翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ベースラインルールグループ
ベースラインマネージドルールグループは、さまざまな一般的な脅威に対する一般的な保護を提供します。これらのルールグループを 1 つ以上選択して、リソースのベースライン保護を確立します。
注記
AWS マネージドルールルールグループ内のルールについて公開する情報は、ルールを使用するのに十分な情報を提供することを目的としており、悪意のある人物がルールを回避するために悪用する可能性のある情報を提供するものではありません。このドキュメントに記載されている以上の情報が必要な場合は、AWS Support センター
コアルールセット (CRS) マネージドルールグループ
VendorName: AWS
、名前:AWSManagedRulesCommonRuleSet
、WCU: 700
コアルールセット (CRS) ルールグループには、ウェブアプリケーションに一般的に適用可能なルールが含まれています。これにより、OWASP Top 10
このマネージドルールグループは、評価対象のウェブリクエストにラベルを追加します。このラベルは、ウェブ ACL 内のこのルールグループの後に実行されるルールでも使用できます。 AWS WAF また、ラベルを Amazon CloudWatch メトリックスに記録します。ラベルとラベルメトリクスに関する一般的な情報については、「ウェブリクエストでのラベルの使用」および「ラベルメトリクスとディメンション」を参照してください。
注記
この表には、このルールグループの最新の静的バージョンが示されています。他のバージョンでは API コマンドを使用してくださいDescribeManagedRuleGroup。
ルール名 | 説明とラベル |
---|---|
NoUserAgent_HEADER |
HTTP ルールアクション: Block ラベル: |
UserAgent_BadBots_HEADER |
リクエストが不正なボットであることを示す一般的な ルールアクション: Block ラベル: |
SizeRestrictions_QUERYSTRING |
2,048 バイトを超える URI クエリ文字列を検査します。 ルールアクション: Block ラベル: |
SizeRestrictions_Cookie_HEADER |
10,240 バイトを超える cookie ヘッダーを検査します。 ルールアクション: Block ラベル: |
SizeRestrictions_BODY |
8 KB (8,192 バイト) を超えるリクエストボディを検査します。 ルールアクション: Block ラベル: |
SizeRestrictions_URIPATH |
1,024 バイトを超える URI パスを検査します。 ルールアクション: Block ラベル: |
EC2MetaDataSSRF_BODY |
リクエストボディから Amazon EC2 メタデータを盗み出す試みがないかを検査します。 警告このルールは、ウェブ ACL とリソースタイプの本文サイズ制限までリクエスト本文を検査するだけです。Application Load Balancer およびの場合 AWS AppSync、制限は 8 KB に固定されています。API Gateway、Amazon Cognito、アプリケーションランナー、検証済みアクセスの場合、デフォルトの制限は 16 KB ですが、ウェブ ACL 設定で制限を最大 64 KB まで増やすことができます。 CloudFrontこのルールは、オーバーサイズコンテンツの処理に ルールアクション: Block ラベル: |
EC2MetaDataSSRF_COOKIE |
リクエスト cookie から Amazon EC2 メタデータを盗み出す試みがないかを検査します。 ルールアクション: Block ラベル: |
EC2MetaDataSSRF_URIPATH |
リクエスト URI パスから Amazon EC2 メタデータを盗み出す試みがないかを検査します。 ルールアクション: Block ラベル: |
EC2MetaDataSSRF_QUERYARGUMENTS |
リクエストクエリ引数から Amazon EC2 メタデータを盗み出す試みがないかを検査します。 ルールアクション: Block ラベル: |
GenericLFI_QUERYARGUMENTS |
クエリ引数に、ローカルファイルインクルージョン (LFI) を悪用する形跡がないかを検査します。例には、 ルールアクション: Block ラベル: |
GenericLFI_URIPATH |
URI パスに、ローカルファイルインクルージョン (LFI) を悪用する形跡がないかを検査します。例には、 ルールアクション: Block ラベル: |
GenericLFI_BODY |
リクエストボディに、ローカルファイルインクルージョン (LFI) を悪用する形跡がないかを検査します。例には、 警告このルールは、ウェブ ACL とリソースタイプの本文サイズ制限までのリクエスト本文のみを検査します。Application Load Balancer およびの場合 AWS AppSync、制限は 8 KB に固定されています。API Gateway、Amazon Cognito、アプリケーションランナー、検証済みアクセスの場合、デフォルトの制限は 16 KB ですが、ウェブ ACL 設定で制限を最大 64 KB まで増やすことができます。 CloudFrontこのルールは、オーバーサイズコンテンツの処理に ルールアクション: Block ラベル: |
RestrictedExtensions_URIPATH |
読み取りや実行が安全でないシステムファイルの拡張子が URI パスに含まれているリクエストを検査します。パターンの例には、 ルールアクション: Block ラベル: |
RestrictedExtensions_QUERYARGUMENTS |
