AWS管理ルールルールグループリスト - AWS WAF、AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS管理ルールルールグループリスト

このセクションは、AWS現在使用可能な管理ルールルールグループ。これらの情報は、ウェブ ACL にマネージドルールグループを追加するときにコンソールに表示されます。API を介して、ListAvailableManagedRuleGroups を呼び出すことによって、サブスクライブしている AWS Marketplace マネージドルールグループとともにこのリストを取得できます。

ベースラインルールグループ

ベースラインマネージドルールグループは、さまざまな一般的な脅威に対する一般的な保護を提供します。これらのルールグループを 1 つ以上選択して、リソースのベースライン保護を確立します。

コアルールセット (CRS)

VendorName AWS, 名前: AWSManagedRulesCommonRuleSet, WCU: 700

コアルールセット (CRS) ルールグループには、ウェブアプリケーションに一般的に適用可能なルールが含まれています。これにより、OWASP の出版物に記載されている高リスクの脆弱性や一般的な脆弱性など、さまざまな脆弱性の悪用に対する保護が提供されます。Owasp Top 10。すべての AWS WAF ユースケースでこのルールグループを使用することを検討してください。

ルール名 説明
NoUserAgent_HEADER HTTP User-Agent ヘッダーのないリクエストをブロックします。
UserAgent_BadBots_HEADER リクエストに、不正なボットであることを示す一般的な User-Agent ヘッダー値がないかを検査します。パターンの例には、nessusnmap などがあります。

ボット管理については、AWS WAFボット制御ルールグループ

SizeRestrictions_QUERYSTRING URI クエリ文字列の長さが最大 2,048 バイトであることを確認します。
SizeRestrictions_Cookie_HEADER Cookie ヘッダーの長さが最大 10,240 バイトであることを確認します。
SizeRestrictions_BODY リクエスト本文のサイズが最大 10,240 バイトであることを確認します。
SizeRestrictions_URIPATH URI パスの長さが最大 1,024 バイトであることを確認します。
EC2MetaDataSSRF_BODY リクエスト本文から Amazon EC2 メタデータを盗み出す試みがないかを検査します。
EC2MetaDataSSRF_COOKIE リクエスト Cookie から Amazon EC2 メタデータを盗み出す試みがないかを検査します。
EC2MetaDataSSRF_URIPATH リクエスト URI パスから Amazon EC2 メタデータを盗み出す試みがないかを検査します。
EC2MetaDataSSRF_QUERYARGUMENTS リクエストクエリ引数から Amazon EC2 メタデータを盗み出す試みがないかを検査します。
GenericLFI_QUERYARGUMENTS クエリ引数に、ローカルファイルインクルージョン (LFI) を悪用する形跡がないかを検査します。例には、../../ などの手法を使用したパストラバーサルの試行があります。
GenericLFI_URIPATH URI パスに、ローカルファイルインクルージョン (LFI) を悪用する形跡がないかを検査します。例には、../../ などの手法を使用したパストラバーサルの試行があります。
GenericLFI_BODY リクエスト本文に、ローカルファイルインクルージョン (LFI) を悪用する形跡がないかを検査します。例には、../../ などの手法を使用したパストラバーサルの試行があります。
RestrictedExtensions_URIPATH リクエストの URI パスに、クライアントが読み取りや実行を禁止されているシステムファイルの拡張子が含まれていないかを検査します。パターンの例には、.log.ini などの拡張子があります。
RestrictedExtensions_QUERYARGUMENTS リクエストのクエリ引数に、クライアントが読み取りや実行を禁止されているシステムファイルの拡張子が含まれていないかを検査します。パターンの例には、.log.ini などの拡張子があります。
GenericRFI_QUERYARGUMENTS すべてのクエリパラメータの値を検査し、ウェブアプリケーションの RFI (リモートファイルインクルージョン) を悪用しようとするリクエストをブロックします。パターンの例には、:// などがあります。
GenericRFI_BODY リクエスト本文の値を検査し、ウェブアプリケーションの RFI (リモートファイルインクルージョン) を悪用しようとするリクエストをブロックします。パターンの例には、:// などがあります。
GenericRFI_URIPATH URI パスの値を検査し、ウェブアプリケーションの RFI (リモートファイルインクルージョン) を悪用しようとするリクエストをブロックします。パターンの例には、:// などがあります。
CrossSiteScripting_COOKIE 組み込み XSS 検出ルールを使用して、Cookie ヘッダーの値を検査し、一般的なクロスサイトスクリプティング (XSS) パターンをブロックします。AWS WAF。パターンの例には、<script>alert("hello")</script> などのスクリプトあります。
CrossSiteScripting_QUERYARGUMENTS の組み込み XSS 検出ルールを使用して、クエリ引数の値を検査し、一般的なクロスサイトスクリプティング (XSS) パターンをブロックします。AWS WAF。パターンの例には、<script>alert("hello")</script> などのスクリプトあります。
CrossSiteScripting_BODY の組み込み XSS 検出ルールを使用して、リクエスト本文の値を検査し、一般的なクロスサイトスクリプティング (XSS) パターンをブロックします。AWS WAF。パターンの例には、<script>alert("hello")</script> などのスクリプトあります。
CrossSiteScripting_URIPATH 組み込み XSS 検出ルールを使用して、URI パスの値を検査し、一般的なクロスサイトスクリプティング (XSS) パターンをブロックします。AWS WAF。パターンの例には、<script>alert("hello")</script> などのスクリプトあります。

