PHP 攻撃
| ルールの ID |
説明 |
| 933100 |
PHP インジェクション攻撃: 開始または終了タグが見つかりました |
| 933110 |
PHP インジェクション攻撃: PHP スクリプト ファイルのアップロードが見つかりました |
| 933120 |
PHP インジェクション攻撃: 構成ディレクティブが見つかりました |
| 933130 |
PHP インジェクション攻撃: 変数が見つかりました |
| 933140 |
PHP インジェクション攻撃: I/O ストリームが見つかりました |
| 933150 |
PHP インジェクション攻撃: 危険度の高い PHP 関数名が見つかりました |
| 933151 |
PHP インジェクション攻撃: 危険度が中程度の PHP 関数名が見つかりました |
| 933160 |
PHP インジェクション攻撃: 危険度の高い PHP 関数呼び出しが見つかりました |
| 933170 |
PHP インジェクション攻撃: シリアル化されたオブジェクトの挿入 |
| 933180 |
PHP インジェクション攻撃: 可変関数呼び出しが見つかりました |
| 933200 |
PHP インジェクション攻撃: ラッパー スキームが検出されました |
| 933210 |
PHP インジェクション攻撃: 関数呼び出しが見つかりました |
Node JS 攻撃
| ルールの ID |
説明 |
| 934100 |
Node.js インジェクション攻撃 |
XSS: クロスサイト スクリプティング
| ルールの ID |
説明 |
| 941100 |
libinjection を通じて XSS 攻撃が検出されました |
| 941101 |
libinjection を通じて XSS 攻撃が検出されました。
このルールは、 Referer ヘッダーを持つ要求を検出します |
| 941110 |
XSS フィルター - カテゴリ 1: スクリプト タグ ベクター |
| 941120 |
XSS フィルター - カテゴリ 2: イベント ハンドラー ベクター |
| 941130 |
XSS フィルター - カテゴリ 3: 属性ベクター |
| 941140 |
XSS フィルター - カテゴリ 4: JavaScript URI ベクター |
| 941150 |
XSS フィルター - カテゴリ 5: 許可されていない HTML 属性 |
| 941160 |
NoScript XSS InjectionChecker: HTML インジェクション |
| 941170 |
NoScript XSS InjectionChecker: 属性インジェクション |
| 941180 |
ノード検証コントロールのブロックリスト キーワード |
| 941190 |
スタイル シートを使用する XSS |
| 941200 |
VML フレームを使用する XSS |
| 941210 |
IE XSS フィルター - 攻撃の検出または Text4Shell (CVE-2022-42889) |
| 941220 |
難読化 VB Script を使用する XSS |
| 941230 |
embed タグを使用した XSS |
| 941240 |
import または implementation 属性を使用した XSS |
| 941250 |
IE XSS フィルター - 攻撃が検出されました |
| 941260 |
meta タグを使用した XSS |
| 941270 |
link href を使用した XSS |
| 941280 |
base タグを使用した XSS |
| 941290 |
applet タグを使用した XSS |
| 941300 |
object タグを使用した XSS |
| 941310 |
形式に誤りがある US-ASCII エンコード XSS フィルター - 攻撃が検出されました |
| 941320 |
可能性のある XSS 攻撃が検出されました - HTML タグ ハンドラー |
| 941330 |
IE XSS フィルター - 攻撃が検出されました |
| 941340 |
IE XSS フィルター - 攻撃が検出されました |
| 941350 |
UTF-7 エンコード IE XSS - 攻撃が検出されました |
| 941360 |
JavaScript の難読化が検出されました |
| 941370 |
JavaScript のグローバル変数が見つかりました |
| 941380 |
AngularJS クライアント側テンプレート インジェクションが検出されました |
SQLI: SQL インジェクション
| ルールの ID |
説明 |
| 942100 |
libinjection を通じて SQL インジェクション攻撃が検出されました |
| 942110 |
SQL インジェクション攻撃: 一般的なインジェクション テストが検出されました |
| 942120 |
SQL インジェクション攻撃: SQL 演算子が検出されました |
| 942140 |
SQL インジェクション攻撃: 共通 DB 名が検出されました |
| 942150 |
SQL インジェクション攻撃 |
| 942160 |
sleep() または benchmark() を使用してブラインド SQLI テストを検出します |
| 942170 |
条件付きクエリも含めて、SQL ベンチマークとスリープ インジェクション試行を検出します |