クエリ引数に、読み取りや実行が安全でないシステムファイル拡張子が含まれているリクエストを検査します。パターンの例には、 ルールアクション: Block ラベル: |
GenericRFI_QUERYARGUMENTS |
IPv4 アドレスを含む URL を埋め込むことにより、Web アプリケーションでRFI (リモートファイルインクルード) を悪用しようとする試みに対して、すべてのクエリパラメーターの値を検査します。例としては、 ルールアクション: Block ラベル: |
GenericRFI_BODY |
IPv4 アドレスを含む URL を埋め込むことにより、ウェブアプリケーションの RFI (リモートファイルインクルージョン) を悪用しようとする試行に対してリクエストボディを検査します。例としては、 警告このルールは、ウェブ ACL とリソースタイプの本文サイズ制限までのリクエスト本文のみを検査します。Application Load Balancer およびの場合 AWS AppSync、制限は 8 KB に固定されています。API Gateway、Amazon Cognito、アプリケーションランナー、検証済みアクセスの場合、デフォルトの制限は 16 KB ですが、ウェブ ACL 設定で制限を最大 64 KB まで増やすことができます。 CloudFrontこのルールは、オーバーサイズコンテンツの処理に ルールアクション: Block ラベル: |
GenericRFI_URIPATH |
IPv4 アドレスを含む URL を埋め込むことにより、ウェブアプリケーションの RFI (リモートファイルインクルージョン) を悪用しようとする試行に対してURI パスを検査します。例としては、 ルールアクション: Block ラベル: |
CrossSiteScripting_COOKIE |
ビルトインを使用して、一般的なクロスサイトスクリプティング (XSS) パターンの Cookie ヘッダーの値を検査します。 AWS WAF クロスサイトスクリプティング攻撃ルールステートメントパターンの例には、 注記このルールグループのバージョン 2.0 では、 AWS WAF ログ内のルールマッチの詳細は入力されません。 ルールアクション: Block ラベル: |
CrossSiteScripting_QUERYARGUMENTS |
ビルトインを使用して、一般的なクロスサイトスクリプティング (XSS) パターンのクエリ引数の値を検査します。 AWS WAF クロスサイトスクリプティング攻撃ルールステートメントパターンの例には、 注記このルールグループのバージョン 2.0 では、 AWS WAF ログ内のルールマッチの詳細は入力されません。 ルールアクション: Block ラベル: |
CrossSiteScripting_BODY |
ビルトインを使用してリクエスト本文を検査し、一般的なクロスサイトスクリプティング (XSS) パターンがないか調べます。 AWS WAF クロスサイトスクリプティング攻撃ルールステートメントパターンの例には、 注記このルールグループのバージョン 2.0 では、 AWS WAF ログ内のルールマッチの詳細は入力されません。 警告このルールは、ウェブ ACL とリソースタイプの本文サイズ制限までリクエスト本文を検査するだけです。Application Load Balancer およびの場合 AWS AppSync、制限は 8 KB に固定されています。API Gateway、Amazon Cognito、アプリケーションランナー、検証済みアクセスの場合、デフォルトの制限は 16 KB ですが、ウェブ ACL 設定で制限を最大 64 KB まで増やすことができます。 CloudFrontこのルールは、オーバーサイズコンテンツの処理に ルールアクション: Block ラベル: |
CrossSiteScripting_URIPATH |
組み込みを使用して URI パスの値を検査し、一般的なクロスサイトスクリプティング (XSS) パターンがないか調べます。 AWS WAF クロスサイトスクリプティング攻撃ルールステートメントパターンの例には、 注記このルールグループのバージョン 2.0 では、 AWS WAF ログ内のルールマッチの詳細は入力されません。 ルールアクション: Block ラベル: |
管理者保護マネージドルールグループ
VendorName: AWS
、名前:AWSManagedRulesAdminProtectionRuleSet
、WCU: 100
管理者保護ルールグループには、公開されている管理ページへの外部アクセスをブロックするためのルールが含まれています。これは、サードパーティーのソフトウェアを実行している場合や、悪意のあるアクターがアプリケーションへの管理アクセスを得るリスクを緩和したい場合に便利です。
このマネージドルールグループは、評価対象のウェブリクエストにラベルを追加します。このラベルは、ウェブ ACL 内のこのルールグループの後に実行されるルールで使用できます。 AWS WAF また、ラベルを Amazon CloudWatch メトリックスに記録します。ラベルとラベルメトリクスに関する一般的な情報については、「ウェブリクエストでのラベルの使用」および「ラベルメトリクスとディメンション」を参照してください。
注記
この表には、このルールグループの最新の静的バージョンが示されています。他のバージョンでは API コマンドを使用してくださいDescribeManagedRuleGroup。
ルール名 | 説明とラベル |
---|---|
AdminProtection_URIPATH |
一般的にウェブサーバーまたはアプリケーションの管理用に確保されている URI パスの有無を検査します。パターンの例には、 ルールアクション: Block ラベル: |
既知の不正な入力マネージドルールグループ
VendorName: AWS
、名前:AWSManagedRulesKnownBadInputsRuleSet