管理者保護

VendorName AWS, 名前: AWSManagedRulesAdminProtectionRuleSet, WCU: 100

管理者保護ルールグループには、公開されている管理ページへの外部アクセスをブロックするためのルールが含まれています。これは、サードパーティーのソフトウェアを実行している場合や、悪意のあるアクターがアプリケーションへの管理アクセスを得るリスクを軽減したい場合に便利です。

ルール名 説明
AdminProtection_URIPATH リクエストに、一般的にウェブサーバーまたはアプリケーションの管理用に予約されている URI パスがないかを検査します。パターンの例には、sqlmanager などがあります。

既知の不正な入力

VendorName AWS, 名前: AWSManagedRulesKnownBadInputsRuleSet, WCU: 200

既知の不正な入力ルールグループには、無効であることがわかっており脆弱性の悪用または発見に関連するリクエストパターンをブロックするルールが含まれています。これにより、悪意のあるアクターが脆弱なアプリケーションを発見するリスクを軽減できます。

ルール名 説明
Host_localhost_HEADER リクエストのホストヘッダーに、localhost を示すパターンがないかを検査します。パターンの例には、localhost などがあります。
PROPFIND_METHOD リクエストの HTTP メソッドに、PROPFIND がないかを検査します。このメソッドは HEAD と同様ですが、XML オブジェクトを抽出しようとする点が異なります。
ExploitablePaths_URIPATH URI パスに、悪用可能なウェブアプリケーションパスにアクセスする試みがないかを検査します。パターンの例には、web-inf などのパスがあります。
BadAuthToken_COOKIE_AUTHORIZATION リクエストに、未承諾の JSON ウェブトークン(JWT) がないかを検査します。これにより、悪意のあるアクターがシークレットキーを推測しようとするのを防ぎます。

ユースケース固有のルールグループ

ユースケース固有のルールグループは、さまざまな AWS WAF ユースケースに対して段階的な保護を提供します。アプリケーションに適用するルールグループを選択します。

SQL データベース

VendorName AWS, 名前: AWSManagedRulesSQLiRuleSet, WCU: 200

SQL Database ルールグループには、SQL インジェクション攻撃などの SQL データベースの悪用に関連するリクエストパターンをブロックするルールが含まれています。これにより、不正なクエリのリモートインジェクションを防ぐことができます。アプリケーションが SQL データベースと連結している場合は、このルールグループを評価します。

ルール名 説明
SQLiExtendedPatterns_QUERYARGUMENTS すべてのクエリパラメータの値に、悪意のある SQL コードに一致するパターンがないかを検査します。このルールが検査するパターンは、組み込みの AWS WAF SQL インジェクション match ステートメントの対象外です。
SQLi_QUERYARGUMENTS 組み込みの AWS WAF SQL インジェクション match ステートメントを使用して、すべてのクエリパラメータの値に、悪意のある SQL コードに一致するパターンがないかを検査します。
SQLi_BODY 組み込みの AWS WAF SQL インジェクション match ステートメントを使用して、リクエスト本文に、悪意のある SQL コードに一致するパターンがないかを検査します。
SQLi_COOKIE 組み込みの AWS WAF SQL インジェクション match ステートメントを使用して、リクエスト Cookie ヘッダーに、悪意のある SQL コードに一致するパターンがないかを検査します。
SQLi_URIPATH 組み込みの AWS WAF インジェクション match ステートメントを使用して、リクエスト URI パスに、悪意のある SQL コードに一致するパターンがないかを検査します。

