AWS Managed Rules rule groups リスト - AWS WAF、AWS Firewall Manager、および AWS Shield アドバンスド

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

AWS Managed Rules rule groups リスト

このセクションでは、現在使用可能な AWS Managed Rules rule groups について説明します。これらの情報は、ウェブ ACL にマネージドルールグループを追加するときにコンソールに表示されます。API を介して、ListAvailableManagedRuleGroups を呼び出すことによって、サブスクライブしている AWS Marketplace マネージドルールグループとともにこのリストを取得できます。

ベースラインルールグループ

ベースラインマネージドルールグループは、さまざまな一般的な脅威に対する一般的な保護を提供します。これらのルールグループを 1 つ以上選択して、リソースのベースライン保護を確立します。

コアルールセット (CRS)

VendorName: AWS、名前: AWSManagedRulesCommonRuleSet、 WCU: 700

コアルールセット (CRS) ルールグループには、ウェブアプリケーションに一般的に適用可能なルールが含まれています。これは、ハイリスクおよび OWASP出版物。すべての AWS WAF ユースケースでこのルールグループを使用することを検討してください。

ルール名 説明
NoUserAgent_ヘッダー HTTP User-Agent ヘッダーのないリクエストをブロックします。
UserAgent_バッドボット_ヘッダー リクエストに、不正なボットであることを示す一般的な User-Agent ヘッダー値がないかを検査します。パターンの例には、nessusnmap などがあります。
SizeRestrictions_クエリリング URI クエリ文字列の長さがアプリケーションの標準境界内にあることを確認します。
SizeRestrictions_クッキー_ヘッダー Cookie ヘッダーの長さが多くのアプリケーションの一般的な範囲内であることを確認します。
SizeRestrictions_BODY(_BODY) リクエスト本文のサイズが多くのアプリケーションの一般的な範囲内であることを確認します。
SizeRestrictions_URIPATH(URIPATH) URI パスの長さが仕様内であることを確認します。
EC2MetaDataSSRF_BODY(_BODY) リクエスト本文から Amazon EC2 メタデータを盗み出す試みがないかを検査します。
EC2MetaDataSSRF_クーキー リクエスト Cookie から Amazon EC2 メタデータを盗み出す試みがないかを検査します。
EC2MetaDataSSRF_URIPATH(URIPATH) リクエスト URI パスから Amazon EC2 メタデータを盗み出す試みがないかを検査します。
EC2MetaDataSSRF_質問 リクエストクエリ引数から Amazon EC2 メタデータを盗み出す試みがないかを検査します。
GenericLFI_質問 クエリ引数に、ローカルファイルインクルージョン (LFI) を悪用する形跡がないかを検査します。例には、../../ などの手法を使用したパストラバーサルの試行があります。
GenericLFI_URIPATH(URIPATH) URI パスに、ローカルファイルインクルージョン (LFI) を悪用する形跡がないかを検査します。例には、../../ などの手法を使用したパストラバーサルの試行があります。
GenericLFI_BODY(_BODY) リクエスト本文に、ローカルファイルインクルージョン (LFI) を悪用する形跡がないかを検査します。例には、../../ などの手法を使用したパストラバーサルの試行があります。
RestrictedExtensions_URIPATH(URIPATH) リクエストの URI パスに、クライアントが読み取りや実行を禁止されているシステムファイルの拡張子が含まれていないかを検査します。パターンの例には、.log.ini などの拡張子があります。
RestrictedExtensions_質問 リクエストのクエリ引数に、クライアントが読み取りや実行を禁止されているシステムファイルの拡張子が含まれていないかを検査します。パターンの例には、.log.ini などの拡張子があります。
GenericRFI_質問 すべてのクエリパラメータの値を検査し、ウェブアプリケーションの RFI (リモートファイルインクルージョン) を悪用しようとするリクエストをブロックします。パターンの例には、:// などがあります。
GenericRFI_BODY(_BODY) リクエスト本文の値を検査し、ウェブアプリケーションの RFI (リモートファイルインクルージョン) を悪用しようとするリクエストをブロックします。パターンの例には、:// などがあります。
GenericRFI_URIPATH(URIPATH) URI パスの値を検査し、ウェブアプリケーションの RFI (リモートファイルインクルージョン) を悪用しようとするリクエストをブロックします。パターンの例には、:// などがあります。
CrossSiteScripting_クーキー AWS WAF の組み込み XSS 検出ルールを使用して、Cookie ヘッダーの値を検査し、一般的なクロスサイトスクリプティング (XSS) パターンをブロックします。パターンの例には、<script>alert("hello")</script> などのスクリプトあります。
CrossSiteScripting_質問 AWS WAF の組み込み XSS 検出ルールを使用して、クエリ引数の値を検査し、一般的なクロスサイトスクリプティング (XSS) パターンをブロックします。パターンの例には、<script>alert("hello")</script> などのスクリプトあります。
CrossSiteScripting_BODY(_BODY) AWS WAF の組み込み XSS 検出ルールを使用して、リクエスト本文の値を検査し、一般的なクロスサイトスクリプティング (XSS) パターンをブロックします。パターンの例には、<script>alert("hello")</script> などのスクリプトあります。
CrossSiteScripting_URIPATH(URIPATH) AWS WAF の組み込み XSS 検出ルールを使用して、URI パスの値を検査し、一般的なクロスサイトスクリプティング (XSS) パターンをブロックします。パターンの例には、<script>alert("hello")</script> などのスクリプトあります。

