ベースラインルールグループ

ベースラインマネージドルールグループは、さまざまな一般的な脅威に対する一般的な保護を提供します。これらのルールグループを 1 つ以上選択して、リソースのベースライン保護を確立します。

注記

AWS マネージドルールルールグループ内のルールについて公開する情報は、ルールを使用するのに十分な情報を提供することを目的としており、悪意のある人物がルールを回避するために悪用する可能性のある情報を提供するものではありません。このドキュメントに記載されている以上の情報が必要な場合は、AWS Support センターにお問い合わせください。

コアルールセット (CRS) マネージドルールグループ

VendorName: AWS、名前:AWSManagedRulesCommonRuleSet、WCU: 700

コアルールセット (CRS) ルールグループには、ウェブアプリケーションに一般的に適用可能なルールが含まれています。これにより、OWASP Top 10 などの OWASP の出版物に記載されている、リスクが高く一般的に発生するいくつかの脆弱性を含む、さまざまな脆弱性の悪用に対する保護が提供されます。 AWS WAF どのようなユースケースにもこのルールグループを使用することを検討してください。

このマネージドルールグループは、評価対象のウェブリクエストにラベルを追加します。このラベルは、ウェブ ACL 内のこのルールグループの後に実行されるルールでも使用できます。 AWS WAF また、ラベルを Amazon CloudWatch メトリックスに記録します。ラベルとラベルメトリクスに関する一般的な情報については、「ウェブリクエストでのラベルの使用」および「ラベルメトリクスとディメンション」を参照してください。

注記

この表には、このルールグループの最新の静的バージョンが示されています。他のバージョンでは API コマンドを使用してくださいDescribeManagedRuleGroup。

