Compartilhar via

Regras e grupos de regras do DRS do Firewall de Aplicativo Web

O Firewall de Aplicativo Web do Azure no Azure Front Door protege os aplicativos Web contra vulnerabilidades e explorações comuns. Os conjuntos de regras gerenciados pelo Azure oferecem uma maneira fácil de implantar a proteção contra um conjunto comum de ameaças de segurança. Visto que esses conjuntos de regras são gerenciados pelo Azure, as regras são atualizadas conforme necessário para proteção contra novas assinaturas de ataque.

O Conjunto de Regras Padrão (DRS) também inclui as regras da Coleta de Inteligência contra Ameaças da Microsoft que são escritas em parceria com a equipe de Inteligência da Microsoft para fornecer maior cobertura, correções para vulnerabilidades específicas e melhor redução de falsos positivos.

Observação

Quando uma versão do conjunto de regras é alterada em uma Política do WAF, todas as personalizações existentes feitas no seu conjunto de regras serão redefinidas para os padrões do novo conjunto de regras. Veja: Atualizando ou alterando a versão do conjunto de regras.

Conjuntos de regras padrão

O DRS gerenciado pelo Azure inclui regras contra as seguintes categorias de ameaças:

  • Script entre sites
  • Ataques de Java
  • Inclusão de arquivo local
  • Ataque de injeção de PHP
  • Execução de comando remoto
  • Inclusão de arquivo remoto
  • Fixação da sessão
  • Proteção contra injeção de SQL
  • Invasores de protocolo

O número de versão do DRS será incrementado quando novas assinaturas de ataque forem adicionadas ao conjunto de regras.

O DRS é habilitado por padrão no modo de detecção nas políticas de WAF. Você pode desabilitar ou habilitar regras individuais no DRS para atender aos requisitos do aplicativo. Você também pode definir ações específicas por regra. As ações disponíveis são: Permitir, Bloquear, Registrar e Redirecionar.

Às vezes, pode ser necessário omitir determinados atributos de solicitação de uma avaliação do firewall do aplicativo Web (WAF). Um exemplo comum são os tokens inseridos pelo Active Directory que são usados para autenticação. Você pode configurar uma lista de exclusões para uma regra gerenciada, um grupo de regras ou todo o conjunto de regras. Para obter mais informações, confiraListas de exclusão do Firewall de Aplicativo Web do Azure no Azure Front Door.

Por padrão, as versões 2.0 e posteriores do DRS utilizam a pontuação de anomalias quando uma solicitação corresponde a uma regra. As versões do DRS anteriores à versão 2.0 bloqueiam solicitações que disparam as regras. Além disso, as regras personalizadas podem ser personalizadas na mesma política do WAF se você quiser ignorar qualquer uma das regras pré-configuradas no DRS.

As regras personalizadas são sempre aplicadas antes da avaliação das regras no DRS. Se uma solicitação corresponder a uma regra personalizada, a ação de regra correspondente será aplicada. A solicitação é bloqueada ou passada pelo back-end. Nenhuma outra regra personalizada ou as regras no DRS são processadas. Também é possível remover o DRS das suas políticas do WAF.

Regras de coleta de inteligência contra ameaças da Microsoft

As regras de coleta de inteligência contra ameaças da Microsoft são escritas em parceria com a equipe de Inteligência contra Ameaças da Microsoft para fornecer maior cobertura, patches para vulnerabilidades específicas e melhor redução de falsos positivos.

Por padrão, as regras da Coleta de Inteligência contra Ameaças da Microsoft substituem algumas das regras internas do DRS, fazendo com que elas sejam desabilitadas. Por exemplo, a ID da regra 942440, Sequência de Comentários SQL Detectada, foi desabilitada e substituída pela regra 99031002 da Coleta de Inteligência contra Ameaças da Microsoft. A regra substituída reduz o risco de detecções falsas positivas de solicitações legítimas.

Pontuação de anomalias

Quando você usa o DRS 2.0 ou posterior, o WAF usa a pontuação de anomalias. O tráfego que corresponde a qualquer regra não é imediatamente bloqueado, mesmo quando o WAF está no modo de prevenção. Em vez disso, os conjuntos de regras OWASP definem uma gravidade para cada regra: Crítico, Erro, Aviso ou Informativo. A gravidade afeta um valor numérico para a solicitação, que é chamado de pontuação de anomalias: Se uma solicitação acumular uma pontuação de anomalia igual ou superior a 5, o WAF tomará providências em relação à solicitação.

Gravidade da regra Valor que contribuiu para a pontuação de anomalias
Crítico 5
Erro 4
Aviso 3
Informativo 2

Ao configurar o WAF, você pode decidir como o WAF lida com solicitações que excedem o limite de pontuação de anomalias de 5. As três opções de ação de pontuação de anomalia são Bloquear, Registrar ou Redirecionar. A ação de pontuação de anomalia selecionada no momento da configuração é aplicada a todas as solicitações que excedem o limite de pontuação de anomalia.

Por exemplo, se a pontuação de anomalia for igual ou superior a 5 em uma solicitação e o WAF estiver no modo de prevenção com a ação de pontuação de anomalia definida como Bloquear, a solicitação será bloqueada. Se a pontuação de anomalia for 5 ou maior em uma solicitação, e o WAF estiver no modo de detecção, a solicitação será registrada, mas não bloqueada.