| 942180 |
基本的な SQL 認証のバイパスの試行 1/3 を検出します |
| 942190 |
MSSQL コード実行と情報収集の試行を検出します。 |
| 942200 |
MySQL コメント/スペース難読化インジェクションとバッククォートの終了を検出します |
| 942210 |
チェーンされた SQL インジェクション試行 1/2 を検出します |
| 942220 |
整数オーバーフロー攻撃を探しています。これらは、skipfish から取得されます。ただし、3.0.00738585072007e-308 は "マジック番号" クラッシュであるため除きます |
| 942230 |
条件付き SQL インジェクション試行を検出します |
| 942240 |
MySQL 文字セット スイッチと MSSQL DoS 試行を検出します |
| 942250 |
MATCH AGAINST、MERGE、EXECUTE IMMEDIATE インジェクションを検出します |
| 942260 |
基本的な SQL 認証のバイパスの試行 2/3 を検出します |
| 942270 |
基本的な SQL インジェクションを探しています。 MySQL、Oracle などの一般的な攻撃文字列 |
| 942280 |
Postgres pg_sleepインジェクションを検出し、遅延攻撃とデータベースシャットダウンの試行を待機します |
| 942290 |
基本的な MongoDB SQL インジェクション試行を探します |
| 942300 |
MySQL コメント、条件、および ch(a)r インジェクションを検出します |
| 942310 |
チェーンされた SQL インジェクション試行 2/2 を検出します |
| 942320 |
MySQL および PostgreSQL ストアド プロシージャ/関数インジェクションを検出します |
| 942330 |
従来の SQL インジェクション プローブ 1/2 を検出します |
| 942340 |
基本的な SQL 認証のバイパスの試行 3/3 を検出します |
| 942350 |
MySQL UDF インジェクションと、その他のデータ/構造操作試行を検出します |
| 942360 |
連結された基本的な SQL インジェクションと SQLLFI 試行を検出します |
| 942361 |
キーワード alter または union に基づいて基本的な SQL インジェクションを検出します |
| 942370 |
従来の SQL インジェクション プローブ 2/2 を検出します |
| 942380 |
SQL インジェクション攻撃 |
| 942390 |
SQL インジェクション攻撃 |
| 942400 |
SQL インジェクション攻撃 |
| 942410 |
SQL インジェクション攻撃 |
| 942430 |
制限された SQL 文字の異常検出 (引数): 特殊文字数が超過しました (12) |
| 942440 |
SQL コメント シーケンスが検出されました |
| 942450 |
SQL 16 進数エンコードが識別されました |
| 942460 |
メタ文字の異常検出アラート - 反復する非単語文字 |
| 942470 |
SQL インジェクション攻撃 |
| 942480 |
SQL インジェクション攻撃 |
| 942500 |
MySQL のインライン コメントが検出されました |
| 942510 |
ティックまたはバックティックによる SQLi バイパス試行が検出されました |
セッション固定
| ルールの ID |
説明 |
| 943100 |
可能性のあるセッション固定攻撃: HTML への Cookie 値の設定 |
| 943110 |
可能性のあるセッション固定攻撃: SessionID パラメーター名とドメイン外参照元 |
| 943120 |
可能性のあるセッション固定攻撃: 参照元のない SessionID パラメーター名 |
Java 攻撃
| ルールの ID |
説明 |
| 944100 |
リモート コマンド実行: Apache Struts、Oracle WebLogic |
| 944110 |
ペイロード実行の可能性を検出します |
| 944120 |
可能性のあるペイロード実行とリモート コマンド実行 |
| 944130 |
不審な Java クラス |
| 944200 |
Java 逆シリアル化 Apache Commons の悪用 |
| 944210 |
Java シリアル化の使用の可能性 |
| 944240 |
リモート コマンド実行: Java シリアル化と Log4j の脆弱性 (CVE-2021-44228、CVE-2021-45046) |
| 944250 |
リモート コマンド実行: 疑わしい Java メソッドが検出されました |
MS-ThreatIntel-WebShells
| ルールの ID |
説明 |
| 99005002 |
Web シェル相互作用の試行 (POST) |
| 99005003 |
Web シェル アップロードの試行 (POST) - CHOPPER PHP |
| 99005004 |
Web シェル アップロードの試行 (POST) - CHOPPER ASPX |
| 99005006 |
Spring4Shell 相互作用の試行 |
MS-ThreatIntel-AppSec
| ルールの ID |
説明 |