ルール名	説明とラベル
`NoUserAgent_HEADER`	HTTP `User-Agent` ヘッダーが欠落しているリクエストを検査します。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:NoUserAgent_Header`
`UserAgent_BadBots_HEADER`	リクエストが不正なボットであることを示す一般的な `User-Agent` ヘッダー値を検査します。パターンの例には、`nessus`、`nmap` などがあります。ボット管理については、「AWS WAF Bot Control ルールグループ」も参照してください。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:BadBots_Header`
`SizeRestrictions_QUERYSTRING`	2,048 バイトを超える URI クエリ文字列を検査します。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:SizeRestrictions_QueryString`
`SizeRestrictions_Cookie_HEADER`	10,240 バイトを超える cookie ヘッダーを検査します。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:SizeRestrictions_Cookie_Header`
`SizeRestrictions_BODY`	8 KB (8,192 バイト) を超えるリクエストボディを検査します。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:SizeRestrictions_Body`
`SizeRestrictions_URIPATH`	1,024 バイトを超える URI パスを検査します。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:SizeRestrictions_URIPath`
`EC2MetaDataSSRF_BODY`	リクエストボディから Amazon EC2 メタデータを盗み出す試みがないかを検査します。警告このルールは、ウェブ ACL とリソースタイプの本文サイズ制限までリクエスト本文を検査するだけです。Application Load Balancer およびの場合 AWS AppSync、制限は 8 KB に固定されています。API Gateway、Amazon Cognito、アプリケーションランナー、検証済みアクセスの場合、デフォルトの制限は 16 KB ですが、ウェブ ACL 設定で制限を最大 64 KB まで増やすことができます。 CloudFrontこのルールは、オーバーサイズコンテンツの処理に `Continue` オプションを使用します。詳細については、「でのオーバーサイズのウェブリクエストコンポーネントの処理 AWS WAF」を参照してください。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Body`
`EC2MetaDataSSRF_COOKIE`	リクエスト cookie から Amazon EC2 メタデータを盗み出す試みがないかを検査します。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Cookie`
`EC2MetaDataSSRF_URIPATH`	リクエスト URI パスから Amazon EC2 メタデータを盗み出す試みがないかを検査します。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_URIPath`
`EC2MetaDataSSRF_QUERYARGUMENTS`	リクエストクエリ引数から Amazon EC2 メタデータを盗み出す試みがないかを検査します。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_QueryArguments`
`GenericLFI_QUERYARGUMENTS`	クエリ引数に、ローカルファイルインクルージョン (LFI) を悪用する形跡がないかを検査します。例には、`../../` などの手法を使用したパストラバーサルの試行があります。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:GenericLFI_QueryArguments`
`GenericLFI_URIPATH`	URI パスに、ローカルファイルインクルージョン (LFI) を悪用する形跡がないかを検査します。例には、`../../` などの手法を使用したパストラバーサルの試行があります。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:GenericLFI_URIPath`
`GenericLFI_BODY`	リクエストボディに、ローカルファイルインクルージョン (LFI) を悪用する形跡がないかを検査します。例には、`../../` などの手法を使用したパストラバーサルの試行があります。警告このルールは、ウェブ ACL とリソースタイプの本文サイズ制限までのリクエスト本文のみを検査します。Application Load Balancer およびの場合 AWS AppSync、制限は 8 KB に固定されています。API Gateway、Amazon Cognito、アプリケーションランナー、検証済みアクセスの場合、デフォルトの制限は 16 KB ですが、ウェブ ACL 設定で制限を最大 64 KB まで増やすことができます。 CloudFrontこのルールは、オーバーサイズコンテンツの処理に `Continue` オプションを使用します。詳細については、「でのオーバーサイズのウェブリクエストコンポーネントの処理 AWS WAF」を参照してください。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:GenericLFI_Body`
`RestrictedExtensions_URIPATH`	読み取りや実行が安全でないシステムファイルの拡張子が URI パスに含まれているリクエストを検査します。パターンの例には、`.log` や `.ini` などの拡張子があります。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:RestrictedExtensions_URIPath`
`RestrictedExtensions_QUERYARGUMENTS`	クエリ引数に、読み取りや実行が安全でないシステムファイル拡張子が含まれているリクエストを検査します。パターンの例には、`.log` や `.ini` などの拡張子があります。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:RestrictedExtensions_QueryArguments`
`GenericRFI_QUERYARGUMENTS`	IPv4 アドレスを含む URL を埋め込むことにより、Web アプリケーションでRFI (リモートファイルインクルード) を悪用しようとする試みに対して、すべてのクエリパラメーターの値を検査します。例としては、`http://`、`https://`、`ftp://`、`ftps://`、`file://` などのパターンがあり、悪用の試みに IPv4 ホストヘッダーが含まれています。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:GenericRFI_QueryArguments`
`GenericRFI_BODY`	IPv4 アドレスを含む URL を埋め込むことにより、ウェブアプリケーションの RFI (リモートファイルインクルージョン) を悪用しようとする試行に対してリクエストボディを検査します。例としては、`http://`、`https://`、`ftp://`、`ftps://`、`file://` などのパターンがあり、悪用の試みに IPv4 ホストヘッダーが含まれています。警告このルールは、ウェブ ACL とリソースタイプの本文サイズ制限までのリクエスト本文のみを検査します。Application Load Balancer およびの場合 AWS AppSync、制限は 8 KB に固定されています。API Gateway、Amazon Cognito、アプリケーションランナー、検証済みアクセスの場合、デフォルトの制限は 16 KB ですが、ウェブ ACL 設定で制限を最大 64 KB まで増やすことができます。 CloudFrontこのルールは、オーバーサイズコンテンツの処理に `Continue` オプションを使用します。詳細については、「でのオーバーサイズのウェブリクエストコンポーネントの処理 AWS WAF」を参照してください。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:GenericRFI_Body`
`GenericRFI_URIPATH`	IPv4 アドレスを含む URL を埋め込むことにより、ウェブアプリケーションの RFI (リモートファイルインクルージョン) を悪用しようとする試行に対してURI パスを検査します。例としては、`http://`、`https://`、`ftp://`、`ftps://`、`file://` などのパターンがあり、悪用の試みに IPv4 ホストヘッダーが含まれています。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:GenericRFI_URIPath`
`CrossSiteScripting_COOKIE`	ビルトインを使用して、一般的なクロスサイトスクリプティング (XSS) パターンの Cookie ヘッダーの値を検査します。 AWS WAF クロスサイトスクリプティング攻撃ルールステートメントパターンの例には、`<script>alert("hello")</script>` などのスクリプトあります。注記このルールグループのバージョン 2.0 では、 AWS WAF ログ内のルールマッチの詳細は入力されません。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_Cookie`
`CrossSiteScripting_QUERYARGUMENTS`	ビルトインを使用して、一般的なクロスサイトスクリプティング (XSS) パターンのクエリ引数の値を検査します。 AWS WAF クロスサイトスクリプティング攻撃ルールステートメントパターンの例には、`<script>alert("hello")</script>` などのスクリプトあります。注記このルールグループのバージョン 2.0 では、 AWS WAF ログ内のルールマッチの詳細は入力されません。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_QueryArguments`
`CrossSiteScripting_BODY`	ビルトインを使用してリクエスト本文を検査し、一般的なクロスサイトスクリプティング (XSS) パターンがないか調べます。 AWS WAF クロスサイトスクリプティング攻撃ルールステートメントパターンの例には、`<script>alert("hello")</script>` などのスクリプトあります。注記このルールグループのバージョン 2.0 では、 AWS WAF ログ内のルールマッチの詳細は入力されません。警告このルールは、ウェブ ACL とリソースタイプの本文サイズ制限までリクエスト本文を検査するだけです。Application Load Balancer およびの場合 AWS AppSync、制限は 8 KB に固定されています。API Gateway、Amazon Cognito、アプリケーションランナー、検証済みアクセスの場合、デフォルトの制限は 16 KB ですが、ウェブ ACL 設定で制限を最大 64 KB まで増やすことができます。 CloudFrontこのルールは、オーバーサイズコンテンツの処理に `Continue` オプションを使用します。詳細については、「でのオーバーサイズのウェブリクエストコンポーネントの処理 AWS WAF」を参照してください。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_Body`
`CrossSiteScripting_URIPATH`	組み込みを使用して URI パスの値を検査し、一般的なクロスサイトスクリプティング (XSS) パターンがないか調べます。 AWS WAF クロスサイトスクリプティング攻撃ルールステートメントパターンの例には、`<script>alert("hello")</script>` などのスクリプトあります。注記このルールグループのバージョン 2.0 では、 AWS WAF ログ内のルールマッチの詳細は入力されません。ルールアクション: Block ラベル: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_URIPath`

