ベースラインルールグループ

ベースラインマネージドルールグループは、さまざまな一般的な脅威に対する一般的な保護を提供します。これらのルールグループを 1 つ以上選択して、リソースのベースライン保護を確立します。

コアルールセット (CRS) マネージドルールグループ

VendorName: AWS、名前: AWSManagedRulesCommonRuleSet、WCU: 700

注記

このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、の変更ログで報告されますAWS マネージドルールの変更ログ。他のバージョンの詳細については、 API コマンド DescribeManagedRuleGroup を使用します。

AWS マネージドルールのルールグループでルール用に公開する情報は、不正なアクターにルールを回避するために必要なものを与えることなく、ルールを使用するために必要なものを提供することを目的としています。

ここに記載されている情報よりも詳細な情報が必要な場合は、 AWS Support センターにお問い合わせください。

コアルールセット (CRS) ルールグループには、ウェブアプリケーションに一般的に適用可能なルールが含まれています。これにより、OWASP Top 10 などの OWASP の出版物に記載されている、リスクが高く一般的に発生するいくつかの脆弱性を含む、さまざまな脆弱性の悪用に対する保護が提供されます。このルールグループを AWS WAF ユースケースに使用することを検討してください。

このマネージドルールグループは、評価対象のウェブリクエストにウェブ ACL 内のこのルールグループの後に実行されるルールでも使用できるラベルを追加します。 AWS WAF は、Amazon CloudWatch メトリクスにもラベルを記録します。ラベルとラベルメトリクスに関する一般的な情報については、「ウェブリクエストのラベル付け」および「ラベルメトリクスとディメンション」を参照してください。