Linux オペレーティングシステム

VendorName AWS, 名前: AWSManagedRulesLinuxRuleSet, WCU: 200

Linux オペレーティングシステムルールグループには、Linux 固有のローカルファイルインクルージョン (LFI) 攻撃など、Linux 固有の脆弱性の悪用に関連するリクエストパターンをブロックするルールが含まれています。これにより、攻撃者がアクセスしてはならないファイルの内容を公開したり、コードを実行したりする攻撃を防ぐことができます。アプリケーションの一部が Linux で実行されている場合は、このルールグループを評価する必要があります。このルールグループは、POSIX operating system ルールグループと組み合わせて使用する必要があります。

ルール名 説明
LFI_URIPATH リクエストパスに、ウェブアプリケーションのローカルファイルインクルージョン (LFI) の脆弱性を悪用する試みがないかを検査します。パターンの例には、攻撃者にオペレーティングシステムの情報を提供できる /proc/version などのファイルがあります。
LFI_QUERYARGUMENTS すべてのクエリパラメータの値に、ウェブアプリケーションのローカルファイルインクルージョン (LFI) の脆弱性を悪用する試みがないかを検査します。パターンの例には、攻撃者にオペレーティングシステムの情報を提供できる /proc/version などのファイルがあります。
LFI_BODY リクエスト本文に、ウェブアプリケーションのローカルファイルインクルージョン (LFI) の脆弱性を悪用する試みがないかを検査します。パターンの例には、攻撃者にオペレーティングシステムの情報を提供できる /proc/version などのファイルがあります。

POSIX オペレーティングシステム

VendorName AWS, 名前: AWSManagedRulesUnixRuleSet, WCU: 100

POSIX オペレーティングシステムルールグループには、POSIX および POSIX と同等のオペレーティングシステムに固有の脆弱性の悪用 (ローカルファイルインクルージョン (LFI) 攻撃など) に関連するリクエストパターンをブロックするルールが含まれています。これにより、攻撃者がアクセスしてはならないファイルの内容を公開したり、コードを実行したりする攻撃を防ぐことができます。アプリケーションの一部が POSIX または POSIX と同等のオペレーティングシステム (Linux、AIX、HP-UX、macOS、Solaris、FreeBSD、OpenBSD など) で実行されている場合は、このルールグループを評価する必要があります。

ルール名 説明
UNIXShellCommandsVariables_QUERYARGUMENTS すべてのクエリパラメータの値に、Unix システムで実行されるウェブアプリケーションのコマンドインジェクション、LFI、パストラバーサルの脆弱性を悪用する試みないかを検査します。パターンの例には、echo $HOMEecho $PATH などがあります。
UNIXShellCommandsVariables_BODY リクエスト本文に、Unix システムで実行されるウェブアプリケーションのコマンドインジェクション、LFI、パストラバーサルの脆弱性を悪用する試みがないかを検査します。パターンの例には、echo $HOMEecho $PATH などがあります。

Windows オペレーティングシステム

VendorName AWS, 名前: AWSManagedRulesWindowsRuleSet, WCU: 200

Windows オペレーティングシステムのルールグループには、PowerShell コマンドのリモート実行など、Windows 固有の脆弱性の悪用に関連するリクエストパターンをブロックするルールが含まれています。これにより、攻撃者が不正なコマンドを実行したり、悪意のあるコードを実行したりする脆弱性の悪用を防ぐことができます。アプリケーションの一部が Windows オペレーティングシステムで実行されている場合は、このルールグループを評価します。