Uma correspondência de regra Crítica única é suficiente para que o WAF bloqueie uma solicitação no modo de prevenção com a ação de pontuação de anomalia definida como Bloquear, pois a pontuação geral de anomalia é 5. Entretanto, uma correspondência de regra de Aviso aumenta apenas a pontuação de anomalias em 3, o que não é suficiente para bloquear o tráfego. Quando uma regra de anomalia é disparada, ela mostra uma ação “correspondente” nos logs. Se a pontuação de anomalia for igual ou superior a 5, uma regra separada será disparada com a ação de pontuação da anomalia configurada para o conjunto de regras. A ação de pontuação de anomalia padrão é Bloquear, o que resulta em uma entrada de log com a ação blocked.

Quando o WAF usa uma versão mais antiga do Conjunto de Regras Padrão (antes do DRS 2.0), o WAF é executado no modo tradicional. O tráfego que corresponde a qualquer regra é considerado independentemente de qualquer outra correspondência de regra. No modo tradicional, você não tem visibilidade do conjunto completo de regras que corresponde a uma solicitação específica.

A versão do DRS que você usa também determina quais tipos de conteúdo têm suporte para inspeção do corpo da solicitação. Para obter mais informações, consulte Quais tipos de conteúdo dão suporte ao WAF nas perguntas frequentes.

Nível de paranóia

Cada regra é atribuída em um Nível de Paranoia (PL) específico. As regras configuradas na Paranóia Nível 1 (PL1) são menos agressivas e quase nunca disparam um falso positivo. Eles fornecem segurança básica com necessidade mínima de ajustes finos. As regras em PL2 detectam mais ataques, mas espera-se que disparem falsos positivos, que devem ser ajustados.

Por padrão, o DRS 2.2 é configurado no Nível de Paranóia 1 (PL1) e todas as regras PL2 estão desabilitadas. Para executar o WAF em PL2, você pode habilitar manualmente qualquer ou todas as regras PL2. Para conjuntos de regras anteriores, o DRS 2.1 e o CRS 3.2 incluem regras definidas para o Nível de Paranóia 2, que abrange as regras PL1 e PL2. Se você preferir operar estritamente em PL1, poderá desabilitar regras PL2 específicas ou definir sua ação como Log.

Atualmente, não há suporte para os Níveis de Paranóia 3 e 4 no WAF do Azure.

Atualizando ou alterando a versão do conjunto de regras

Se você estiver atualizando ou atribuindo uma nova versão do conjunto de regras e quiser preservar as substituições e exclusões de regras existentes, é recomendável usar o PowerShell, a CLI, A API REST ou um modelo para fazer alterações na versão do conjunto de regras. Uma nova versão de um conjunto de regras pode ter regras mais recentes, grupos de regras adicionais e pode ter atualizações em assinaturas existentes para reforçar a segurança e reduzir falsos positivos. É recomendável validar as alterações em um ambiente de teste, ajustar se necessário e, em seguida, implantar em um ambiente de produção.

Observação

Se você estiver usando o portal do Azure para atribuir um novo conjunto de regras gerenciado a uma política do WAF, todas as personalizações anteriores do conjunto de regras gerenciado existente, como estado da regra, ações de regra e exclusões de nível de regra, serão redefinidas para os padrões do novo conjunto de regras gerenciado. No entanto, quaisquer regras personalizadas ou configurações de política permanecerão inalteradas durante a atribuição do novo conjunto de regras. Você precisa redefinir exceções de regra e validar modificações antes de implantar em um ambiente de produção.

DRS 2.2

As regras do DRS 2.2 oferecem melhor proteção do que as versões anteriores do DRS. Ele inclui outras regras desenvolvidas pela equipe de Inteligência contra Ameaças da Microsoft e atualizações nas assinaturas para reduzir falsos positivos. Ele também dá suporte a transformações além da decodificação de URL.

O DRS 2.2 inclui 18 grupos de regras, conforme mostrado na tabela a seguir. Cada grupo contém várias regras e você pode personalizar o comportamento das regras individuais, grupos de regras ou de um conjunto de regras inteiro. O DRS 2.2 é baseado no Core Rule Set (CRS) 3.3.4 do Open Web Application Security Project (OWASP) e inclui regras de proteção proprietárias adicionais desenvolvidas pela equipe de Inteligência de Ameaças da Microsoft.

Regras desabilitadas

As regras drs 2.2 configuradas no Nível 2 da Paranóia são desabilitadas por padrão. Você pode deixar o status deles como desativado se quiser manter a política do WAF configurada no Nível de Paranóia 1. Se você quiser aumentar o nível de paranoia da política, poderá alterar com segurança o estado dessas regras para ativado e a ação delas para o modo de registro. Analise o log, faça o ajuste fino necessário e habilite as regras adequadamente. Para obter mais informações, consulte Ajuste do WAF (Firewall de Aplicativo Web) para o Azure Front Door e Nível de paranoia.

Algumas regras OWASP são substituídas por substituições criadas pela Microsoft. As regras originais são desabilitadas por padrão e suas descrições terminam com "(substituído por ...)".

