ベースラインルールグループユースケース固有のルールグループ IP 評価ルールグループ AWS WAF ボットコントロールルールグループ

AWS 管理ルールのルールグループリスト

このセクションでは、現在使用可能な AWS Managed Rules ルールグループについて説明します。これらの情報は、ウェブ ACL にマネージドルールグループを追加するときにコンソールに表示されます。API を介して、サブスクライブしている AWS Marketplace マネージドルールグループとともにこのリストを取得できます。ListAvailableManagedRuleGroups。

ベースラインルールグループ

ベースラインマネージドルールグループは、さまざまな一般的な脅威に対する一般的な保護を提供します。これらのルールグループを 1 つ以上選択して、リソースのベースライン保護を確立します。

コアルールセット (CRS)

VendorName: AWS, 名前: AWSManagedRulesCommonRuleSet, WCU: 700

コアルールセット (CRS) ルールグループには、ウェブアプリケーションに一般的に適用可能なルールが含まれています。これにより、OWASP の出版物に記載されている高リスクの脆弱性や一般的な脆弱性など、幅広い脆弱性の悪用に対する保護が提供されます。OWASPトップ10。このルールグループを AWS WAF ユースケースで使用することを検討してください。

ルール名	説明
`NoUserAgent_HEADER`	HTTP `User-Agent` ヘッダーのないリクエストをブロックします。
`UserAgent_BadBots_HEADER`	リクエストに、不正なボットであることを示す一般的な `User-Agent` ヘッダー値がないかを検査します。パターンの例には、`nessus`、`nmap` などがあります。ボット管理については、AWS WAF ボットコントロールルールグループ。
`SizeRestrictions_QUERYSTRING`	URI クエリ文字列の長さが最大 2,048 バイトであることを確認します。
`SizeRestrictions_Cookie_HEADER`	Cookie ヘッダーの長さが最大 10,240 バイトであることを確認します。
`SizeRestrictions_BODY`	リクエスト本文のサイズが最大で 10,240 バイトであることを確認します。
`SizeRestrictions_URIPATH`	URI パスの長さが最大で 1,024 バイトであることを確認します。
`EC2MetaDataSSRF_BODY`	リクエスト本文から Amazon EC2 メタデータを盗み出す試みがないかを検査します。
`EC2MetaDataSSRF_COOKIE`	リクエスト Cookie から Amazon EC2 メタデータを盗み出す試みがないかを検査します。
`EC2MetaDataSSRF_URIPATH`	リクエスト URI パスから Amazon EC2 メタデータを盗み出す試みがないかを検査します。
`EC2MetaDataSSRF_QUERYARGUMENTS`	リクエストクエリ引数から Amazon EC2 メタデータを盗み出す試みがないかを検査します。
`GenericLFI_QUERYARGUMENTS`	クエリ引数に、ローカルファイルインクルージョン (LFI) を悪用する形跡がないかを検査します。例には、`../../` などの手法を使用したパストラバーサルの試行があります。
`GenericLFI_URIPATH`	URI パスに、ローカルファイルインクルージョン (LFI) を悪用する形跡がないかを検査します。例には、`../../` などの手法を使用したパストラバーサルの試行があります。
`GenericLFI_BODY`	リクエスト本文に、ローカルファイルインクルージョン (LFI) を悪用する形跡がないかを検査します。例には、`../../` などの手法を使用したパストラバーサルの試行があります。
`RestrictedExtensions_URIPATH`	リクエストの URI パスに、クライアントが読み取りや実行を禁止されているシステムファイルの拡張子が含まれていないかを検査します。パターンの例には、`.log` や `.ini` などの拡張子があります。
`RestrictedExtensions_QUERYARGUMENTS`	リクエストのクエリ引数に、クライアントが読み取りや実行を禁止されているシステムファイルの拡張子が含まれていないかを検査します。パターンの例には、`.log` や `.ini` などの拡張子があります。
`GenericRFI_QUERYARGUMENTS`	すべてのクエリパラメータの値を検査し、ウェブアプリケーションの RFI (リモートファイルインクルージョン) を悪用しようとするリクエストをブロックします。パターンの例には、`://` などがあります。
`GenericRFI_BODY`	リクエスト本文の値を検査し、ウェブアプリケーションの RFI (リモートファイルインクルージョン) を悪用しようとするリクエストをブロックします。パターンの例には、`://` などがあります。
`GenericRFI_URIPATH`	URI パスの値を検査し、ウェブアプリケーションの RFI (リモートファイルインクルージョン) を悪用しようとするリクエストをブロックします。パターンの例には、`://` などがあります。
`CrossSiteScripting_COOKIE`	AWS WAF の組み込み XSS 検出ルールを使用して、Cookie ヘッダーの値を検査し、一般的なクロスサイトスクリプティング (XSS) パターンをブロックします。パターンの例には、`<script>alert("hello")</script>` などのスクリプトあります。
`CrossSiteScripting_QUERYARGUMENTS`	AWS WAF の組み込み XSS 検出ルールを使用して、クエリ引数の値を検査し、一般的なクロスサイトスクリプティング (XSS) パターンをブロックします。パターンの例には、`<script>alert("hello")</script>` などのスクリプトあります。
`CrossSiteScripting_BODY`	AWS WAF の組み込み XSS 検出ルールを使用して、リクエスト本文の値を検査し、一般的なクロスサイトスクリプティング (XSS) パターンをブロックします。パターンの例には、`<script>alert("hello")</script>` などのスクリプトあります。
`CrossSiteScripting_URIPATH`	AWS WAF の組み込み XSS 検出ルールを使用して、URI パスの値を検査し、一般的なクロスサイトスクリプティング (XSS) パターンをブロックします。パターンの例には、`<script>alert("hello")</script>` などのスクリプトあります。