ルール名 説明
PowerShellCommands_Set1_QUERYARGUMENTS すべてのクエリパラメータの値を検査し、ウェブアプリケーションでの PowerShell コマンドインジェクションの試行をブロックします。この検査では、パターンマッチングセットのサイズに対応するために、2 つの規則が必要です。一致パターンは、PowerShell コマンドを表します。たとえば、Invoke-Expression
PowerShellCommands_Set2_QUERYARGUMENTS すべてのクエリパラメータの値を検査し、ウェブアプリケーションでの PowerShell コマンドインジェクションの試行をブロックします。この検査では、パターンマッチングセットのサイズに対応するために、2 つの規則が必要です。一致パターンは、PowerShell コマンドを表します。たとえば、Invoke-Expression
PowerShellCommands_Set1_BODY リクエスト本文の値を検査し、ウェブアプリケーションでの PowerShell コマンドインジェクションの試行をブロックします。この検査では、パターンマッチングセットのサイズに対応するために、2 つの規則が必要です。一致パターンは、PowerShell コマンドを表します。たとえば、Invoke-Expression
PowerShellCommands_Set2_BODY リクエスト本文の値を検査し、ウェブアプリケーションでの PowerShell コマンドインジェクションの試行をブロックします。この検査では、パターンマッチングセットのサイズに対応するために、2 つの規則が必要です。一致パターンは、PowerShell コマンドを表します。たとえば、Invoke-Expression

PHP アプリケーション

VendorName AWS, 名前: AWSManagedRulesPHPRuleSet, WCU: 100

PHP アプリケーションルールグループには、安全でない PHP 関数のインジェクションなど、PHP プログラミング言語の使用に固有の脆弱性の悪用に関連するリクエストパターンをブロックするルールが含まれています。これにより、攻撃者が許可されていないコードまたはコマンドをリモートで実行できる脆弱性の悪用を防ぐことができます。アプリケーションが連結するサーバーに PHP がインストールされている場合は、このルールグループを評価します。

ルール名 説明
PHPHighRiskMethodsVariables_QUERYARGUMENTS すべてのクエリパラメータの値に、PHP スクリプトコードインジェクションの試行がないかを検査します。パターンの例には、fsockopen$_GET などの関数があります。
PHPHighRiskMethodsVariables_BODY リクエスト本文の値に、PHP スクリプトコードインジェクションがないかを検査します。パターンの例には、fsockopen$_GET などの関数があります。

WordPress アプリケーション

VendorName AWS, 名前: AWSManagedRulesWordPressRuleSet, WCU: 100

WordPress アプリケーションルールグループには、WordPress サイト固有の脆弱性の悪用に関連するリクエストパターンをブロックするルールが含まれています。WordPress を実行している場合は、このルールグループを評価する必要があります。このルールグループは、SQL database および PHP application ルールグループと組み合わせて使用する必要があります。

ルール名 説明
WordPressExploitableCommands_QUERYSTRING リクエストクエリ文字列に、脆弱なインストールまたはプラグインで悪用される可能性のある高リスクの WordPress コマンドがないかを検査します。パターンの例には、do-reset-wordpress などのコマンドがあります。
WordPressExploitablePaths_URIPATH リクエストの URI パスに、脆弱性が簡単に悪用されることがわかっている xmlrpc.php などの WordPress ファイルがないかを検査します。

IP 評価ルールグループ

IP 評価ルールグループを使用すると、ソースに基づいてリクエストをブロックできます。ボットトラフィックや悪用の試みを軽減する場合、またはコンテンツに地理的制限を適用する場合は、これらのルールグループを 1 つ以上選択します。ボット管理については、AWS WAFボット制御ルールグループ

Amazon IP 評価リスト

VendorName AWS, 名前: AWSManagedRulesAmazonIpReputationList, WCU: 25

Amazon IP 評価リストルールグループには、Amazon 内部脅威インテリジェンスに基づくルールが含まれています。これは、通常、ボットやその他の脅威に関連付けられている IP アドレスをブロックする場合に便利です。これらの IP アドレスをブロックすることで、ボットを軽減し、悪意のあるアクターが脆弱なアプリケーションを発見するリスクを軽減できます。

このルールグループのルールによって、一致するリクエストにラベルが追加されます。ラベル付けの詳細については、を参照してください。AWS WAFWeb リクエストのラベル

ルール名 説明
AWSManagedIPReputationList Amazon 脅威インテリジェンスによってボットとして識別された IP アドレスのリストを検査します。

[Label: (ラベル:)]awswaf:managed:aws:amazon-ip-list:AWSManagedIPReputationList

匿名 IP リスト

VendorName AWS, 名前: AWSManagedRulesAnonymousIpList, WCU: 50

匿名 IP リストルールグループには、ビューワー ID の難読化を許可するサービスからのリクエストをブロックするルールが含まれています。これには、VPN、プロキシ、Tor ノード、ホスティングプロバイダー (AWS). このルールグループは、アプリケーションから ID を隠そうとするビューワーを除外する場合に便利です。これらのサービスの IP アドレスをブロックすると、ボットの軽減や地理的制限の回避に役立ちます。