管理者保護マネージドルールグループ

VendorName: AWS、名前:AWSManagedRulesAdminProtectionRuleSet、WCU: 100

管理者保護ルールグループには、公開されている管理ページへの外部アクセスをブロックするためのルールが含まれています。これは、サードパーティーのソフトウェアを実行している場合や、悪意のあるアクターがアプリケーションへの管理アクセスを得るリスクを緩和したい場合に便利です。

このマネージドルールグループは、評価対象のウェブリクエストにラベルを追加します。このラベルは、ウェブ ACL 内のこのルールグループの後に実行されるルールで使用できます。 AWS WAF また、ラベルを Amazon CloudWatch メトリックスに記録します。ラベルとラベルメトリクスに関する一般的な情報については、「ウェブリクエストでのラベルの使用」および「ラベルメトリクスとディメンション」を参照してください。

注記

ルール名説明とラベル

ルール名	説明とラベル
`AdminProtection_URIPATH`	一般的にウェブサーバーまたはアプリケーションの管理用に確保されている URI パスの有無を検査します。パターンの例には、`sqlmanager` などがあります。ルールアクション: Block ラベル: `awswaf:managed:aws:admin-protection:AdminProtection_URIPath`

AdminProtection_URIPATH

一般的にウェブサーバーまたはアプリケーションの管理用に確保されている URI パスの有無を検査します。パターンの例には、sqlmanager などがあります。

ルールアクション: Block

ラベル: awswaf:managed:aws:admin-protection:AdminProtection_URIPath

既知の不正な入力マネージドルールグループ

VendorName: AWS、名前:AWSManagedRulesKnownBadInputsRuleSet、WCU: 200

既知の不正な入力ルールグループには、無効であることがわかっており脆弱性の悪用または発見に関連するリクエストパターンをブロックするルールが含まれています。これにより、悪意のあるアクターが脆弱なアプリケーションを発見するリスクを緩和できます。