ルール名	説明とラベル
`NoUserAgent_HEADER`	HTTP `User-Agent` ヘッダーが欠落しているリクエストを検査します。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:NoUserAgent_Header`
`UserAgent_BadBots_HEADER`	リクエストが不正なボットであることを示す一般的な `User-Agent` ヘッダー値を検査します。パターンの例には、`nessus`、`nmap` などがあります。ボット管理については、「AWS WAF Bot Control ルールグループ」も参照してください。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:BadBots_Header`
`SizeRestrictions_QUERYSTRING`	2,048 バイトを超える URI クエリ文字列を検査します。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:SizeRestrictions_QueryString`
`SizeRestrictions_Cookie_HEADER`	10,240 バイトを超える cookie ヘッダーを検査します。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:SizeRestrictions_Cookie_Header`
`SizeRestrictions_BODY`	8 KB (8,192 バイト) を超えるリクエストボディを検査します。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:SizeRestrictions_Body`
`SizeRestrictions_URIPATH`	1,024 バイトを超える URI パスを検査します。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:SizeRestrictions_URIPath`
`EC2MetaDataSSRF_BODY`	リクエストボディから Amazon EC2 メタデータを盗み出す試みがないかを検査します。警告このルールは、ウェブ ACL とリソースタイプのボディサイズ制限に達するリクエストボディのみを検査します。Application Load Balancer およびの場合 AWS AppSync、制限は 8 KB に固定されます。CloudFront、API Gateway、Amazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB で、ウェブ ACL 設定で制限を最大 64 KB に増やすことができます。このルールは、オーバーサイズコンテンツの処理に `Continue` オプションを使用します。詳細については、「でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF」を参照してください。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Body`
`EC2MetaDataSSRF_COOKIE`	リクエスト cookie から Amazon EC2 メタデータを盗み出す試みがないかを検査します。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Cookie`
`EC2MetaDataSSRF_URIPATH`	リクエスト URI パスから Amazon EC2 メタデータを盗み出す試みがないかを検査します。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_URIPath`
`EC2MetaDataSSRF_QUERYARGUMENTS`	リクエストクエリ引数から Amazon EC2 メタデータを盗み出す試みがないかを検査します。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_QueryArguments`
`GenericLFI_QUERYARGUMENTS`	クエリ引数に、ローカルファイルインクルージョン (LFI) を悪用する形跡がないかを検査します。例には、`../../` などの手法を使用したパストラバーサルの試行があります。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:GenericLFI_QueryArguments`
`GenericLFI_URIPATH`	URI パスに、ローカルファイルインクルージョン (LFI) を悪用する形跡がないかを検査します。例には、`../../` などの手法を使用したパストラバーサルの試行があります。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:GenericLFI_URIPath`
`GenericLFI_BODY`	リクエストボディに、ローカルファイルインクルージョン (LFI) を悪用する形跡がないかを検査します。例には、`../../` などの手法を使用したパストラバーサルの試行があります。警告このルールは、ウェブ ACL とリソースタイプのボディサイズ制限に達するリクエストボディのみを検査します。Application Load Balancer およびの場合 AWS AppSync、制限は 8 KB に固定されます。CloudFront、API Gateway、Amazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB で、ウェブ ACL 設定で制限を最大 64 KB に増やすことができます。このルールは、オーバーサイズコンテンツの処理に `Continue` オプションを使用します。詳細については、「でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF」を参照してください。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:GenericLFI_Body`
`RestrictedExtensions_URIPATH`	読み取りや実行が安全でないシステムファイルの拡張子が URI パスに含まれているリクエストを検査します。パターンの例には、`.log` や `.ini` などの拡張子があります。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:RestrictedExtensions_URIPath`
`RestrictedExtensions_QUERYARGUMENTS`	クエリ引数に、読み取りや実行が安全でないシステムファイル拡張子が含まれているリクエストを検査します。パターンの例には、`.log` や `.ini` などの拡張子があります。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:RestrictedExtensions_QueryArguments`
`GenericRFI_QUERYARGUMENTS`	IPv4 アドレスを含む URL を埋め込むことにより、Web アプリケーションでRFI (リモートファイルインクルード) を悪用しようとする試みに対して、すべてのクエリパラメーターの値を検査します。例としては、`http://`、`https://`、`ftp://`、`ftps://`、`file://` などのパターンがあり、悪用の試みに IPv4 ホストヘッダーが含まれています。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:GenericRFI_QueryArguments`
`GenericRFI_BODY`	IPv4 アドレスを含む URL を埋め込むことにより、ウェブアプリケーションの RFI (リモートファイルインクルージョン) を悪用しようとする試行に対してリクエストボディを検査します。例としては、`http://`、`https://`、`ftp://`、`ftps://`、`file://` などのパターンがあり、悪用の試みに IPv4 ホストヘッダーが含まれています。警告このルールは、ウェブ ACL とリソースタイプのボディサイズ制限に達するリクエストボディのみを検査します。Application Load Balancer およびの場合 AWS AppSync、制限は 8 KB に固定されます。CloudFront、API Gateway、Amazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB で、ウェブ ACL 設定で制限を最大 64 KB に増やすことができます。このルールは、オーバーサイズコンテンツの処理に `Continue` オプションを使用します。詳細については、「でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF」を参照してください。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:GenericRFI_Body`
`GenericRFI_URIPATH`	IPv4 アドレスを含む URL を埋め込むことにより、ウェブアプリケーションの RFI (リモートファイルインクルージョン) を悪用しようとする試行に対してURI パスを検査します。例としては、`http://`、`https://`、`ftp://`、`ftps://`、`file://` などのパターンがあり、悪用の試みに IPv4 ホストヘッダーが含まれています。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:GenericRFI_URIPath`
`CrossSiteScripting_COOKIE`	組み込みのを使用して、一般的なクロスサイトスクリプティング (XSS) パターンの Cookie ヘッダーの値を検査します AWS WAF クロスサイトスクリプティング攻撃ルールステートメント。パターンの例には、`<script>alert("hello")</script>` などのスクリプトあります。注記 AWS WAF ログのルール一致の詳細は、このルールグループのバージョン 2.0 では入力されません。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_Cookie`
`CrossSiteScripting_QUERYARGUMENTS`	組み込みのを使用して、一般的なクロスサイトスクリプティング (XSS) パターンのクエリ引数の値を検査します AWS WAF クロスサイトスクリプティング攻撃ルールステートメント。パターンの例には、`<script>alert("hello")</script>` などのスクリプトあります。注記 AWS WAF ログのルール一致の詳細は、このルールグループのバージョン 2.0 では入力されません。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_QueryArguments`
`CrossSiteScripting_BODY`	組み込みのを使用して、一般的なクロスサイトスクリプティング (XSS) パターンのリクエストボディを検査します AWS WAF クロスサイトスクリプティング攻撃ルールステートメント。パターンの例には、`<script>alert("hello")</script>` などのスクリプトあります。注記 AWS WAF ログのルール一致の詳細は、このルールグループのバージョン 2.0 では入力されません。警告このルールは、ウェブ ACL とリソースタイプのボディサイズ制限に達するリクエストボディのみを検査します。Application Load Balancer およびの場合 AWS AppSync、制限は 8 KB に固定されます。CloudFront、API Gateway、Amazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB で、ウェブ ACL 設定で制限を最大 64 KB に増やすことができます。このルールは、オーバーサイズコンテンツの処理に `Continue` オプションを使用します。詳細については、「でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF」を参照してください。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_Body`
`CrossSiteScripting_URIPATH`	組み込みのを使用して、URI パスの値に一般的なクロスサイトスクリプティング (XSS) パターンがないかを検査します AWS WAF クロスサイトスクリプティング攻撃ルールステートメント。パターンの例には、`<script>alert("hello")</script>` などのスクリプトあります。注記 AWS WAF ログのルール一致の詳細は、このルールグループのバージョン 2.0 では入力されません。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_URIPath`