管理者保護

VendorName: AWS、名前: AWSManagedRulesAdminProtectionRuleSet、 WCU: 100

管理者保護ルールグループには、公開されている管理ページへの外部アクセスをブロックするためのルールが含まれています。これは、サードパーティーのソフトウェアを実行している場合や、悪意のあるアクターがアプリケーションへの管理アクセスを得るリスクを軽減したい場合に便利です。

ルール名 説明
AdminProtection_URIPATH(URIPATH) リクエストに、一般的にウェブサーバーまたはアプリケーションの管理用に予約されている URI パスがないかを検査します。パターンの例には、sqlmanager などがあります。

既知の不正な入力

VendorName: AWS、名前: AWSManagedRulesKnownBadInputsRuleSet、 WCU: 200

既知の不正な入力ルールグループには、無効であることがわかっており脆弱性の悪用または発見に関連するリクエストパターンをブロックするルールが含まれています。これにより、悪意のあるアクターが脆弱なアプリケーションを発見するリスクを軽減できます。

ルール名 説明
Host_localhost_HEADER リクエストのホストヘッダーに、localhost を示すパターンがないかを検査します。パターンの例には、localhost などがあります。
PROPFIND_METHOD リクエストの HTTP メソッドに、PROPFIND がないかを検査します。このメソッドは HEAD と同様ですが、XML オブジェクトを抽出しようとする点が異なります。
ExploitablePaths_URIPATH(URIPATH) URI パスに、悪用可能なウェブアプリケーションパスにアクセスする試みがないかを検査します。パターンの例には、web-inf などのパスがあります。
BadAuthToken_クッキー_認証 リクエストに、未承諾の JSON ウェブトークン(JWT) がないかを検査します。これにより、悪意のあるアクターがシークレットキーを推測しようとするのを防ぎます。

ユースケース固有のルールグループ

ユースケース固有のルールグループは、さまざまな AWS WAF ユースケースに対して段階的な保護を提供します。アプリケーションに適用するルールグループを選択します。

SQL データベース

VendorName: AWS、名前: AWSManagedRulesSQLiRuleSet、 WCU: 200

SQL Database ルールグループには、SQL インジェクション攻撃などの SQL データベースの悪用に関連するリクエストパターンをブロックするルールが含まれています。これにより、不正なクエリのリモートインジェクションを防ぐことができます。アプリケーションが SQL データベースと連結している場合は、このルールグループを評価します。

ルール名 説明
SQLiExtendedPatterns_質問 すべてのクエリパラメータの値に、悪意のある SQL コードに一致するパターンがないかを検査します。このルールが検査するパターンは、組み込みの AWS WAF SQL インジェクション match ステートメントの対象外です。
SQLi_質問 組み込みの AWS WAF SQL インジェクション match ステートメントを使用して、すべてのクエリパラメータの値に、悪意のある SQL コードに一致するパターンがないかを検査します。
SQLi_BODY(_BODY) 組み込みの AWS WAF SQL インジェクション match ステートメントを使用して、リクエスト本文に、悪意のある SQL コードに一致するパターンがないかを検査します。
SQLi_クーキー 組み込みの AWS WAF SQL インジェクション match ステートメントを使用して、リクエスト Cookie ヘッダーに、悪意のある SQL コードに一致するパターンがないかを検査します。
SQLi_URIPATH(URIPATH) 組み込みの AWS WAF インジェクション match ステートメントを使用して、リクエスト URI パスに、悪意のある SQL コードに一致するパターンがないかを検査します。