Grupo de regras ruleGroupName Descrição
Geral Geral Grupo geral
IMPOSIÇÃO DE MÉTODO IMPOSIÇÃO DE MÉTODO Métodos de bloqueio (PUT, PATCH)
PROTOCOL-ENFORCEMENT PROTOCOL-ENFORCEMENT Protege contra problemas de protocolo e codificação
PROTOCOLO DE ATAQUE PROTOCOL-ATTACK Protege contra injeção de cabeçalho, solicitações indesejadas e divisão de resposta
APPLICATION-ATTACK-LFI LFI Protege contra ataques de arquivo e caminho
APPLICATION-ATTACK-RFI RFI Protege contra ataques de inclusão de arquivo remoto (RFI)
APPLICATION-ATTACK-RCE RCE Protege novamente contra ataques de execução remota de código
ATAQUE DE APLICAÇÃO PHP PHP Protege contra ataques de injeção de PHP
APPLICATION-ATTACK-NodeJS NODEJS Protege contra ataques de Node JS
Ataque XSS em Aplicativos XSS Protege contra ataques de scripts entre sites
APPLICATION-ATTACK-SQLI SQLI Protege contra ataques de injeção de SQL
APPLICATION-ATTACK-SESSION-FIXATION CORREÇÃO Protege contra ataques de fixação de sessão
APPLICATION-ATTACK-SESSION-JAVA Java Protege contra ataques JAVA
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Protege contra ataques de web shell
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec Protege contra ataques do AppSec
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI Protege contra ataques SQLI
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs Protege contra ataques CVE
MS-ThreatIntel-XSS MS-ThreatIntel-XSS Proteger contra os ataques XSS

DRS 2.1

As regras do DRS 2.1 oferecem uma proteção melhor do que as versões anteriores do DRS. Ele inclui outras regras desenvolvidas pela equipe de Inteligência contra Ameaças da Microsoft e atualizações nas assinaturas para reduzir falsos positivos. Ele também dá suporte a transformações além da decodificação de URL.

O DRS 2.1 inclui 17 grupos de regras, conforme mostrado na tabela a seguir. Cada grupo contém várias regras e você pode personalizar o comportamento das regras individuais, grupos de regras ou de um conjunto de regras inteiro. O DRS 2.1 tem como base o Conjunto de Regras Básicas (CRS) 3.3.2 do Open Web Application Security Project (OWASP) e inclui regras de proteção proprietárias adicionais desenvolvidas pela equipe de Inteligência de Ameaças da Microsoft.

Para obter mais informações, confira Ajustando o WAF (Firewall de Aplicativo Web) no Azure Front Door.

Observação

O DRS 2.1 só está disponível no Azure Front Door Premium.

Grupo de regras ruleGroupName Descrição
Geral Geral Grupo geral
IMPOSIÇÃO DE MÉTODO IMPOSIÇÃO DE MÉTODO Métodos de bloqueio (PUT, PATCH)
PROTOCOL-ENFORCEMENT PROTOCOL-ENFORCEMENT Protege contra problemas de protocolo e codificação
PROTOCOLO DE ATAQUE PROTOCOL-ATTACK Protege contra injeção de cabeçalho, solicitações indesejadas e divisão de resposta
APPLICATION-ATTACK-LFI LFI Protege contra ataques de arquivo e caminho
APPLICATION-ATTACK-RFI RFI Protege contra ataques de inclusão de arquivo remoto (RFI)
APPLICATION-ATTACK-RCE RCE Protege novamente contra ataques de execução remota de código
ATAQUE DE APLICAÇÃO PHP PHP Protege contra ataques de injeção de PHP
APPLICATION-ATTACK-NodeJS NODEJS Protege contra ataques de Node JS
Ataque XSS em Aplicativos XSS Protege contra ataques de scripts entre sites
APPLICATION-ATTACK-SQLI SQLI Protege contra ataques de injeção de SQL
APPLICATION-ATTACK-SESSION-FIXATION CORREÇÃO Protege contra ataques de fixação de sessão
APPLICATION-ATTACK-SESSION-JAVA Java Protege contra ataques JAVA
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Protege contra ataques de web shell
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec Protege contra ataques do AppSec
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI Protege contra ataques SQLI
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs Protege contra ataques CVE

Regras desabilitadas

As regras a seguir estão desabilitadas por padrão no DRS 2.1.

ID da regra Grupo de regras Descrição Detalhes
942110 SQLI Ataque de injeção de SQL: teste de injeção comum detectado Substituído pela regra 99031001 da MSTIC
942.150 SQLI Ataque de injeção de SQL Substituído pela regra 99031003 da MSTIC
942.260 SQLI Detecta tentativas básicas de bypass de autenticação SQL 2/3 Substituído pela regra 99031004 da MSTIC
942430 SQLI Detecção restrita de anomalias de caracteres SQL (args): # de caracteres especiais excedidos (12) Muitos falsos positivos
942440 SQLI Sequência de comentários SQL detectada Substituído pela regra 99031002 da MSTIC
99005006 MS-ThreatIntel-WebShells Tentativa de interação do Spring4Shell Habilitar a regra para evitar a vulnerabilidade do SpringShell
99001014 MS-ThreatIntel-CVEs Tentativa de injeção de expressão de roteamento do Spring Cloud CVE-2022-22963 Habilitar a regra para evitar a vulnerabilidade do SpringShell
99001015 MS-ThreatIntel-WebShells Tentativa de exploração de objeto de classe não segura do Spring Framework CVE-2022-22965 Habilitar a regra para evitar a vulnerabilidade do SpringShell
99001016 MS-ThreatIntel-WebShells Tentativa de injeção do Actuator do Spring Cloud Gateway CVE-2022-22947 Habilitar a regra para evitar a vulnerabilidade do SpringShell
99.001.017 MS-ThreatIntel-CVEs Tentativa de exploração de upload de arquivo do Apache Struts CVE-2023-50164 Habilitar a regra para evitar a vulnerabilidade do Apache Struts

DRS 2.0

As regras do DRS 2.0 oferecem uma proteção maior do que as versões anteriores do DRS. O DRS 2.0 também dá suporte a transformações que vão além da decodificação de URL.