このルールグループのルールによって、一致するリクエストにラベルが追加されます。ラベル付けの詳細については、を参照してください。AWS WAFWeb リクエストのラベル

ルール名 説明
AnonymousIPList クライアントの情報を匿名化することがわかっているソース (TOR ノード、一時プロキシ、その他のマスキングサービスなど) の IP アドレスのリストを検査します。

[Label: (ラベル:)]awswaf:managed:aws:anonymous-ip-list:AnonymousIPList

HostingProviderIPList エンドユーザートラフィックのソースになる可能性が低いホスティングプロバイダーとクラウドプロバイダーの IP アドレスのリストを検査します。例には、AWS などのクラウドプロバイダーがあります。

[Label: (ラベル:)]awswaf:managed:aws:anonymous-ip-list:HostingProviderIPList

AWS WAFボット制御ルールグループ

ボットコントロール管理ルールグループは、AWSマネージドルール

AWS WAFボットの制御

VendorName AWS, 名前: AWSManagedRulesBotControlRuleSet, WCU: 50

ボットコントロールマネージドルールグループには、ボットからのリクエストをブロックおよび管理するためのルールが含まれています。このルールグループを使用すると、追加料金が請求されます。詳細については、AWS WAF 料金を参照してください。

コストを抑え、ボットのトラフィックを確実に管理するために、このルールグループを使用します。AWS WAFボットコントロール

Bot Control 管理ルールグループは、ルールごとにラベルを生成します。API を使用してラベルを取得するには、API を使用します。DescribeManagedRuleGroup。ラベルは、AvailableLabelsプロパティを返します。

Bot Control ラベルは、ルールに応じて、次のネームスペースで生成されます。

  • bot:category:— ボットのカテゴリです。AWS WAF例えば、bot:category:search_engine:およびbot:category:content_fetcher:

  • bot:name:— ボット名 (使用可能な場合) です。bot:name:slurp,bot:name:googlebot, およびbot:name:pocket_parser

  • bot:— 検証済みボットのラベルを示すために使用されます。bot:verified。これは、一般的な望ましいボットに使用されます。googlebotおよびbingbot

    ボットコントロールは、AWS WAFボットの検証を行うこともできます。プロキシまたはロードバランサーを介してルーティングするボットを検証した場合は、明示的に許可する必要がある場合があります。詳細については、転送された IP アドレス を参照してください。

  • signal:— より一般的に使用または検証されていないボットを示すリクエストの属性に使用されます。

ボットコントロール管理ルールグループは、一般的に許可されている検証可能なボットセットにラベルを適用します。ルールグループはこのカテゴリのボットをブロックせず、signal:label。必要に応じて、Bot Control 管理ルールグループによって適用されたラベルを使用するカスタムルールを記述することで、これらのルールまたはサブセットをブロックできます。これと例の詳細については、「」を参照してください。AWS WAFボットコントロール

ルール名 説明
CategoryAdvertising 広告目的で使用されるボットを検査します。
CategoryArchiver アーカイブ目的で使用されるボットを検査します。
CategoryContentFetcher エンドユーザーの代わりにコンテンツを取得しているボットを検査します。
CategoryHttpLibrary ボットによってよく使用される HTTP ライブラリを検査します。
CategoryLinkChecker 壊れたリンクをチェックするボットを検査します。
CategoryMiscellaneous その他のボットを検査します。
CategoryMonitoring 監視目的で使用されるボットを検査します。
CategoryScrapingFramework Webスクレイピングフレームワークを検査します。
CategorySecurity セキュリティ関連のボットを検査します。
CategorySeo 検索エンジンの最適化に使用されるボットを検査します。
CategorySocialMedia コンテンツの概要を提供するためにソーシャルメディアプラットフォームで使用されるボットを検査します。ソーシャルメディアのボットがブロックされていないことを確認しました。
CategorySearchEngine 検索エンジンのボットを検査します。検証済みの検索エンジンはブロックされません。
SignalAutomatedBrowser 自動化されたWebブラウザの表示を検査します。
SignalKnownBotDataCenter ボットによって一般的に使用されるデータセンターを検査します。
SignalNonBrowserUserAgent Webブラウザからではないと思われるユーザーエージェント文字列を検査します。