注記

ルール名	説明とラベル
`JavaDeserializationRCE_HEADER`	HTTP リクエストヘッダーのキーと値に、Spring Core および Cloud Function RCE の脆弱性 (CVE-2022-22963、CVE-2022-22965) などの Java デシリアライゼーション Remote Command Execution (RCE) の試行を示すパターンがないかどうかを検査します。パターンの例には、`(java.lang.Runtime).getRuntime().exec("whoami")` などがあります。警告このルールは、リクエストヘッダーの最初の 8 KB または最初の 200 個のヘッダーのうち、いずれかの制限に先に達した方のみを検査し、オーバーサイズコンテンツの処理に `Continue` オプションを使用します。詳細については、「でのオーバーサイズのウェブリクエストコンポーネントの処理 AWS WAF」を参照してください。ルールアクション: Block ラベル: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Header`
`JavaDeserializationRCE_BODY`	リクエスト本文で、Spring Core および Cloud Function RCE の脆弱性 (CVE-2022-22963、CVE-2022-22965) などの Java デシリアライゼーション Remote Command Execution (RCE) の試行を示すパターンがないかどうかを検査します。パターンの例には、`(java.lang.Runtime).getRuntime().exec("whoami")` などがあります。警告このルールは、ウェブ ACL とリソースタイプの本文サイズ制限までリクエスト本文を検査するだけです。Application Load Balancer およびの場合 AWS AppSync、制限は 8 KB に固定されています。API Gateway、Amazon Cognito、アプリケーションランナー、検証済みアクセスの場合、デフォルトの制限は 16 KB ですが、ウェブ ACL 設定で制限を最大 64 KB まで増やすことができます。 CloudFrontこのルールは、オーバーサイズコンテンツの処理に `Continue` オプションを使用します。詳細については、「でのオーバーサイズのウェブリクエストコンポーネントの処理 AWS WAF」を参照してください。ルールアクション: Block ラベル: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Body`
`JavaDeserializationRCE_URIPATH`	リクエスト URI で、Spring Core および Cloud Function RCE の脆弱性 (CVE-2022-22963、CVE-2022-22965) などの Java デシリアライゼーション Remote Command Execution (RCE) の試行を示すパターンがないかどうかを検査します。パターンの例には、`(java.lang.Runtime).getRuntime().exec("whoami")` などがあります。ルールアクション: Block ラベル: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_URIPath`
`JavaDeserializationRCE_QUERYSTRING`	リクエストクエリ文字列で、Spring Core および Cloud Function RCE の脆弱性 (CVE-2022-22963、CVE-2022-22965) などの Java デシリアライゼーション Remote Command Execution (RCE) の試行を示すパターンがないかどうかを検査します。パターンの例には、`(java.lang.Runtime).getRuntime().exec("whoami")` などがあります。ルールアクション: Block ラベル: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_QueryString`
`Host_localhost_HEADER`	リクエストのホストヘッダーに、localhost を示すパターンがないかを検査します。パターンの例には、`localhost` などがあります。ルールアクション: Block ラベル: `awswaf:managed:aws:known-bad-inputs:Host_Localhost_Header`
`PROPFIND_METHOD`	リクエストの HTTP メソッドに、`PROPFIND` がないかを検査します。このメソッドは `HEAD` と同様ですが、XML オブジェクトを抽出しようとする点が異なります。ルールアクション: Block ラベル: `awswaf:managed:aws:known-bad-inputs:Propfind_Method`
`ExploitablePaths_URIPATH`	URI パスに、悪用可能なウェブアプリケーションパスにアクセスする試みがないかを検査します。パターンの例には、`web-inf` などのパスがあります。ルールアクション: Block ラベル: `awswaf:managed:aws:known-bad-inputs:ExploitablePaths_URIPath`
`Log4JRCE_HEADER`	リクエストヘッダーのキーと値に Log4j の脆弱性 (CVE-2021-44228、CVE-2021-45046、CVE-2021-45105) の存在の有無を検査し、Remote Code Execution (RCE) の試行から保護します。パターンの例には、`${jndi:ldap://example.com/}` などがあります。警告このルールは、リクエストヘッダーの最初の 8 KB または最初の 200 個のヘッダーのうち、いずれかの制限に先に達した方のみを検査し、オーバーサイズコンテンツの処理に `Continue` オプションを使用します。詳細については、「でのオーバーサイズのウェブリクエストコンポーネントの処理 AWS WAF」を参照してください。ルールアクション: Block ラベル: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_Header`
`Log4JRCE_QUERYSTRING`	クエリ文字列に Log4j の脆弱性 (CVE-2021-44228、CVE-2021-45046、CVE-2021-45105) の存在の有無を検査し、Remote Code Execution (RCE) の試行から保護します。パターンの例には、`${jndi:ldap://example.com/}` などがあります。ルールアクション: Block ラベル: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_QueryString`
`Log4JRCE_BODY`	本文に Log4j の脆弱性 (CVE-2021-44228、CVE-2021-45046、CVE-2021-45105) の存在の有無を検査し、Remote Code Execution (RCE) の試行から保護します。パターンの例には、`${jndi:ldap://example.com/}` などがあります。警告このルールは、ウェブ ACL とリソースタイプの本文サイズ制限までのリクエスト本文のみを検査します。Application Load Balancer およびの場合 AWS AppSync、制限は 8 KB に固定されています。API Gateway、Amazon Cognito、アプリケーションランナー、検証済みアクセスの場合、デフォルトの制限は 16 KB ですが、ウェブ ACL 設定で制限を最大 64 KB まで増やすことができます。 CloudFrontこのルールは、オーバーサイズコンテンツの処理に `Continue` オプションを使用します。詳細については、「でのオーバーサイズのウェブリクエストコンポーネントの処理 AWS WAF」を参照してください。ルールアクション: Block ラベル: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_Body`
`Log4JRCE_URIPATH`	URI パスに Log4j の脆弱性 (CVE-2021-44228、CVE-2021-45046、CVE-2021-45105) の存在の有無を検査し、Remote Code Execution (RCE) の試行から保護します。パターンの例には、`${jndi:ldap://example.com/}` などがあります。ルールアクション: Block ラベル: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_URIPath`

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AWS マネージドルールのルールグループリスト

ユースケース固有のルールグループ

ベースラインルールグループ

注記

コアルールセット (CRS) マネージドルールグループ

注記

警告

警告

警告

注記

注記

注記

警告

注記

管理者保護マネージドルールグループ

注記

既知の不正な入力マネージドルールグループ

注記

警告

警告

警告

警告