管理者保護マネージドルールグループ

VendorName: AWS、名前: AWSManagedRulesAdminProtectionRuleSet、WCU: 100

注記

ここに記載されている情報よりも詳細な情報が必要な場合は、 AWS Support センターにお問い合わせください。

管理者保護ルールグループには、公開されている管理ページへの外部アクセスをブロックするためのルールが含まれています。これは、サードパーティーのソフトウェアを実行している場合や、悪意のあるアクターがアプリケーションへの管理アクセスを得るリスクを緩和したい場合に便利です。

ルール名説明とラベル

ルール名	説明とラベル
`AdminProtection_URIPATH`	一般的にウェブサーバーまたはアプリケーションの管理用に確保されている URI パスの有無を検査します。パターンの例には、`sqlmanager` などがあります。ルールアクション: Block ラベル: `awswaf:managed:aws:admin-protection:AdminProtection_URIPath`

AdminProtection_URIPATH

一般的にウェブサーバーまたはアプリケーションの管理用に確保されている URI パスの有無を検査します。パターンの例には、sqlmanager などがあります。

ルールアクション: Block

ラベル: awswaf:managed:aws:admin-protection:AdminProtection_URIPath

既知の不正な入力マネージドルールグループ

VendorName: AWS、名前: AWSManagedRulesKnownBadInputsRuleSet、WCU: 200

注記

ここに記載されている情報よりも詳細な情報が必要な場合は、 AWS Support センターにお問い合わせください。

既知の不正な入力ルールグループには、無効であることがわかっており脆弱性の悪用または発見に関連するリクエストパターンをブロックするルールが含まれています。これにより、悪意のあるアクターが脆弱なアプリケーションを発見するリスクを緩和できます。