| 99030001 |
ヘッダーでのパス トラバーサル回避 (/.././../) |
| 99030002 |
要求本文でのパス トラバーサル回避 (/.././../) |
MS-ThreatIntel-SQLI
| ルールの ID |
説明 |
| 99031001 |
SQL インジェクション攻撃: 一般的なインジェクション テストが検出されました |
| 99031002 |
SQL コメント シーケンスが検出されました |
MS-ThreatIntel-CVEs
| ルールの ID |
説明 |
| 99001001 |
既知の資格情報で F5 tmui (CVE-2020-5902) REST API の悪用が試みられました |
| 99001014 |
Spring Cloud ルーティング式インジェクション CVE-2022-22963 が試みられました |
| 99001015 |
Spring Framework の安全でないクラス オブジェクトの悪用 CVE-2022-22965 が試みられました |
| 99001016 |
Spring Cloud Gateway Actuator インジェクション CVE-2022-22947 が試みられました |
| 99001017 |
Apache Struts ファイル アップロードの悪用が試みられました CVE-2023-50164 |
1.1 ルール セット
プロトコル攻撃
| ルールの ID |
説明 |
| 921110 |
HTTP 要求スマグリング攻撃 |
| 921120 |
HTTP 応答分割攻撃 |
| 921130 |
HTTP 応答分割攻撃 |
| 921140 |
ヘッダーによる HTTP ヘッダー インジェクション攻撃 |
| 921150 |
ペイロードによる HTTP ヘッダー インジェクション攻撃 (CR/LF 検出) |
| 921151 |
ペイロードによる HTTP ヘッダー インジェクション攻撃 (CR/LF 検出) |
| 921160 |
ペイロードによる HTTP ヘッダー インジェクション攻撃 (CR/LF および header-name 検出) |
LFI: ローカル ファイル インクルージョン
| ルールの ID |
説明 |
| 930100 |
パス トラバーサル攻撃 (/../) |
| 930110 |
パス トラバーサル攻撃 (/../) |
| 930120 |
OS ファイル アクセスの試行 |
| 930130 |
制限付きファイル アクセスの試行 |
RFI: リモート ファイル インクルージョン
| ルールの ID |
説明 |
| 931100 |
リモート ファイル インクルード (RFI) 攻撃の可能性あり: IP アドレスを使用している URL パラメーター |
| 931110 |
リモート ファイル インクルード (RFI) 攻撃の可能性あり: URL ペイロードと共に使用される一般的な RFI 脆弱性パラメーター名 |
| 931120 |
リモート ファイル インクルード (RFI) 攻撃の可能性あり: 末尾の疑問符 (?) と共に使用される URL ペイロード |
| 931130 |
可能性のあるリモート ファイル インクルード (RFI) 攻撃: ドメイン外参照/リンク |
RCE: リモート コマンド実行
| ルールの ID |
説明 |
| 932100 |
リモート コマンド実行: UNIX コマンド インジェクション |
| 932105 |
リモート コマンド実行: UNIX コマンド インジェクション |
| 932110 |
リモート コマンド実行: Windows コマンド インジェクション |
| 932115 |
リモート コマンド実行: Windows コマンド インジェクション |
| 931120 |
リモート コマンド実行: Windows PowerShell コマンドが見つかりました |
| 932130 |
リモート コマンド実行: Unix シェル式または Confluence の脆弱性 (CVE-2022-26134) または Text4Shell (CVE-2022-42889) が見つかりました |
| 932140 |
リモート コマンド実行: Windows FOR/IF コマンドが見つかりました |
| 932150 |
リモート コマンド実行: Unix コマンドの直接実行 |
| 932160 |
リモート コマンド実行: Shellshock (CVE-2014-6271) |
| 932170 |
リモート コマンド実行: Shellshock (CVE-2014-6271) |
| 932171 |
リモート コマンド実行: Shellshock (CVE-2014-6271) |
| 932180 |
制限付きファイル アップロードの試行 |
PHP 攻撃
| ルールの ID |
説明 |
| 933100 |
PHP インジェクション攻撃: PHP の開始タグが見つかりました |
| 933110 |
PHP インジェクション攻撃: PHP スクリプト ファイルのアップロードが見つかりました |
| 933120 |
PHP インジェクション攻撃: 構成ディレクティブが見つかりました |
| 933130 |
PHP インジェクション攻撃: 変数が見つかりました |
| 933140 |
PHP インジェクション攻撃: I/O ストリームが見つかりました |
| 933150 |