管理者保護

VendorName: AWS, 名前: AWSManagedRulesAdminProtectionRuleSet, WCU: 100

管理者保護ルールグループには、公開されている管理ページへの外部アクセスをブロックするためのルールが含まれています。これは、サードパーティーのソフトウェアを実行している場合や、悪意のあるアクターがアプリケーションへの管理アクセスを得るリスクを軽減したい場合に便利です。

ルール名	説明
`AdminProtection_URIPATH`	リクエストに、一般的にウェブサーバーまたはアプリケーションの管理用に予約されている URI パスがないかを検査します。パターンの例には、`sqlmanager` などがあります。

既知の不正な入力

VendorName: AWS, 名前: AWSManagedRulesKnownBadInputsRuleSet, WCU: 200

既知の不正な入力ルールグループには、無効であることがわかっており脆弱性の悪用または発見に関連するリクエストパターンをブロックするルールが含まれています。これにより、悪意のあるアクターが脆弱なアプリケーションを発見するリスクを軽減できます。

ルール名	説明
`Host_localhost_HEADER`	リクエストのホストヘッダーに、localhost を示すパターンがないかを検査します。パターンの例には、`localhost` などがあります。
`PROPFIND_METHOD`	リクエストの HTTP メソッドに、`PROPFIND` がないかを検査します。このメソッドは `HEAD` と同様ですが、XML オブジェクトを抽出しようとする点が異なります。
`ExploitablePaths_URIPATH`	URI パスに、悪用可能なウェブアプリケーションパスにアクセスする試みがないかを検査します。パターンの例には、`web-inf` などのパスがあります。
`BadAuthToken_COOKIE_AUTHORIZATION`	リクエストに、未承諾の JSON ウェブトークン(JWT) がないかを検査します。これにより、悪意のあるアクターがシークレットキーを推測しようとするのを防ぎます。

ユースケース固有のルールグループ

ユースケース固有のルールグループは、さまざまな AWS WAF ユースケースに対して段階的な保護を提供します。アプリケーションに適用するルールグループを選択します。

SQL データベース

VendorName: AWS, 名前: AWSManagedRulesSQLiRuleSet, WCU: 200

SQL Database ルールグループには、SQL インジェクション攻撃などの SQL データベースの悪用に関連するリクエストパターンをブロックするルールが含まれています。これにより、不正なクエリのリモートインジェクションを防ぐことができます。アプリケーションが SQL データベースと連結している場合は、このルールグループを評価します。

ルール名	説明
`SQLiExtendedPatterns_QUERYARGUMENTS`	すべてのクエリパラメータの値に、悪意のある SQL コードに一致するパターンがないかを検査します。このルールが検査するパターンは、組み込みの AWS WAF SQL インジェクション match ステートメントの対象外です。
`SQLi_QUERYARGUMENTS`	組み込みの AWS WAF SQL インジェクション match ステートメントを使用して、すべてのクエリパラメータの値に、悪意のある SQL コードに一致するパターンがないかを検査します。
`SQLi_BODY`	組み込みの AWS WAF SQL インジェクション match ステートメントを使用して、リクエスト本文に、悪意のある SQL コードに一致するパターンがないかを検査します。
`SQLi_COOKIE`	組み込みの AWS WAF SQL インジェクション match ステートメントを使用して、リクエスト Cookie ヘッダーに、悪意のある SQL コードに一致するパターンがないかを検査します。
`SQLi_URIPATH`	組み込みの AWS WAF インジェクション match ステートメントを使用して、リクエスト URI パスに、悪意のある SQL コードに一致するパターンがないかを検査します。