Linux オペレーティングシステム

VendorName: AWS、名前: AWSManagedRulesLinuxRuleSet、 WCU: 200

Linux オペレーティングシステムルールグループには、Linux 固有のローカルファイルインクルージョン (LFI) 攻撃など、Linux 固有の脆弱性の悪用に関連するリクエストパターンをブロックするルールが含まれています。これは、攻撃者がアクセスすべきでないファイルの内容を公開したり、コードを実行したりする攻撃を防ぐのに役立ちます。アプリケーションの一部が Linux で実行されている場合は、このルールグループを評価する必要があります。このルールグループは、POSIX operating system ルールグループと組み合わせて使用する必要があります。

ルール名 説明
LFI_URIPATH リクエストパスに、ウェブアプリケーションのローカルファイルインクルージョン (LFI) の脆弱性を悪用する試みがないかを検査します。パターンの例には、攻撃者にオペレーティングシステムの情報を提供できる /proc/version などのファイルがあります。
LFI_QUERYARGUMENTS すべてのクエリパラメータの値に、ウェブアプリケーションのローカルファイルインクルージョン (LFI) の脆弱性を悪用する試みがないかを検査します。パターンの例には、攻撃者にオペレーティングシステムの情報を提供できる /proc/version などのファイルがあります。
LFI_BODY リクエスト本文に、ウェブアプリケーションのローカルファイルインクルージョン (LFI) の脆弱性を悪用する試みがないかを検査します。パターンの例には、攻撃者にオペレーティングシステムの情報を提供できる /proc/version などのファイルがあります。

POSIXオペレーティングシステム

VendorName: AWS、名前: AWSManagedRulesUnixRuleSet、 WCU: 100

POSIX オペレーティングシステムルールグループには、POSIX および POSIX と同等のオペレーティングシステムに固有の脆弱性の悪用 (ローカルファイルインクルージョン (LFI) 攻撃など) に関連するリクエストパターンをブロックするルールが含まれています。これは、攻撃者がアクセスすべきでないファイルの内容を公開したり、コードを実行したりする攻撃を防ぐのに役立ちます。このルールグループを評価する必要があるのは、アプリケーションのいずれかの部分が、Linux、AIX、HP-UX、 macOS、Solaris、 FreeBSD、および OpenBSD。

ルール名 説明
UNIXShellCommandsVariables_質問 すべてのクエリパラメータの値に、Unix システムで実行されるウェブアプリケーションのコマンドインジェクション、LFI、パストラバーサルの脆弱性を悪用する試みないかを検査します。パターンの例には、echo $HOMEecho $PATH などがあります。
UNIXShellCommandsVariables_BODY(_BODY) リクエスト本文に、Unix システムで実行されるウェブアプリケーションのコマンドインジェクション、LFI、パストラバーサルの脆弱性を悪用する試みがないかを検査します。パターンの例には、echo $HOMEecho $PATH などがあります。

Windows オペレーティングシステム

VendorName: AWS、名前: AWSManagedRulesWindowsRuleSet、 WCU: 200

Windows オペレーティングシステムルールグループには、Windows 固有の脆弱性の悪用に関連するリクエストパターンをブロックするルールが含まれています。 PowerShell コマンド。これにより、攻撃者が不正なコマンドを実行したり、悪意のあるコードを実行したりできる脆弱性の悪用を防ぐことができます。アプリケーションの一部が Windows オペレーティングシステムで実行されている場合は、このルールグループを評価します。

ルール名 説明
PowerShellCommands_セット1_クエリ すべてのクエリパラメータとブロックの値を検査します。 PowerShell コマンドインジェクションの試行 ウェブ アプリケーション。パターンの例には、Invoke-Expression などの関数があります。
PowerShellCommands_設定2_質問 すべてのクエリパラメータの値を検査し、ウェブアプリケーションでの PowerShell コマンドインジェクションの試行をブロックします。パターンの例には、Invoke-Expression などの関数があります。
PowerShellCommands_セット1_BODY 要求ボディとブロックを検査します。 PowerShell コマンドインジェクションの試行をWebアプリケーションで実行しました。パターンの例には、Invoke-Expression などの関数があります。
PowerShellCommands_セット2_BODY 要求ボディとブロックを検査します。 PowerShell コマンドインジェクションの試行をWebアプリケーションで実行しました。パターンの例には、Invoke-Expression などの関数があります。