PHP インジェクション攻撃: 危険度の高い PHP 関数名が見つかりました |
| 933151 |
PHP インジェクション攻撃: 危険度が中程度の PHP 関数名が見つかりました |
| 933160 |
PHP インジェクション攻撃: 危険度の高い PHP 関数呼び出しが見つかりました |
| 933170 |
PHP インジェクション攻撃: シリアル化されたオブジェクトの挿入 |
| 933180 |
PHP インジェクション攻撃: 関数呼び出しが見つかりました |
XSS: クロスサイト スクリプティング
| ルールの ID |
説明 |
| 941100 |
libinjection を通じて XSS 攻撃が検出されました |
| 941101 |
libinjection を通じて XSS 攻撃が検出されました。
このルールは、 Referer ヘッダーを持つ要求を検出します |
| 941110 |
XSS フィルター - カテゴリ 1: スクリプト タグ ベクター |
| 941120 |
XSS フィルター - カテゴリ 2: イベント ハンドラー ベクター |
| 941130 |
XSS フィルター - カテゴリ 3: 属性ベクター |
| 941140 |
XSS フィルター - カテゴリ 4: JavaScript URI ベクター |
| 941150 |
XSS フィルター - カテゴリ 5: 許可されていない HTML 属性 |
| 941160 |
NoScript XSS InjectionChecker: HTML インジェクション |
| 941170 |
NoScript XSS InjectionChecker: 属性インジェクション |
| 941180 |
ノード検証コントロールのブロックリスト キーワード |
| 941190 |
IE XSS フィルター - 攻撃が検出されました |
| 941200 |
IE XSS フィルター - 攻撃が検出されました |
| 941210 |
IE XSS フィルター - 攻撃が検出されたか、Text4Shell (CVE-2022-42889) が見つかりました |
| 941220 |
IE XSS フィルター - 攻撃が検出されました |
| 941230 |
IE XSS フィルター - 攻撃が検出されました |
| 941240 |
IE XSS フィルター - 攻撃が検出されました |
| 941250 |
IE XSS フィルター - 攻撃が検出されました |
| 941260 |
IE XSS フィルター - 攻撃が検出されました |
| 941270 |
IE XSS フィルター - 攻撃が検出されました |
| 941280 |
IE XSS フィルター - 攻撃が検出されました |
| 941290 |
IE XSS フィルター - 攻撃が検出されました |
| 941300 |
IE XSS フィルター - 攻撃が検出されました |
| 941310 |
形式に誤りがある US-ASCII エンコード XSS フィルター - 攻撃が検出されました |
| 941320 |
可能性のある XSS 攻撃が検出されました - HTML タグ ハンドラー |
| 941330 |
IE XSS フィルター - 攻撃が検出されました |
| 941340 |
IE XSS フィルター - 攻撃が検出されました |
| 941350 |
UTF-7 エンコード IE XSS - 攻撃が検出されました |
SQLI: SQL インジェクション
| ルールの ID |
説明 |
| 942100 |
libinjection を通じて SQL インジェクション攻撃が検出されました |
| 942110 |
SQL インジェクション攻撃: 一般的なインジェクション テストが検出されました |
| 942120 |
SQL インジェクション攻撃: SQL 演算子が検出されました |
| 942140 |
SQL インジェクション攻撃: 共通 DB 名が検出されました |
| 942150 |
SQL インジェクション攻撃 |
| 942160 |
sleep() または benchmark() を使用してブラインド SQLI テストを検出します |
| 942170 |
条件付きクエリも含めて、SQL ベンチマークとスリープ インジェクション試行を検出します |
| 942180 |
基本的な SQL 認証のバイパスの試行 1/3 を検出します |
| 942190 |
MSSQL コード実行と情報収集の試行を検出します。 |
| 942200 |
MySQL コメント/スペース難読化インジェクションとバッククォートの終了を検出します |
| 942210 |
チェーンされた SQL インジェクション試行 1/2 を検出します |
| 942220 |
整数オーバーフロー攻撃を探しています。これらは、skipfish から取得されます。ただし、3.0.00738585072007e-308 は "マジック番号" クラッシュであるため除きます |
| 942230 |
条件付き SQL インジェクション試行を検出します |
| 942240 |
MySQL 文字セット スイッチと MSSQL DoS 試行を検出します |
| 942250 |
MATCH AGAINST、MERGE、EXECUTE IMMEDIATE インジェクションを検出します |
| 942260 |
基本的な SQL 認証のバイパスの試行 2/3 を検出します |
| 942270 |