Linux オペレーティングシステム

VendorName: AWS, 名前: AWSManagedRulesLinuxRuleSet, WCU: 200

Linux オペレーティングシステムルールグループには、Linux 固有のローカルファイルインクルージョン (LFI) 攻撃など、Linux 固有の脆弱性の悪用に関連するリクエストパターンをブロックするルールが含まれています。これにより、攻撃者がアクセスしてはならないファイルの内容を公開したり、コードを実行したりする攻撃を防ぐことができます。アプリケーションの一部が Linux で実行されている場合は、このルールグループを評価する必要があります。このルールグループは、POSIX operating system ルールグループと組み合わせて使用する必要があります。

ルール名	説明
`LFI_URIPATH`	リクエストパスに、ウェブアプリケーションのローカルファイルインクルージョン (LFI) の脆弱性を悪用する試みがないかを検査します。パターンの例には、攻撃者にオペレーティングシステムの情報を提供できる `/proc/version` などのファイルがあります。
`LFI_QUERYARGUMENTS`	すべてのクエリパラメータの値に、ウェブアプリケーションのローカルファイルインクルージョン (LFI) の脆弱性を悪用する試みがないかを検査します。パターンの例には、攻撃者にオペレーティングシステムの情報を提供できる `/proc/version` などのファイルがあります。
`LFI_BODY`	リクエスト本文に、ウェブアプリケーションのローカルファイルインクルージョン (LFI) の脆弱性を悪用する試みがないかを検査します。パターンの例には、攻撃者にオペレーティングシステムの情報を提供できる `/proc/version` などのファイルがあります。

POSIX オペレーティングシステム

VendorName: AWS, 名前: AWSManagedRulesUnixRuleSet, WCU: 100

POSIX オペレーティングシステムルールグループには、POSIX および POSIX と同等のオペレーティングシステムに固有の脆弱性の悪用 (ローカルファイルインクルージョン (LFI) 攻撃など) に関連するリクエストパターンをブロックするルールが含まれています。これにより、攻撃者がアクセスしてはならないファイルの内容を公開したり、コードを実行したりする攻撃を防ぐことができます。アプリケーションの一部が POSIX または POSIX と同等のオペレーティングシステム (Linux、AIX、HP-UX、macOS、Solaris、FreeBSD、OpenBSD など) で実行されている場合は、このルールグループを評価する必要があります。

ルール名	説明
`UNIXShellCommandsVariables_QUERYARGUMENTS`	すべてのクエリパラメータの値に、Unix システムで実行されるウェブアプリケーションのコマンドインジェクション、LFI、パストラバーサルの脆弱性を悪用する試みないかを検査します。パターンの例には、`echo $HOME` や `echo $PATH` などがあります。
`UNIXShellCommandsVariables_BODY`	リクエスト本文に、Unix システムで実行されるウェブアプリケーションのコマンドインジェクション、LFI、パストラバーサルの脆弱性を悪用する試みがないかを検査します。パターンの例には、`echo $HOME` や `echo $PATH` などがあります。

Windows オペレーティングシステム

VendorName: AWS, 名前: AWSManagedRulesWindowsRuleSet, WCU: 200

Windows オペレーティングシステムのルールグループには、PowerShell コマンドのリモート実行など、Windows 固有の脆弱性の悪用に関連するリクエストパターンをブロックするルールが含まれています。これにより、攻撃者が不正なコマンドを実行したり、悪意のあるコードを実行したりする脆弱性の悪用を防ぐことができます。アプリケーションの一部が Windows オペレーティングシステムで実行されている場合は、このルールグループを評価します。