ルール名	説明とラベル
`JavaDeserializationRCE_HEADER`	HTTP リクエストヘッダーのキーと値に、Spring Core および Cloud Function RCE の脆弱性 (CVE-2022-22963、CVE-2022-22965) などの Java デシリアライゼーション Remote Command Execution (RCE) の試行を示すパターンがないかどうかを検査します。パターンの例には、`(java.lang.Runtime).getRuntime().exec("whoami")` などがあります。警告このルールは、リクエストヘッダーの最初の 8 KB または最初の 200 個のヘッダーのうち、いずれかの制限に先に達した方のみを検査し、オーバーサイズコンテンツの処理に `Continue` オプションを使用します。詳細については、「でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF」を参照してください。ルールアクション: Block ラベル: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Header`
`JavaDeserializationRCE_BODY`	リクエスト本文で、Spring Core および Cloud Function RCE の脆弱性 (CVE-2022-22963、CVE-2022-22965) などの Java デシリアライゼーション Remote Command Execution (RCE) の試行を示すパターンがないかどうかを検査します。パターンの例には、`(java.lang.Runtime).getRuntime().exec("whoami")` などがあります。警告このルールは、ウェブ ACL とリソースタイプのボディサイズ制限に達するリクエストボディのみを検査します。Application Load Balancer およびの場合 AWS AppSync、制限は 8 KB に固定されます。CloudFront、API Gateway、Amazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB で、ウェブ ACL 設定で制限を最大 64 KB に増やすことができます。このルールは、オーバーサイズコンテンツの処理に `Continue` オプションを使用します。詳細については、「でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF」を参照してください。ルールアクション: Block ラベル: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Body`
`JavaDeserializationRCE_URIPATH`	リクエスト URI で、Spring Core および Cloud Function RCE の脆弱性 (CVE-2022-22963、CVE-2022-22965) などの Java デシリアライゼーション Remote Command Execution (RCE) の試行を示すパターンがないかどうかを検査します。パターンの例には、`(java.lang.Runtime).getRuntime().exec("whoami")` などがあります。ルールアクション: Block ラベル: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_URIPath`
`JavaDeserializationRCE_QUERYSTRING`	リクエストクエリ文字列で、Spring Core および Cloud Function RCE の脆弱性 (CVE-2022-22963、CVE-2022-22965) などの Java デシリアライゼーション Remote Command Execution (RCE) の試行を示すパターンがないかどうかを検査します。パターンの例には、`(java.lang.Runtime).getRuntime().exec("whoami")` などがあります。ルールアクション: Block ラベル: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_QueryString`
`Host_localhost_HEADER`	リクエストのホストヘッダーに、localhost を示すパターンがないかを検査します。パターンの例には、`localhost` などがあります。ルールアクション: Block ラベル: `awswaf:managed:aws:known-bad-inputs:Host_Localhost_Header`
`PROPFIND_METHOD`	リクエストの HTTP メソッドに、`PROPFIND` がないかを検査します。このメソッドは `HEAD` と同様ですが、XML オブジェクトを抽出しようとする点が異なります。ルールアクション: Block ラベル: `awswaf:managed:aws:known-bad-inputs:Propfind_Method`
`ExploitablePaths_URIPATH`	URI パスに、悪用可能なウェブアプリケーションパスにアクセスする試みがないかを検査します。パターンの例には、`web-inf` などのパスがあります。ルールアクション: Block ラベル: `awswaf:managed:aws:known-bad-inputs:ExploitablePaths_URIPath`
`Log4JRCE_HEADER`	リクエストヘッダーのキーと値に Log4j の脆弱性 (CVE-2021-44228、CVE-2021-45046、CVE-2021-45105) の存在の有無を検査し、Remote Code Execution (RCE) の試行から保護します。パターンの例には、`${jndi:ldap://example.com/}` などがあります。警告このルールは、リクエストヘッダーの最初の 8 KB または最初の 200 個のヘッダーのうち、いずれかの制限に先に達した方のみを検査し、オーバーサイズコンテンツの処理に `Continue` オプションを使用します。詳細については、「でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF」を参照してください。ルールアクション: Block ラベル: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_Header`
`Log4JRCE_QUERYSTRING`	クエリ文字列に Log4j の脆弱性 (CVE-2021-44228、CVE-2021-45046、CVE-2021-45105) の存在の有無を検査し、Remote Code Execution (RCE) の試行から保護します。パターンの例には、`${jndi:ldap://example.com/}` などがあります。ルールアクション: Block ラベル: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_QueryString`
`Log4JRCE_BODY`	本文に Log4j の脆弱性 (CVE-2021-44228、CVE-2021-45046、CVE-2021-45105) の存在の有無を検査し、Remote Code Execution (RCE) の試行から保護します。パターンの例には、`${jndi:ldap://example.com/}` などがあります。警告このルールは、ウェブ ACL とリソースタイプのボディサイズ制限に達するリクエストボディのみを検査します。Application Load Balancer およびの場合 AWS AppSync、制限は 8 KB に固定されます。CloudFront、API Gateway、Amazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB で、ウェブ ACL 設定で制限を最大 64 KB に増やすことができます。このルールは、オーバーサイズコンテンツの処理に `Continue` オプションを使用します。詳細については、「でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF」を参照してください。ルールアクション: Block ラベル: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_Body`
`Log4JRCE_URIPATH`	URI パスに Log4j の脆弱性 (CVE-2021-44228、CVE-2021-45046、CVE-2021-45105) の存在の有無を検査し、Remote Code Execution (RCE) の試行から保護します。パターンの例には、`${jndi:ldap://example.com/}` などがあります。ルールアクション: Block ラベル: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_URIPath`

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AWS マネージドルールのルールグループリスト

ユースケース固有のルールグループ

ベースラインルールグループ

コアルールセット (CRS) マネージドルールグループ

注記

警告

警告

警告

注記

注記

注記

警告

注記

管理者保護マネージドルールグループ

注記

既知の不正な入力マネージドルールグループ

注記

警告

警告

警告

警告