DRS- och CRS-regelgrupper och regler för webbapplikationsbrandväggen

Den Azure-hanterade standardregeluppsättningen (DRS) i Application Gateway:s webbapplikationsbrandvägg (WAF) skyddar aktivt webbapplikationer från vanliga sårbarheter och attacker. Dessa regeluppsättningar, som hanteras av Azure, tar emot uppdateringar efter behov för att skydda mot nya attacksignaturer. Standardregeluppsättningen innehåller även Microsoft Threat Intelligence Collection-reglerna. Microsoft Intelligence-teamet samarbetar med att skriva dessa regler, säkerställa förbättrad täckning, specifika sårbarhetskorrigeringar och förbättrad falsk positiv minskning.

Du kan inaktivera regler individuellt eller ange specifika åtgärder för varje regel. I den här artikeln visas de aktuella regler och regeluppsättningar som är tillgängliga. Om en publicerad regeluppsättning kräver en uppdatering dokumenterar vi den här.

Standardregeluppsättning 2.1

Standardregeluppsättningen (DRS) 2.1 har baslinje från Open Web Application Security Project (OWASP) Core Rule Set (CRS) 3.3.2 och innehåller ytterligare proprietära skyddsregler som utvecklats av Microsoft Threat Intelligence-teamet och uppdateringar av signaturer för att minska falska positiva identifieringar. Den stöder även transformeringar utöver bara URL-avkodning.

DRS 2.1 erbjuder en ny motor och nya regeluppsättningar som skyddar mot Java-inmatningar, en första uppsättning filuppladdningskontroller och färre falska positiva identifieringar jämfört med CRS-versioner. Du kan också anpassa regler efter dina behov. Läs mer om den nya Azure WAF-motorn.

DRS 2.1 innehåller 17 regelgrupper, enligt följande tabell. Varje grupp innehåller flera regler och du kan anpassa beteendet för enskilda regler, regelgrupper eller hela regeluppsättningar.

Finjusteringsvägledning för DRS 2.1

Använd följande vägledning för att finjustera WAF när du kommer igång med DRS 2.1 på Application Gateway WAF:

Grundläggande regeluppsättningar (CRS) – äldre

Den rekommenderade hanterade regeluppsättningen är standardregeluppsättningen 2.1, som är baserad på Open Web Application Security Project (OWASP) Core Rule Set (CRS) 3.3.2 och innehåller ytterligare skyddsregler som utvecklats av Microsoft Threat Intelligence-teamet och uppdateringar av signaturer för att minska falska positiva resultat. När du skapar en ny WAF-princip bör du använda den senaste rekommenderade regeluppsättningsversionen DRS 2.1. Om du har en befintlig WAF-princip med CRS 3.2 eller CRS 3.1 rekommenderar vi att du uppgraderar till DRS 2.1. Mer information finns i Uppgradera versionen av CRS- eller DRS-regeluppsättningen.

Justering av hanterade regeluppsättningar

Både DRS och CRS är aktiverade som standard i identifieringsläge i dina WAF-principer. Du kan inaktivera eller aktivera enskilda regler i den hanterade regeluppsättningen för att uppfylla dina programkrav. Du kan också ange specifika åtgärder per regel. DRS/CRS stöder block-, logg- och avvikelsepoängsåtgärder. Bot Manager-regeluppsättningen stöder åtgärderna tillåt, blockera och logga.

Ibland kan du behöva utelämna vissa begärandeattribut från en WAF-utvärdering. Ett vanligt exempel är Active Directory-infogade token som används för autentisering. Du kan konfigurera undantag som ska tillämpas när specifika WAF-regler utvärderas eller för att tillämpas globalt på utvärderingen av alla WAF-regler. Undantagsregler gäller för hela webbapplikationen. Mer information finns i Brandvägg för webbaserade program (WAF) med Undantagslistor för Application Gateway.

Som standard använder Azure WAF avvikelsebedömning när en begäran matchar en regel. Dessutom kan du konfigurera anpassade regler i samma WAF-princip om du vill kringgå någon av de förkonfigurerade reglerna i Core Rule Set.

Anpassade regler tillämpas alltid innan regler i Core Rule Set utvärderas. Om en begäran matchar en anpassad regel tillämpas motsvarande regelåtgärd. Begäran blockeras eller skickas till serverdelen. Inga andra anpassade regler eller reglerna i kärnregeluppsättningen bearbetas.