ルール名	説明
`PowerShellCommands_Set1_QUERYARGUMENTS`	すべてのクエリパラメータの値を検査し、ウェブアプリケーションでの PowerShell コマンドインジェクションの試行をブロックします。この検査では、パターンマッチングセットのサイズに対応するために、2 つの規則が必要です。一致パターンは、PowerShell コマンドを表します。たとえば、`Invoke-Expression`。
`PowerShellCommands_Set2_QUERYARGUMENTS`	すべてのクエリパラメータの値を検査し、ウェブアプリケーションでの PowerShell コマンドインジェクションの試行をブロックします。この検査では、パターンマッチングセットのサイズに対応するために、2 つの規則が必要です。一致パターンは、PowerShell コマンドを表します。たとえば、`Invoke-Expression`。
`PowerShellCommands_Set1_BODY`	リクエスト本文の値を検査し、ウェブアプリケーションでの PowerShell コマンドインジェクションの試行をブロックします。この検査では、パターンマッチングセットのサイズに対応するために、2 つの規則が必要です。一致パターンは、PowerShell コマンドを表します。たとえば、`Invoke-Expression`。
`PowerShellCommands_Set2_BODY`	リクエスト本文の値を検査し、ウェブアプリケーションでの PowerShell コマンドインジェクションの試行をブロックします。この検査では、パターンマッチングセットのサイズに対応するために、2 つの規則が必要です。一致パターンは、PowerShell コマンドを表します。たとえば、`Invoke-Expression`。

PHP アプリケーション

VendorName: AWS, 名前: AWSManagedRulesPHPRuleSet, WCU: 100

PHP アプリケーションルールグループには、安全でない PHP 関数のインジェクションなど、PHP プログラミング言語の使用に固有の脆弱性の悪用に関連するリクエストパターンをブロックするルールが含まれています。これにより、攻撃者が許可されていないコードまたはコマンドをリモートで実行できる脆弱性の悪用を防ぐことができます。アプリケーションが連結するサーバーに PHP がインストールされている場合は、このルールグループを評価します。

ルール名	説明
`PHPHighRiskMethodsVariables_QUERYARGUMENTS`	すべてのクエリパラメータの値に、PHP スクリプトコードインジェクションの試行がないかを検査します。パターンの例には、`fsockopen` や `$_GET` などの関数があります。
`PHPHighRiskMethodsVariables_BODY`	リクエスト本文の値に、PHP スクリプトコードインジェクションがないかを検査します。パターンの例には、`fsockopen` や `$_GET` などの関数があります。

WordPress アプリケーション

VendorName: AWS, 名前: AWSManagedRulesWordPressRuleSet, WCU: 100

WordPress アプリケーションルールグループには、WordPress サイト固有の脆弱性の悪用に関連するリクエストパターンをブロックするルールが含まれています。WordPress を実行している場合は、このルールグループを評価する必要があります。このルールグループは、SQL database および PHP application ルールグループと組み合わせて使用する必要があります。

ルール名	説明
`WordPressExploitableCommands_QUERYSTRING`	リクエストクエリ文字列に、脆弱なインストールまたはプラグインで悪用される可能性のある高リスクの WordPress コマンドがないかを検査します。パターンの例には、`do-reset-wordpress` などのコマンドがあります。
`WordPressExploitablePaths_URIPATH`	リクエストの URI パスに、脆弱性が簡単に悪用されることがわかっている `xmlrpc.php` などの WordPress ファイルがないかを検査します。

IP 評価ルールグループ

IP 評価ルールグループを使用すると、ソースに基づいてリクエストをブロックできます。ボットトラフィックや悪用の試みを軽減する場合、またはコンテンツに地理的制限を適用する場合は、これらのルールグループを 1 つ以上選択します。ボット管理については、AWS WAF ボットコントロールルールグループ。

Amazon IP 評価リスト

VendorName: AWS, 名前: AWSManagedRulesAmazonIpReputationList, WCU: 25

Amazon IP 評価リストルールグループには、Amazon 内部脅威インテリジェンスに基づくルールが含まれています。これは、通常、ボットやその他の脅威に関連付けられている IP アドレスをブロックする場合に便利です。これらの IP アドレスをブロックすることで、ボットを軽減し、悪意のあるアクターが脆弱なアプリケーションを発見するリスクを軽減できます。

ルール名	説明
`AWSManagedIPReputationList_xxxx`	Amazon 脅威インテリジェンスによって悪意のあるアクターおよびボットとして識別された IP アドレスのリストを検査します。