基本的な SQL インジェクションを探しています。 MySQL、Oracle などの一般的な攻撃文字列 |
| 942280 |
Postgres pg_sleepインジェクションを検出し、遅延攻撃とデータベースシャットダウンの試行を待機します |
| 942290 |
基本的な MongoDB SQL インジェクション試行を探します |
| 942300 |
MySQL コメント、条件、および ch(a)r インジェクションを検出します |
| 942310 |
チェーンされた SQL インジェクション試行 2/2 を検出します |
| 942320 |
MySQL および PostgreSQL ストアド プロシージャ/関数インジェクションを検出します |
| 942330 |
従来の SQL インジェクションプローブを検出します 1/3 |
| 942340 |
基本的な SQL 認証のバイパスの試行 3/3 を検出します |
| 942350 |
MySQL UDF インジェクションと、その他のデータ/構造操作試行を検出します |
| 942360 |
連結された基本的な SQL インジェクションと SQLLFI 試行を検出します |
| 942361 |
キーワード alter または union に基づいて基本的な SQL インジェクションを検出します |
| 942370 |
従来の SQL インジェクション プローブ 2/3 を検出します |
| 942380 |
SQL インジェクション攻撃 |
| 942390 |
SQL インジェクション攻撃 |
| 942400 |
SQL インジェクション攻撃 |
| 942410 |
SQL インジェクション攻撃 |
| 942430 |
制限された SQL 文字の異常検出 (引数): 特殊文字数が超過しました (12) |
| 942440 |
SQL コメント シーケンスが検出されました |
| 942450 |
SQL 16 進数エンコードが識別されました |
| 942470 |
SQL インジェクション攻撃 |
| 942480 |
SQL インジェクション攻撃 |
セッション固定
| ルールの ID |
説明 |
| 943100 |
可能性のあるセッション固定攻撃: HTML への Cookie 値の設定 |
| 943110 |
可能性のあるセッション固定攻撃: SessionID パラメーター名とドメイン外参照元 |
| 943120 |
可能性のあるセッション固定攻撃: 参照元のない SessionID パラメーター名 |
Java 攻撃
| ルールの ID |
説明 |
| 944100 |
リモート コマンド実行: 疑わしい Java クラスが検出されました |
| 944110 |
可能性のあるセッション固定攻撃: HTML への Cookie 値の設定 |
| 944120 |
リモート コマンド実行: Java シリアル化 (CVE-2015-5842) |
| 944130 |
疑わしい Java クラスが検出されました |
| 944200 |
マジック バイトが検出されました。Java シリアル化が使用されている可能性があります |
| 944210 |
Base64 でエンコードされたマジック バイトが検出されました。Java シリアル化が使用されている可能性があります |
| 944240 |
リモート コマンド実行: Java シリアル化と Log4j の脆弱性 (CVE-2021-44228、CVE-2021-45046) |
| 944250 |
リモート コマンド実行: 疑わしい Java メソッドが検出されました |
MS-ThreatIntel-WebShells
| ルールの ID |
説明 |
| 99005002 |
Web シェル相互作用の試行 (POST) |
| 99005003 |
Web シェル アップロードの試行 (POST) - CHOPPER PHP |
| 99005004 |
Web シェル アップロードの試行 (POST) - CHOPPER ASPX |
| 99005006 |
Spring4Shell 相互作用の試行 |
MS-ThreatIntel-AppSec
| ルールの ID |
説明 |
| 99030001 |
ヘッダーでのパス トラバーサル回避 (/.././../) |
| 99030002 |
要求本文でのパス トラバーサル回避 (/.././../) |
MS-ThreatIntel-SQLI
| ルールの ID |
説明 |
| 99031001 |
SQL インジェクション攻撃: 一般的なインジェクション テストが検出されました |
| 99031002 |
SQL コメント シーケンスが検出されました |
MS-ThreatIntel-CVEs
| ルールの ID |
説明 |
| 99001001 |
既知の資格情報で F5 tmui (CVE-2020-5902) REST API の悪用が試みられました |
| 99001014 |
Spring Cloud ルーティング式インジェクション CVE-2022-22963 が試みられました |
| 99001015 |
Spring Framework の安全でないクラス オブジェクトの悪用 CVE-2022-22965 が試みられました |
| 99001016 |
Spring Cloud Gateway Actuator インジェクション CVE-2022-22947 が試みられました |