O DRS 2.0 inclui 17 grupos de regras, conforme mostrado na tabela a seguir. Cada grupo contém várias regras. Você pode desabilitar regras individuais e grupos de regras inteiros.

Observação

O DRS 2.0 só está disponível no Azure Front Door Premium.

Grupo de regras ruleGroupName Descrição
Geral Geral Grupo geral
IMPOSIÇÃO DE MÉTODO IMPOSIÇÃO DE MÉTODO Métodos de bloqueio (PUT, PATCH)
PROTOCOL-ENFORCEMENT PROTOCOL-ENFORCEMENT Protege contra problemas de protocolo e codificação
PROTOCOLO DE ATAQUE PROTOCOL-ATTACK Protege contra injeção de cabeçalho, solicitações indesejadas e divisão de resposta
APPLICATION-ATTACK-LFI LFI Protege contra ataques de arquivo e caminho
APPLICATION-ATTACK-RFI RFI Protege contra ataques de inclusão de arquivo remoto (RFI)
APPLICATION-ATTACK-RCE RCE Protege novamente contra ataques de execução remota de código
ATAQUE DE APLICAÇÃO PHP PHP Protege contra ataques de injeção de PHP
APPLICATION-ATTACK-NodeJS NODEJS Protege contra ataques de Node JS
Ataque XSS em Aplicativos XSS Protege contra ataques de scripts entre sites
APPLICATION-ATTACK-SQLI SQLI Protege contra ataques de injeção de SQL
APPLICATION-ATTACK-SESSION-FIXATION CORREÇÃO Protege contra ataques de fixação de sessão
APPLICATION-ATTACK-SESSION-JAVA Java Protege contra ataques JAVA
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Protege contra ataques de web shell
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec Protege contra ataques do AppSec
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI Protege contra ataques SQLI
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs Protege contra ataques CVE

DRS 1.1

Grupo de regras ruleGroupName Descrição
PROTOCOLO DE ATAQUE PROTOCOL-ATTACK Protege contra injeção de cabeçalho, solicitações indesejadas e divisão de resposta
APPLICATION-ATTACK-LFI LFI Protege contra ataques de arquivo e caminho
APPLICATION-ATTACK-RFI RFI Protege contra ataques de inclusão de arquivo remoto
APPLICATION-ATTACK-RCE RCE Protege contra execução remota de comando
ATAQUE DE APLICAÇÃO PHP PHP Protege contra ataques de injeção de PHP
Ataque XSS em Aplicativos XSS Protege contra ataques de scripts entre sites
APPLICATION-ATTACK-SQLI SQLI Protege contra ataques de injeção de SQL
APPLICATION-ATTACK-SESSION-FIXATION CORREÇÃO Protege contra ataques de fixação de sessão
APPLICATION-ATTACK-SESSION-JAVA Java Protege contra ataques JAVA
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Protege contra ataques de web shell
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec Protege contra ataques do AppSec
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI Protege contra ataques SQLI
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs Protege contra ataques CVE

DRS 1.0

Grupo de regras ruleGroupName Descrição
PROTOCOLO DE ATAQUE PROTOCOL-ATTACK Protege contra injeção de cabeçalho, solicitações indesejadas e divisão de resposta
APPLICATION-ATTACK-LFI LFI Protege contra ataques de arquivo e caminho
APPLICATION-ATTACK-RFI RFI Protege contra ataques de inclusão de arquivo remoto
APPLICATION-ATTACK-RCE RCE Protege contra execução remota de comando
ATAQUE DE APLICAÇÃO PHP PHP Protege contra ataques de injeção de PHP
Ataque XSS em Aplicativos XSS Protege contra ataques de scripts entre sites
APPLICATION-ATTACK-SQLI SQLI Protege contra ataques de injeção de SQL
APPLICATION-ATTACK-SESSION-FIXATION CORREÇÃO Protege contra ataques de fixação de sessão
APPLICATION-ATTACK-SESSION-JAVA Java Protege contra ataques JAVA
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Protege contra ataques de web shell
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs Protege contra ataques CVE

Gerenciador de Bot 1.0

O conjunto de regras do Bot Manager 1.0 fornece proteção contra bots mal-intencionados e detecção de bots bem-intencionados. As regras fornecem controle granular sobre bots detectados pelo WAF, categorizando o tráfego de bots como bots Bem-intencionados, Mal-intencionados ou Desconhecidos.

Grupo de regras Descrição
BadBots Protege contra bots inválidos
GoodBots Identifica bots válidos
UnknownBots Identifica bots desconhecidos

Gerenciador de Bot 1.1

O conjunto de regras do Bot Manager 1.1 é um aprimoramento do conjunto de regras do Bot Manager 1.0. Ele fornece proteção aprimorada contra bots mal-intencionados e aumenta a detecção de bots bem-intencionados.

Grupo de regras Descrição
BadBots Protege contra bots inválidos
GoodBots Identifica bots válidos
UnknownBots Identifica bots desconhecidos

As regras e os grupos de regras a seguir estão disponíveis ao usar o Firewall de Aplicativo Web do Azure no Azure Front Door.