、WCU: 200
既知の不正な入力ルールグループには、無効であることがわかっており脆弱性の悪用または発見に関連するリクエストパターンをブロックするルールが含まれています。これにより、悪意のあるアクターが脆弱なアプリケーションを発見するリスクを緩和できます。
このマネージドルールグループは、評価対象のウェブリクエストにラベルを追加します。このラベルは、ウェブ ACL 内のこのルールグループの後に実行されるルールで使用できます。 AWS WAF また、ラベルを Amazon CloudWatch メトリックスに記録します。ラベルとラベルメトリクスに関する一般的な情報については、「ウェブリクエストでのラベルの使用」および「ラベルメトリクスとディメンション」を参照してください。
注記
この表には、このルールグループの最新の静的バージョンが示されています。他のバージョンでは API コマンドを使用してくださいDescribeManagedRuleGroup。
ルール名 | 説明とラベル |
---|---|
JavaDeserializationRCE_HEADER |
HTTP リクエストヘッダーのキーと値に、Spring Core および Cloud Function RCE の脆弱性 (CVE-2022-22963、CVE-2022-22965) などの Java デシリアライゼーション Remote Command Execution (RCE) の試行を示すパターンがないかどうかを検査します。パターンの例には、 警告このルールは、リクエストヘッダーの最初の 8 KB または最初の 200 個のヘッダーのうち、いずれかの制限に先に達した方のみを検査し、オーバーサイズコンテンツの処理に ルールアクション: Block ラベル: |
JavaDeserializationRCE_BODY |
リクエスト本文で、Spring Core および Cloud Function RCE の脆弱性 (CVE-2022-22963、CVE-2022-22965) などの Java デシリアライゼーション Remote Command Execution (RCE) の試行を示すパターンがないかどうかを検査します。パターンの例には、 警告このルールは、ウェブ ACL とリソースタイプの本文サイズ制限までリクエスト本文を検査するだけです。Application Load Balancer およびの場合 AWS AppSync、制限は 8 KB に固定されています。API Gateway、Amazon Cognito、アプリケーションランナー、検証済みアクセスの場合、デフォルトの制限は 16 KB ですが、ウェブ ACL 設定で制限を最大 64 KB まで増やすことができます。 CloudFrontこのルールは、オーバーサイズコンテンツの処理に ルールアクション: Block ラベル: |
JavaDeserializationRCE_URIPATH |
リクエスト URI で、Spring Core および Cloud Function RCE の脆弱性 (CVE-2022-22963、CVE-2022-22965) などの Java デシリアライゼーション Remote Command Execution (RCE) の試行を示すパターンがないかどうかを検査します。パターンの例には、 ルールアクション: Block ラベル: |
JavaDeserializationRCE_QUERYSTRING |
リクエストクエリ文字列で、Spring Core および Cloud Function RCE の脆弱性 (CVE-2022-22963、CVE-2022-22965) などの Java デシリアライゼーション Remote Command Execution (RCE) の試行を示すパターンがないかどうかを検査します。パターンの例には、 ルールアクション: Block ラベル: |
Host_localhost_HEADER |
リクエストのホストヘッダーに、localhost を示すパターンがないかを検査します。パターンの例には、 ルールアクション: Block ラベル: |
PROPFIND_METHOD |
リクエストの HTTP メソッドに、 ルールアクション: Block ラベル: |
ExploitablePaths_URIPATH |
URI パスに、悪用可能なウェブアプリケーションパスにアクセスする試みがないかを検査します。パターンの例には、 ルールアクション: Block ラベル: |
Log4JRCE_HEADER |
リクエストヘッダーのキーと値に Log4j の脆弱性 (CVE-2021-44228 警告このルールは、リクエストヘッダーの最初の 8 KB または最初の 200 個のヘッダーのうち、いずれかの制限に先に達した方のみを検査し、オーバーサイズコンテンツの処理に ルールアクション: Block ラベル: |
Log4JRCE_QUERYSTRING |
クエリ文字列に Log4j の脆弱性 (CVE-2021-44228 ルールアクション: Block ラベル: |
Log4JRCE_BODY |
本文に Log4j の脆弱性 (CVE-2021-44228 警告このルールは、ウェブ ACL とリソースタイプの本文サイズ制限までのリクエスト本文のみを検査します。Application Load Balancer およびの場合 AWS AppSync、制限は 8 KB に固定されています。API Gateway、Amazon Cognito、アプリケーションランナー、検証済みアクセスの場合、デフォルトの制限は 16 KB ですが、ウェブ ACL 設定で制限を最大 64 KB まで増やすことができます。 CloudFrontこのルールは、オーバーサイズコンテンツの処理に ルールアクション: Block ラベル: |
Log4JRCE_URIPATH |
URI パスに Log4j の脆弱性 (CVE-2021-44228 ルールアクション: Block ラベル: |