| 99001017 |
Apache Struts ファイル アップロードの悪用が試みられました CVE-2023-50164 |
1.0 ルール セット
プロトコル攻撃
| ルールの ID |
説明 |
| 921110 |
HTTP 要求スマグリング攻撃 |
| 921120 |
HTTP 応答分割攻撃 |
| 921130 |
HTTP 応答分割攻撃 |
| 921140 |
ヘッダーによる HTTP ヘッダー インジェクション攻撃 |
| 921150 |
ペイロードによる HTTP ヘッダー インジェクション攻撃 (CR/LF 検出) |
| 921151 |
ペイロードによる HTTP ヘッダー インジェクション攻撃 (CR/LF 検出) |
| 921160 |
ペイロードによる HTTP ヘッダー インジェクション攻撃 (CR/LF および header-name 検出) |
LFI: ローカル ファイル インクルージョン
| ルールの ID |
説明 |
| 930100 |
パス トラバーサル攻撃 (/../) |
| 930110 |
パス トラバーサル攻撃 (/../) |
| 930120 |
OS ファイル アクセスの試行 |
| 930130 |
制限付きファイル アクセスの試行 |
RFI: リモート ファイル インクルージョン
| ルールの ID |
説明 |
| 931100 |
リモート ファイル インクルード (RFI) 攻撃の可能性あり: IP アドレスを使用している URL パラメーター |
| 931110 |
リモート ファイル インクルード (RFI) 攻撃の可能性あり: URL ペイロードと共に使用される一般的な RFI 脆弱性パラメーター名 |
| 931120 |
リモート ファイル インクルード (RFI) 攻撃の可能性あり: 末尾の疑問符 (?) と共に使用される URL ペイロード |
| 931130 |
可能性のあるリモート ファイル インクルード (RFI) 攻撃: ドメイン外参照/リンク |
RCE: リモート コマンド実行
| ルールの ID |
説明 |
| 932100 |
リモート コマンド実行: UNIX コマンド インジェクション |
| 932105 |
リモート コマンド実行: UNIX コマンド インジェクション |
| 932110 |
リモート コマンド実行: Windows コマンド インジェクション |
| 932115 |
リモート コマンド実行: Windows コマンド インジェクション |
| 932120 |
リモート コマンド実行: Windows PowerShell コマンドが見つかりました |
| 932130 |
リモート コマンド実行: Unix シェル式または Confluence の脆弱性 (CVE-2022-26134) または Text4Shell (CVE-2022-42889) が見つかりました |
| 932140 |
リモート コマンド実行: Windows FOR/IF コマンドが見つかりました |
| 932150 |
リモート コマンド実行: Unix コマンドの直接実行 |
| 932160 |
リモート コマンド実行: Unix シェル コードが見つかりました |
| 932170 |
リモート コマンド実行: Shellshock (CVE-2014-6271) |
| 932171 |
リモート コマンド実行: Shellshock (CVE-2014-6271) |
| 932180 |
制限付きファイル アップロードの試行 |
PHP 攻撃
| ルールの ID |
説明 |
| 933100 |
PHP インジェクション攻撃: 開始または終了タグが見つかりました |
| 933110 |
PHP インジェクション攻撃: PHP スクリプト ファイルのアップロードが見つかりました |
| 933120 |
PHP インジェクション攻撃: 構成ディレクティブが見つかりました |
| 933130 |
PHP インジェクション攻撃: 変数が見つかりました |
| 933140 |
PHP インジェクション攻撃: I/O ストリームが見つかりました |
| 933150 |
PHP インジェクション攻撃: 危険度の高い PHP 関数名が見つかりました |
| 933151 |
PHP インジェクション攻撃: 危険度が中程度の PHP 関数名が見つかりました |
| 933160 |
PHP インジェクション攻撃: 危険度の高い PHP 関数呼び出しが見つかりました |
| 933170 |
PHP インジェクション攻撃: シリアル化されたオブジェクトの挿入 |
| 933180 |
PHP インジェクション攻撃: 関数呼び出しが見つかりました |
XSS: クロスサイト スクリプティング
| ルールの ID |
説明 |
| 941100 |
libinjection を通じて XSS 攻撃が検出されました |
| 941101 |
libinjection を通じて XSS 攻撃が検出されました。
このルールは、 Referer ヘッダーを持つ要求を検出します |
| 941110 |
XSS フィルター - カテゴリ 1: スクリプト タグ ベクター |
| 941120 |
XSS フィルター - カテゴリ 2: イベント ハンドラー ベクター |
| 941130 |
XSS フィルター - カテゴリ 3: 属性ベクター |
| 941140 |