Conjuntos de regras 2.2

Geral

ID da regra Severidade da pontuação de anomalias Nível de paranóia Descrição
200.002 Crítico - 5 1 Falha ao analisar o corpo da solicitação.
200003 Crítico - 5 1 Falha na validação estrita do corpo da solicitação de várias partes

Imposição do método

ID da regra Severidade da pontuação de anomalias Nível de paranóia Descrição
911.100 Crítico - 5 1 O método não é permitido pela política

Imposição de protocolo

ID da regra Severidade da pontuação de anomalias Nível de paranóia Descrição
920100 Aviso - 2 1 Linha de solicitação de HTTP inválida
920120 Crítico - 5 1 Tentativa de bypass de dados de várias partes/formulário
920121 Crítico - 5 2 Tentativa de bypass de dados de várias partes/formulário
920160 Crítico - 5 1 O cabeçalho HTTP Content-Length não é numérico.
920170 Crítico - 5 1 Solicitação GET ou HEAD com conteúdo no corpo.
920171 Crítico - 5 1 Solicitação GET ou HEAD com codificação de transferência.
920180 Aviso - 2 1 POST sem os cabeçalhos Content-Length ou Transfer-Encoding.
920181 Aviso - 3 1 Cabeçalhos Content-Length e Transfer-Encoding presentes
920190 Aviso - 3 1 Intervalo: último valor de byte inválido.
920200 Aviso - 3 2 Intervalo: excesso de campos (seis ou mais)
920201 Aviso - 3 2 Intervalo: muitos campos para solicitação de pdf (63 ou mais)
920210 Aviso - 3 1 Dados de cabeçalhos de conexão múltiplos ou conflitantes encontrados.
920220 Aviso - 3 1 Tentativa de ataque de abuso de codificação de URL
920230 Aviso - 3 2 Várias codificações de URL detectadas
920240 Aviso - 3 1 Tentativa de ataque de abuso de codificação de URL
920260 Aviso - 3 1 Tentativa de ataque de abuso de meia largura/largura total
920270 Crítico - 5 1 Caractere inválido na solicitação (caractere nulo)
920271 Crítico - 5 2 Caractere inválido na solicitação (caracteres não imprimíveis)
920280 Aviso - 3 1 Solicitação com cabeçalho de host ausente
920290 Aviso - 3 1 Cabeçalho de host vazio
920300 Aviso - 2 2 Falta cabeçalho de aceitação da solicitação
920310 Aviso - 2 1 A solicitação tem cabeçalho de aceitação vazio
920311 Aviso - 2 1 A solicitação tem cabeçalho de aceitação vazio
920320 Aviso - 2 2 Cabeçalho do agente de usuário ausente
920330 Aviso - 2 1 Cabeçalho do agente do usuário vazio
920340 Aviso - 2 1 A solicitação tem conteúdo, mas o cabeçalho Content-Type está ausente
920341 Crítico - 5 2 A solicitação tem conteúdo, mas o cabeçalho Content-Type está ausente
920350 Aviso - 3 1 O cabeçalho de host é um endereço IP numérico
920420 Crítico - 5 2 O tipo de conteúdo de solicitação não é permitido pela política
920430 Crítico - 5 1 A versão do protocolo HTTP não é permitida pela política
920440 Crítico - 5 1 A extensão de arquivo da URL é restrita pela política
920450 Crítico - 5 1 O cabeçalho HTTP é restrita pela política
920470 Crítico - 5 1 Cabeçalho de tipo de conteúdo ilegal
920480 Crítico - 5 1 O charset do tipo de conteúdo da solicitação não é permitido pela política
920500 Crítico - 5 1 Tentativa de acessar um arquivo de backup ou de trabalho
920530 Crítico - 5 1 Restringir o parâmetro de conjunto de caracteres dentro do cabeçalho do tipo de conteúdo para ocorrer no máximo uma vez
920620 Crítico - 5 1 Vários cabeçalhos de solicitação de tipo de conteúdo

Ataque de protocolo

ID da regra Severidade da pontuação de anomalias Nível de paranóia Descrição
921110 Crítico - 5 1 Ataque de solicitação HTTP indesejada
921120 Crítico - 5 1 Ataque de divisão de resposta HTTP
921130 Crítico - 5 1 Ataque de divisão de resposta HTTP
921140 Crítico - 5 1 Ataque de injeção de cabeçalho HTTP por meio de cabeçalhos
921150 Crítico - 5 1 Ataque de injeção de cabeçalho HTTP por meio de conteúdo (CR/LF detectado)
921151 Crítico - 5 2 Ataque de injeção de cabeçalho HTTP por meio de conteúdo (CR/LF detectado)
921160 Crítico - 5 1 Ataque de injeção de cabeçalho HTTP por meio de conteúdo (CR/LF e header-name detectado)
921190 Crítico - 5 1 Divisão de HTTP (CR/LF no nome do arquivo de solicitação detectado)
921.200 Crítico - 5 1 Ataques de injeção de LDAP
921422 Crítico - 5 2 Detectar tipos de conteúdo no cabeçalho Content-Type fora da declaração de tipo de conteúdo real

LFI: inclusão de arquivo local

ID da regra Severidade da pontuação de anomalias Nível de paranóia Descrição
930100 Crítico - 5 1 Ataques de percurso de caminho (/../)
930110 Crítico - 5 1 Ataques de percurso de caminho (/../)
930120 Crítico - 5 1 Tentativa de acesso ao arquivo do sistema operacional
930130 Crítico - 5 1 Tentativa de acesso a arquivo restrito

RFI: inclusão de arquivo remoto

ID da regra Severidade da pontuação de anomalias Nível de paranóia Descrição
931100 Crítico - 5 2 Possível ataque de RFI (inclusão de arquivo remoto): parâmetro de URL usando endereço IP
931110 Crítico - 5 1 Possível ataque de RFI (inclusão de arquivo remoto): nome de parâmetro vulnerável de RFI comum usado com carga de URL
931.120 Crítico - 5 1 Possível ataque de RFI (inclusão de arquivo remoto): carga de URL usada com o caractere de ponto de interrogação à direita (?)
931.130 Crítico - 5 2 Possível ataque de RFI (inclusão de arquivo remoto): referência/link fora do domínio