匿名 IP リスト

VendorName: AWS, 名前: AWSManagedRulesAnonymousIpList, WCU: 50

匿名 IP リストルールグループには、ビューワー ID の難読化を許可するサービスからのリクエストをブロックするルールが含まれています。たとえば、VPN、プロキシ、Tor ノード、ホスティングプロバイダー (AWS を含む) からのリクエストです。このルールグループは、アプリケーションから ID を隠そうとするビューワーを除外する場合に便利です。これらのサービスの IP アドレスをブロックすると、ボットの軽減や地理的制限の回避に役立ちます。

ルール名	説明
`AnonymousIPList`	クライアントの情報を匿名化することがわかっているソース (TOR ノード、一時プロキシ、その他のマスキングサービスなど) の IP アドレスのリストを検査します。
`HostingProviderIPList`	エンドユーザートラフィックのソースになる可能性が低いホスティングプロバイダーとクラウドプロバイダーの IP アドレスのリストを検査します。例としては、AWS などのクラウドプロバイダーがあります。

AWS WAF ボットコントロールルールグループ

AWS マネージドルールから利用できるボットコントロールマネージドルールグループ。

AWS WAF ボットコントロール

VendorName: AWS, 名前: AWSManagedRulesBotControlRuleSet, WCU: 50

Bot Control マネージドルールグループには、ボットからのリクエストをブロックして管理するルールが含まれています。このルールグループを使用すると、追加料金が請求されます。詳細については、「」を参照してください。AWS WAF 料金表。

コストを抑え、ボットのトラフィックを確実に管理するために、このルールグループを使用します。AWS WAF ボットコントロール。

Bot Control 管理ルールグループは、ルールごとにラベルを生成します。API からラベルを取得するには、DescribeManagedRuleGroup。ラベルは、AvailableLabelsプロパティを返します。

Bot Control ラベルは、ルールに応じて、次のネームスペースで生成されます。

bot:category:— AWS WAF で定義されているボットのカテゴリ（例：bot:category:search_engine:およびbot:category:content_fetcher:。
bot:name:— ボット名 (使用可能な場合)。bot:name:slurp、bot:name:googlebot, およびbot:name:pocket_parser。
bot:— 検証済みボットのラベルを示すために使用されますbot:verified。これは、一般的な望ましいボットに使用されます。googlebotおよびbingbot。

ボットコントロールは、AWS WAF からの IP アドレスを使用してボットを検証します。プロキシまたはロードバランサーを介してルーティングするボットを検証した場合は、明示的に許可する必要がある場合があります。詳細については、転送された IP アドレスを参照してください。
signal:— より一般的に使用または検証されていないボットを示すリクエストの属性に使用されます。

ボットコントロール管理ルールグループは、一般的に許可されている検証可能なボットセットにラベルを適用します。ルールグループはこのカテゴリのボットをブロックせず、signal:ラベル。必要に応じて、Bot Control 管理ルールグループによって適用されたラベルを使用するカスタムルールを記述することで、これらのルールまたはサブセットをブロックできます。これと例の詳細については、「」を参照してください。AWS WAF ボットコントロール。

ルール名	説明
`CategoryAdvertising`	広告目的で使用されるボットを検査します。
`CategoryArchiver`	アーカイブ目的で使用されるボットを検査します。
`CategoryContentFetcher`	エンドユーザーの代わりにコンテンツを取得しているボットを検査します。
`CategoryHttpLibrary`	ボットでよく使用される HTTP ライブラリを検査します。
`CategoryLinkChecker`	壊れたリンクをチェックするボットを検査します。
`CategoryMiscellaneous`	その他のボットを検査します。
`CategoryMonitoring`	監視目的で使用されるボットを検査します。
`CategoryScrapingFramework`	Webスクレイピングフレームワークを検査します。
`CategorySecurity`	セキュリティ関連のボットを検査します。
`CategorySeo`	検索エンジンの最適化に使用されるボットを検査します。
`CategorySocialMedia`	コンテンツの概要を提供するためにソーシャルメディアプラットフォームで使用されるボットを検査します。ソーシャルメディアのボットがブロックされていないことを確認しました。
`CategorySearchEngine`	検索エンジンのボットを検査します。検証済みの検索エンジンはブロックされません。
`SignalAutomatedBrowser`	自動化されたWebブラウザの表示を検査します。
`SignalKnownBotDataCenter`	ボットによって一般的に使用されるデータセンターを検査します。
`SignalNonBrowserUserAgent`	Webブラウザからではないと思われるユーザーエージェント文字列を検査します。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AWS WAF の AWS マネージドルール

AWS マネージドルールの免責事項