XSS フィルター - カテゴリ 4: JavaScript URI ベクター |
| 941150 |
XSS フィルター - カテゴリ 5: 許可されていない HTML 属性 |
| 941160 |
NoScript XSS InjectionChecker: HTML インジェクション |
| 941170 |
NoScript XSS InjectionChecker: 属性インジェクション |
| 941180 |
ノード検証コントロールのブロックリスト キーワード |
| 941190 |
スタイル シートを使用する XSS |
| 941200 |
VML フレームを使用する XSS |
| 941210 |
IE XSS フィルター - 攻撃の検出または Text4Shell (CVE-2022-42889) |
| 941220 |
難読化 VB Script を使用する XSS |
| 941230 |
embed タグを使用した XSS |
| 941240 |
import または implementation 属性を使用した XSS |
| 941250 |
IE XSS フィルター - 攻撃が検出されました |
| 941260 |
meta タグを使用した XSS |
| 941270 |
link href を使用した XSS |
| 941280 |
base タグを使用した XSS |
| 941290 |
applet タグを使用した XSS |
| 941300 |
object タグを使用した XSS |
| 941310 |
形式に誤りがある US-ASCII エンコード XSS フィルター - 攻撃が検出されました |
| 941320 |
可能性のある XSS 攻撃が検出されました - HTML タグ ハンドラー |
| 941330 |
IE XSS フィルター - 攻撃が検出されました |
| 941340 |
IE XSS フィルター - 攻撃が検出されました |
| 941350 |
UTF-7 エンコード IE XSS - 攻撃が検出されました |
SQLI: SQL インジェクション
| ルールの ID |
説明 |
| 942100 |
libinjection を通じて SQL インジェクション攻撃が検出されました |
| 942110 |
SQL インジェクション攻撃: 一般的なインジェクション テストが検出されました |
| 942120 |
SQL インジェクション攻撃: SQL 演算子が検出されました |
| 942140 |
SQL インジェクション攻撃: 共通 DB 名が検出されました |
| 942150 |
SQL インジェクション攻撃 |
| 942160 |
sleep() または benchmark() を使用してブラインド SQLI テストを検出します |
| 942170 |
条件付きクエリも含めて、SQL ベンチマークとスリープ インジェクション試行を検出します |
| 942180 |
基本的な SQL 認証のバイパスの試行 1/3 を検出します |
| 942190 |
MSSQL コード実行と情報収集の試行を検出します。 |
| 942200 |
MySQL コメント/スペース難読化インジェクションとバッククォートの終了を検出します |
| 942210 |
チェーンされた SQL インジェクション試行 1/2 を検出します |
| 942220 |
整数オーバーフロー攻撃を探しています。これらは、skipfish から取得されます。ただし、3.0.00738585072007e-308 は "マジック番号" クラッシュであるため除きます |
| 942230 |
条件付き SQL インジェクション試行を検出します |
| 942240 |
MySQL 文字セット スイッチと MSSQL DoS 試行を検出します |
| 942250 |
MATCH AGAINST、MERGE、EXECUTE IMMEDIATE インジェクションを検出します |
| 942260 |
基本的な SQL 認証のバイパスの試行 2/3 を検出します |
| 942270 |
基本的な SQL インジェクションを探しています。 MySQL、Oracle などの一般的な攻撃文字列 |
| 942280 |
Postgres pg_sleepインジェクションを検出し、遅延攻撃とデータベースシャットダウンの試行を待機します |
| 942290 |
基本的な MongoDB SQL インジェクション試行を探します |
| 942300 |
MySQL コメント、条件、および ch(a)r インジェクションを検出します |
| 942310 |
チェーンされた SQL インジェクション試行 2/2 を検出します |
| 942320 |
MySQL および PostgreSQL ストアド プロシージャ/関数インジェクションを検出します |
| 942330 |
従来の SQL インジェクション プローブ 1/2 を検出します |
| 942340 |
基本的な SQL 認証のバイパスの試行 3/3 を検出します |
| 942350 |
MySQL UDF インジェクションと、その他のデータ/構造操作試行を検出します |
| 942360 |
連結された基本的な SQL インジェクションと SQLLFI 試行を検出します |
| 942361 |
キーワード alter または union に基づいて基本的な SQL インジェクションを検出します |
| 942370 |