RCE: execução de comando remoto

ID da regra Severidade da pontuação de anomalias Nível de paranóia Descrição
932100 Crítico - 5 1 Execução de comando remoto: injeção de comando Unix
932105 Crítico - 5 1 Execução de comando remoto: injeção de comando Unix
932110 Crítico - 5 1 Execução de comando remoto: injeção de comando Windows
932115 Crítico - 5 1 Execução de comando remoto: injeção de comando Windows
932120 Crítico - 5 1 Execução remota de comando: comando do Windows PowerShell encontrado
932130 Crítico - 5 1 Execução de comando remoto: vulnerabilidade de confluência ou expressão do shell do Unix (CVE-2022-26134) encontrada
932140 Crítico - 5 1 Execução remota de comando: comando Windows FOR/IF encontrado
932150 Crítico - 5 1 Execução de comando remoto: execução direta de comando Unix
932160 Crítico - 5 1 Execução remota de comando: código shell do Unix encontrado
932170 Crítico - 5 1 Execução remota de comando: shellshock (CVE-2014-6271)
932171 Crítico - 5 1 Execução remota de comando: shellshock (CVE-2014-6271)
932180 Crítico - 5 1 Tentativa de carregamento de arquivo restrito

Ataques de PHP

ID da regra Severidade da pontuação de anomalias Nível de paranóia Descrição
933100 Crítico - 5 1 Ataque de injeção de PHP: marca de abertura de PHP encontrada
933110 Crítico - 5 1 Ataque de injeção de PHP: carregamento de arquivo de script PHP encontrado
933120 Crítico - 5 1 Ataque de injeção de PHP: diretiva de configuração encontrada
933130 Crítico - 5 1 Ataque de injeção de PHP: variáveis encontradas
933140 Crítico - 5 1 Ataque de injeção de PHP: fluxo de E/S encontrado
933150 Crítico - 5 1 Ataque de injeção de PHP: nome da função PHP de alto risco encontrado
933151 Crítico - 5 2 Ataque de injeção de PHP: nome de função PHP de médio risco encontrado
933160 Crítico - 5 1 Ataque de injeção de PHP: chamada de função PHP de alto risco encontrada
933170 Crítico - 5 1 Ataque de injeção de PHP: injeção de objeto serializado
933180 Crítico - 5 1 Ataque de injeção de PHP: chamada de função de variável encontrada
933200 Crítico - 5 1 Ataque de injeção de PHP: esquema de wrapper detectado
933210 Crítico - 5 1 Ataque de injeção de PHP: chamada de função de variável encontrada

Ataques de Node JS

ID da regra Severidade da pontuação de anomalias Nível de paranóia Descrição
934100 Crítico - 5 1 Ataque de injeção Node.js

XSS: cross-site scripting

ID da regra Severidade da pontuação de anomalias Nível de paranóia Descrição
941100 Crítico - 5 1 Ataque de XSS detectado via libinjection
941101 Crítico - 5 2 Ataque de XSS detectado via libinjection
941110 Crítico - 5 1 Filtro XSS – Categoria 1: vetor de marca de script
941.120 Crítico - 5 2 Filtro XSS – Categoria 2: vetor de manipulador de eventos
941.130 Crítico - 5 1 Filtro XSS – Categoria 3: vetor de atributo
941.140 Crítico - 5 1 Filtro XSS – Categoria 4: Vetor de URI Javascript
941150 Crítico - 5 2 Filtro XSS – Categoria 5: atributos HTML não permitidos
941.160 Crítico - 5 1 NoScript XSS InjectionChecker: injeção de HTML
941.170 Crítico - 5 1 NoScript XSS InjectionChecker: injeção de atributo
941.180 Crítico - 5 1 Palavras-chave da lista negra do validador de nós
941.190 Crítico - 5 1 Filtros XSS do IE – Ataque detectado.
941200 Crítico - 5 1 Filtros XSS do IE – Ataque detectado.
941210 Crítico - 5 1 Filtros XSS do IE – Ataque detectado.
941.220 Crítico - 5 1 Filtros XSS do IE – Ataque detectado.
941.230 Crítico - 5 1 Filtros XSS do IE – Ataque detectado.
941.240 Crítico - 5 1 Filtros XSS do IE – Ataque detectado.
941250 Crítico - 5 1 Filtros XSS do IE – Ataque detectado.
941260 Crítico - 5 1 Filtros XSS do IE – Ataque detectado.
941.270 Crítico - 5 1 Filtros XSS do IE – Ataque detectado.
941.280 Crítico - 5 1 Filtros XSS do IE – Ataque detectado.
941290 Crítico - 5 1 Filtros XSS do IE – Ataque detectado.
941.300 Crítico - 5 1 Filtros XSS do IE – Ataque detectado.
941310 Crítico - 5 1 Filtro XSS de codificação mal feita US-ASCII - ataque detectado.
941.320 Crítico - 5 2 Possível ataque XSS detectado - manipulador de marcação HTML
941.330 Crítico - 5 2 Filtros XSS do IE – Ataque detectado.
941340 Crítico - 5 2 Filtros XSS do IE – Ataque detectado.
941350 Crítico - 5 1 Codificação UTF-7 IE XSS - ataque detectado.
941360 Crítico - 5 1 Ofuscação por JSFuck/Hieroglyphy detectada
941370 Crítico - 5 1 Variável global de JavaScript encontrada
941380 Crítico - 5 2 Injeção de modelo detectada no lado do cliente do AngularJS