PHP申請

VendorName: AWS、名前: AWSManagedRulesPHPRuleSet、 WCU: 100

PHP アプリケーションルールグループには、安全でない PHP 関数のインジェクションなど、PHP プログラミング言語の使用に固有の脆弱性の悪用に関連するリクエストパターンをブロックするルールが含まれています。これは、攻撃者が許可されていないコードまたはコマンドをリモートで実行できるようにする脆弱性の悪用を防ぐのに役立ちます。アプリケーションが連結するサーバーに PHP がインストールされている場合は、このルールグループを評価します。

ルール名 説明
PHPHighRiskMethodsVariables_質問 すべてのクエリパラメータの値に、PHP スクリプトコードインジェクションの試行がないかを検査します。パターンの例には、fsockopen$_GET などの関数があります。
PHPHighRiskMethodsVariables_BODY(_BODY) リクエスト本文の値に、PHP スクリプトコードインジェクションがないかを検査します。パターンの例には、fsockopen$_GET などの関数があります。

WordPress アプリケーション

VendorName: AWS、名前: AWSManagedRulesWordPressRuleSet、 WCU: 100

[ WordPress アプリケーション ルール グループには、特定の脆弱性の悪用に関連するリクエスト パターンをブロックするルールが含まれています。 WordPress サイト。このルールグループを実行する場合は、このルールグループを評価する必要があります。 WordPress. このルールグループは、 SQL database および PHP application ルールグループ。

ルール名 説明
WordPressExploitableCommands_クエリリング 要求クエリ文字列に高リスクがないか検査します。 WordPress 脆弱なインストールまたはプラグインで悪用される可能性のあるコマンド。パターンの例には、do-reset-wordpress などのコマンドがあります。
WordPressExploitablePaths_URIPATH(URIPATH) 要求 URI パスを検査します。 WordPress 次のようなファイル xmlrpc.php脆弱性を悪用しやすいことが知られている。

IP 評価ルールグループ

IP 評価ルールグループを使用すると、ソースに基づいてリクエストをブロックできます。ボットトラフィックや悪用の試みを軽減する場合、またはコンテンツに地理的制限を適用する場合は、これらのルールグループを 1 つ以上選択します。

Amazon IP 評価リスト

VendorName: AWS、名前: AWSManagedRulesAmazonIpReputationList、 WCU: 25

Amazon IP 評価リストルールグループには、Amazon 内部脅威インテリジェンスに基づくルールが含まれています。これは、通常、ボットやその他の脅威に関連付けられている IP アドレスをブロックする場合に便利です。これらの IP アドレスをブロックすることで、ボットを軽減し、悪意のあるアクターが脆弱なアプリケーションを発見するリスクを軽減できます。

ルール名 説明
AWSManagedIPReputationList_xxxx(_xxxx) Amazon 脅威インテリジェンスによって悪意のあるアクターおよびボットとして識別された IP アドレスのリストを検査します。

匿名 IP リスト

VendorName: AWS、名前: AWSManagedRulesAnonymousIpList、 WCU: 50

匿名 IP リストルールグループには、ビューワー ID の難読化を許可するサービスからのリクエストをブロックするルールが含まれています。これには、 VPNs、プロキシ、Tor ノード、ホスティングプロバイダ(AWS を含む)。このルールグループは、アプリケーションから ID を隠そうとするビューワーを除外する場合に便利です。これらのサービスの IP アドレスをブロックすると、ボットの軽減や地理的制限の回避に役立ちます。

ルール名 説明
AnonymousIPList クライアントの情報を匿名化することがわかっているソース (TOR ノード、一時プロキシ、その他のマスキングサービスなど) の IP アドレスのリストを検査します。
HostingProviderIPList エンドユーザートラフィックのソースになる可能性が低いホスティングプロバイダーとクラウドプロバイダーの IP アドレスのリストを検査します。例には、AWS などのクラウドプロバイダーがあります。