従来の SQL インジェクション プローブ 2/2 を検出します |
| 942380 |
SQL インジェクション攻撃 |
| 942390 |
SQL インジェクション攻撃 |
| 942400 |
SQL インジェクション攻撃 |
| 942410 |
SQL インジェクション攻撃 |
| 942430 |
制限された SQL 文字の異常検出 (引数): 特殊文字数が超過しました (12) |
| 942440 |
SQL コメント シーケンスが検出されました |
| 942450 |
SQL 16 進数エンコードが識別されました |
| 942470 |
SQL インジェクション攻撃 |
| 942480 |
SQL インジェクション攻撃 |
セッション固定
| ルールの ID |
説明 |
| 943100 |
可能性のあるセッション固定攻撃: HTML への Cookie 値の設定 |
| 943110 |
可能性のあるセッション固定攻撃: SessionID パラメーター名とドメイン外参照元 |
| 943120 |
可能性のあるセッション固定攻撃: 参照元のない SessionID パラメーター名 |
Java 攻撃
| ルールの ID |
説明 |
| 944100 |
リモート コマンド実行: Apache Struts、Oracle WebLogic |
| 944110 |
ペイロード実行の可能性を検出します |
| 944120 |
可能性のあるペイロード実行とリモート コマンド実行 |
| 944130 |
不審な Java クラス |
| 944200 |
Java 逆シリアル化 Apache Commons の悪用 |
| 944210 |
Java シリアル化の使用の可能性 |
| 944240 |
リモート コマンド実行: Java シリアル化と Log4j の脆弱性 (CVE-2021-44228、CVE-2021-45046) |
| 944250 |
リモート コマンド実行: 疑わしい Java メソッドが検出されました |
MS-ThreatIntel-WebShells
| ルールの ID |
説明 |
| 99005006 |
Spring4Shell 相互作用の試行 |
MS-ThreatIntel-CVEs
1.0 ルール セット
問題のあるボット
| ルールの ID |
説明 |
| Bot100100 |
脅威インテリジェンスによって検出された悪意のあるボット |
| Bot100200 |
ID を偽った悪意のあるボット |
Bot100100 は、クライアント IP アドレスと X-Forwarded-For ヘッダー内の IP の両方をスキャンします。
問題のないボット
| ルールの ID |
説明 |
| Bot200100 |
検索エンジン クローラー |
| Bot200200 |
未確認の検索エンジン クローラー |
不明なボット
| ルールの ID |
説明 |
| Bot300100 |
未指定の ID |
| Bot300200 |
Web クロールと攻撃のためのツールとフレームワーク |
| Bot300300 |
汎用の HTTP クライアントと SDK |
| Bot300400 |
サービス エージェント |
| Bot300500 |
サイト正常性監視サービス |
| Bot300600 |
脅威インテリジェンスによって検出された不明のボット |
| Bot300700 |
その他のボット |
Bot300600 は、クライアント IP アドレスと X-Forwarded-For ヘッダー内の IP の両方をスキャンします。
1.1 ルール セット
問題のあるボット
| ルールの ID |
説明 |
| Bot100100 |
脅威インテリジェンスによって検出された悪意のあるボット |
| Bot100200 |
ID を偽った悪意のあるボット |
| Bot100300 |
脅威インテリジェンスによって検出されたリスクの高いボット |
Bot100100 は、クライアント IP アドレスと X-Forwarded-For ヘッダー内の IP の両方をスキャンします。
問題のないボット
| ルールの ID |
説明 |
| Bot200100 |
検索エンジン クローラー |
| Bot200200 |
検証済みのその他のボット |
| Bot200300 |
検証済みのリンク チェッカー ボット |
| Bot200400 |
検証済みのソーシャル メディア ボット |
| Bot200500 |
検証済みのコンテンツ フェッチャー |
| Bot200600 |
検証済みのフィード フェッチャー |
| Bot200700 |
検証済みの広告ボット |
不明なボット
| ルールの ID |
説明 |
| Bot300100 |
未指定の ID |
| Bot300200 |
Web クロールと攻撃のためのツールとフレームワーク |
| Bot300300 |
汎用の HTTP クライアントと SDK |
| Bot300400 |
サービス エージェント |
| Bot300500 |
サイト正常性監視サービス |
| Bot300600 |
脅威インテリジェンスによって検出された不明のボット。 この規則には、Tor ネットワークに一致する IP アドレスも含まれます |
| Bot300700 |
その他のボット |
Bot300600 は、クライアント IP アドレスと X-Forwarded-For ヘッダー内の IP の両方をスキャンします。
関連コンテンツ