SQLI: injeção de SQL

ID da regra Severidade da pontuação de anomalias Nível de paranóia Descrição
942100 Crítico - 5 1 Ataque de injeção de SQL detectado via libinjection
942110 Aviso - 3 2 Ataque de injeção de SQL: teste de injeção comum detectado
942.120 Crítico - 5 2 Ataque de injeção de SQL: operador SQL detectado
942140 Crítico - 5 1 Ataque de injeção de SQL: nomes comuns de banco de dados detectados
942.150 Crítico - 5 2 Ataque de injeção de SQL (substituído pela regra #99031003)
942.160 Crítico - 5 1 Detecta testes sqli cegos usando sleep() ou benchmark().
942170 Crítico - 5 1 Detecta tentativas de injeção de sleep e benchmark SQL, incluindo consultas condicionais
942.180 Crítico - 5 2 Detecta tentativas básicas de bypass de autenticação SQL 1/3
942.190 Crítico - 5 1 Detecta tentativas de coleta de informações e de execução do código MSSQL
942.200 Crítico - 5 2 Detecta injeções de comment-/space-obfuscated e o encerramento de backticks do MySQL
942.210 Crítico - 5 2 Detecta tentativas encadeadas de injeção de SQL 1/2
942.220 Crítico - 5 1 Procurando ataques de estouro de inteiros, que são retirados do skipfish, exceto 3.0.00738585072007e-308, que é o "número mágico" de falha
942.230 Crítico - 5 1 Detecta tentativas de injeção de SQL condicionais
942.240 Crítico - 5 1 Detecta a troca de conjunto de caracteres MySQL e tentativas de DoS MSSQL
942.250 Crítico - 5 1 Detecta injeções de MATCH AGAINST, MERGE e EXECUTE IMMEDIATE
942.260 Crítico - 5 2 Detecta tentativas básicas de bypass de autenticação SQL 2/3 (substituídas pela regra #99031004)
942.270 Crítico - 5 1 Procurando injeção de sql básica. Cadeia de caracteres de ataque comum para mysql, oracle e outros.
942.280 Crítico - 5 1 Detecta injeção de pg_sleep de do Postgres, ataques de atraso waitfor e tentativas de desligamento de banco de dados
942.290 Crítico - 5 1 Localiza tentativas de injeção de SQL MongoDB básica
942.300 Crítico - 5 2 Detecta comentários, condições e injeções ch(a)r do MySQL
942310 Crítico - 5 2 Detecta tentativas encadeadas de injeção de SQL 2/2
942.320 Crítico - 5 1 Detecta injeções de função/procedimento armazenado em MySQL e PostgreSQL
942.330 Crítico - 5 2 Detecta investigações de injeção de SQL clássicas 1/3
942.340 Crítico - 5 2 Detecta tentativas básicas de bypass de autenticação SQL 3/3 (substituídas pela regra #99031006)
942350 Crítico - 5 1 Detecta injeção de UDF MySQL e outras tentativas de manipulação de dados/estrutura
942360 Crítico - 5 1 Detecta injeções de SQL básicas concatenadas e tentativas de SQLLFI
942.361 Crítico - 5 2 Detecta a injeção de SQL básica com base na alteração ou união de palavra-chave
942.370 Crítico - 5 2 Detecta investigações de injeção SQL clássicas 2/3
942.380 Crítico - 5 2 Ataque de injeção de SQL
942.390 Crítico - 5 2 Ataque de injeção de SQL
942.400 Crítico - 5 2 Ataque de injeção de SQL
942410 Crítico - 5 2 Ataque de injeção de SQL
942430 Aviso - 3 2 Detecção restrita de anomalias de caractere SQL (args): # de caracteres especiais excedidos (12) (substituídos pela regra #99031005)
942440 Crítico - 5 2 Sequência de comentários SQL detectada (substituída pela regra #99031002).
942450 Crítico - 5 2 Codificação hexadecimal de SQL identificada
942470 Crítico - 5 2 Ataque de injeção de SQL
942480 Crítico - 5 2 Ataque de injeção de SQL
942500 Crítico - 5 1 Comentário em linha do MySQL detectado.
942.510 Crítico - 5 2 Tentativa de bypass de SQLi por ticks ou backticks detectada.

Fixação da sessão

ID da regra Severidade da pontuação de anomalias Nível de paranóia Descrição
943100 Crítico - 5 1 Possível ataque de fixação de sessão: definindo valores de cookie em HTML
943110 Crítico - 5 1 Possível ataque de fixação da sessão: nome do parâmetro de SessionID com referenciador fora do domínio
943120 Crítico - 5 1 Possível ataque de fixação da sessão: nome do parâmetro de SessionID sem referenciador

Ataques de Java

ID da regra Severidade da pontuação de anomalias Nível de paranóia Descrição
944.100 Crítico - 5 1 Execução remota de comando: classe Java suspeita detectada
944.110 Crítico - 5 1 Execução remota de comando: inicialização de processo Java (CVE-2017-9805)
944.120 Crítico - 5 1 Execução remota de comando: serialização Java (CVE-2015-5842)
944.130 Crítico - 5 1 Classe Java suspeita detectada
944200 Crítico - 5 2 Bytes mágicos detectados, provável serialização Java em uso
944.210 Crítico - 5 2 Bytes mágicos detectados codificados em Base64, provável serialização de Java em uso.
944.240 Crítico - 5 2 Execução remota de comando: serialização java e vulnerabilidade Log4j (CVE-2021-44228, CVE-2021-45046)
944250 Crítico - 5 2 Execução remota de comando: método Java suspeito detectado