Avvikelsebedömning

När du använder CRS eller DRS 2.1 och senare är din WAF konfigurerad att använda avvikelsebedömning som standard. Trafik som matchar alla regler blockeras inte omedelbart, även när din WAF är i förebyggande läge. I stället definierar OWASP-regeluppsättningarna en allvarlighetsgrad för varje regel: Kritisk, Fel, Varning eller Meddelande. Allvarlighetsgraden påverkar ett numeriskt värde för begäran, som kallas avvikelsepoäng:

Om avvikelsepoängen är 5 eller högre och WAF är i förebyggande läge blockeras begäran. Om avvikelsepoängen är 5 eller högre och WAF är i identifieringsläge loggas begäran men blockeras inte.

En enda kritisk regelmatchning räcker till exempel för att WAF ska blockera en begäran när den är i förebyggande läge, eftersom den övergripande avvikelsepoängen är 5. En varningsregelmatchning ökar dock bara avvikelsepoängen med 3, vilket inte räcker för att blockera trafiken. När en avvikelseregel utlöses visas en "matchad" åtgärd i loggarna. Om avvikelsepoängen är 5 eller högre utlöses en separat regel med åtgärden Blockerad eller Identifierad, beroende på om WAF-principen är i förebyggande eller identifieringsläge. Mer information finns i Läge för avvikelsebedömning.

Paranoianivå

Varje regel tilldelas en specifik Paranoia-nivå (PL). Regler som konfigurerats i Paranoia Level 1 (PL1) är mindre aggressiva och utlöser nästan aldrig en falsk positiv identifiering. De ger baslinjesäkerhet med minimalt behov av finjustering. Regler i PL2 identifierar fler attacker, men de förväntas utlösa falskt positiva larm som bör finjusteras.

Som standard är DRS 2.1- och CRS 3.2-regelversioner förkonfigurerade i Paranoia-nivå 2, inklusive regler som tilldelats i både PL1 och PL2. Om du vill använda WAF exklusivt med PL1 kan du inaktivera alla PL2-regler eller ändra deras åtgärd till "log". PL3 och PL4 stöds för närvarande inte i Azure WAF.

Uppgradera eller ändra regelversion

Om du uppgraderar eller tilldelar en ny regeluppsättningsversion och vill bevara befintliga regel åsidosättningar och undantag rekommenderar vi att du använder PowerShell, CLI, REST API eller en mall för att göra regeluppsättningsversionsändringar. En ny version av en regeluppsättning kan ha nyare regler eller ytterligare regelgrupper, som du kanske vill verifiera på ett säkert sätt. Vi rekommenderar att du verifierar ändringar i en testmiljö, finjusterar om det behövs och sedan distribuerar i en produktionsmiljö. Mer information finns i Uppgradera versionen av CRS- eller DRS-regeluppsättningen

Om du använder Azure-portalen för att tilldela en ny hanterad regeluppsättning till en WAF-princip återställs alla tidigare anpassningar från den befintliga hanterade regeluppsättningen, till exempel regeltillstånd, regelåtgärder och undantag på regelnivå till standardinställningarna för den nya hanterade regeluppsättningen. Anpassade regler, principinställningar och globala undantag påverkas dock inte under tilldelningen av den nya regeluppsättningen. Du måste omdefiniera överskrivningar av regler och validera ändringar innan du distribuerar i en produktionsmiljö.

Bot Manager 1,0

Bot Manager 1.0-regeluppsättningen ger skydd mot skadliga robotar och identifiering av bra robotar. Reglerna ger detaljerad kontroll över robotar som identifierats av WAF genom att kategorisera robottrafik som bra, dåliga eller okända robotar.

Bot Manager 1,1

Bot Manager 1.1-regeluppsättningen är en förbättring av Bot Manager 1.0-regeluppsättningen. Det ger förbättrat skydd mot skadliga robotar och ökar bra robotidentifiering.

Följande regelgrupper och regler är tillgängliga när du använder Brandvägg för webbprogram på Application Gateway.

Nedan visas tidigare Core Rule Set-versioner. Om du använder CRS 3.2, CRS 3.1, CRS 3.0 eller CRS 2.2.9 rekommenderar vi att du uppgraderar till den senaste regeluppsättningsversionen av DRS 2.1. Mer information finns i Uppgradera eller ändra regeluppsättningsversion.

Relaterat innehåll

• Anpassa Web Application Firewall-regler med hjälp av Azure-portalen
• Läs mer om Nätverkssäkerhet i Azure