MS-ThreatIntel-WebShells

ID da regra Severidade da pontuação de anomalias Nível de paranóia Descrição
99005002 Crítico - 5 2 Tentativa de interação de web shell (POST)
99005003 Crítico - 5 2 Tentativa de upload de web shell (POST) - CHOPPER PHP
99005004 Crítico - 5 2 Tentativa de upload de web shell (POST) - CHOPPER ASPX
99005005 Crítico - 5 2 Tentativa de interação de web shell
99005006 Crítico - 5 2 Tentativa de interação do Spring4Shell

MS-ThreatIntel-AppSec

ID da regra Severidade da pontuação de anomalias Nível de paranóia Descrição
99030001 Crítico - 5 2 Evasão de percurso de caminho em cabeçalhos (/.././../)
99030002 Crítico - 5 2 Evasão de percurso de caminho no corpo da solicitação (/.././../)
99030003 Crítico - 5 2 Caminho do arquivo codificado em URL
99030004 Crítico - 5 2 Codificação brotli ausente do navegador compatível com referenciador https
99030005 Crítico - 5 2 Codificação Brotli ausente do navegador que oferece suporte no HTTP/2
99030006 Crítico - 5 2 Caractere ilegal no nome de arquivo solicitado

MS-ThreatIntel-SQLI

ID da regra Severidade da pontuação de anomalias Nível de paranóia Descrição
99.031.001 Aviso - 3 2 Ataque de injeção de SQL: teste de injeção comum detectado (substituindo a regra # 942110)
99.031.002 Crítico - 5 2 Sequência de comentários SQL detectada (substituindo a regra nº 942440).
99.031.003 Crítico - 5 2 Ataque de injeção de SQL (substituindo a regra nº 942150)
99031004 Crítico - 5 2 Detecta tentativas básicas de desvio de autenticação SQL 2/3 (substituindo a regra número 942260)
99031005 Aviso - 3 2 Detecção restrita de anomalias de caractere SQL (args): # de caracteres especiais excedidos (12) (substituindo a regra #942430)
99031006 Crítico - 5 2 Detecta tentativas básicas de contornar a autenticação SQL 3/3 (substituindo a regra nº 942340)

MS-ThreatIntel-CVEs

ID da regra Severidade da pontuação de anomalias Nível de paranóia Descrição
99001001 Crítico - 5 2 Tentativa de exploração da API REST de F5 tmui (CVE-2020-5902) com credenciais conhecidas
99001002 Crítico - 5 2 Tentativa de travessia de diretório do Citrix NSC_USER CVE-2019-19781
99001003 Crítico - 5 2 Tentativa de exploração do conector de widget do Atlassian Confluence CVE-2019-3396
99001004 Crítico - 5 2 Tentativa de exploração de modelo personalizado do Pulse Secure CVE-2020-8243
99001005 Crítico - 5 2 Tentativa de exploração do conversor de tipo do SharePoint CVE-2020-0932
99001006 Crítico - 5 2 Tentativa de passagem de diretório do Pulse Connect CVE-2019-11510
99001007 Crítico - 5 2 Tentativa de inclusão do arquivo local do J-Web do Junos OS CVE-2020-1631
99001008 Crítico - 5 2 Tentativa de passagem de caminho do Fortinet CVE-2018-13379
99001009 Crítico - 5 2 Tentativa de injeção de ognl do Apache Struts CVE-2017-5638
99001010 Crítico - 5 2 Tentativa de injeção de ognl do Apache Struts CVE-2017-12611
99001011 Crítico - 5 2 Tentativa de travessia de caminho do Oracle WebLogic CVE-2020-14882
99.001.012 Crítico - 5 2 Tentativa de exploração de desserialização não segura da WebUI do Telerik CVE-2019-18935
99.001.013 Crítico - 5 2 Tentativa de desserialização de XML não segura do SharePoint CVE-2019-0604
99001014 Crítico - 5 2 Tentativa de injeção de expressão de roteamento do Spring Cloud CVE-2022-22963
99001015 Crítico - 5 2 Tentativa de exploração de objeto de classe não segura do Spring Framework CVE-2022-22965
99001016 Crítico - 5 2 Tentativa de injeção do Actuator do Spring Cloud Gateway CVE-2022-22947
99.001.017 Crítico - 5 2 Tentativa de exploração de upload de arquivo do Apache Struts CVE-2023-50164

MS-ThreatIntel-XSS

ID da regra Severidade da pontuação de anomalias Nível de paranóia Descrição
99032001 Crítico - 5 1 Filtro XSS – Categoria 2: Vetor do Manipulador de Eventos (substituindo a regra nº 941120)
99032002 Crítico - 5 2 Possível ataque de inclusão de arquivo remoto (RFI): referência/ligação para domínio externo (substituindo a regra nº 931130)

Observação

  • Ao revisar os logs do WAF, você poderá ver a ID da regra 949110. A descrição da regra pode incluir a Pontuação de Anomalias de Entrada Excedida. Essa regra indica que a pontuação total de anomalias para a solicitação excedeu a máxima permitida. Para obter mais informações, confira Pontuação de anomalias.

  • Ao ajustar as políticas do WAF, você precisa investigar as outras regras que foram disparadas pela solicitação para que seja possível ajustar a configuração do WAF. Para obter mais informações, confira Ajuste do Firewall de Aplicativo Web do Azure para o Azure Front Door.

Conteúdo relacionado

  • Last updated on