Google Cloud Armor WAF ルールのチューニング

事前構成されたルール

Google Cloud Armor の事前構成済みのルールは、オープンソースの業界標準から集められた多数のシグネチャを持つ複雑なウェブ アプリケーション ファイアウォール(WAF)ルールです。Google はこれらのルールをそのまま提供します。このルールにより、Google Cloud Armor では、各シグネチャを手動で定義する必要がなく、便利に命名されたルールを参照することで、数十の異なるトラフィック シグネチャを評価できます。

次の表は、Google Cloud Armor のセキュリティ ポリシーで使用できる事前構成済みの WAF ルールの包括的なリストを示しています。ルールのソースは、ModSecurity Core Rule Set(CRS)3.0CRS 3.3 です。感度を高め、保護される攻撃の種類を増やしたい場合は、バージョン 3.3 を使用することをおすすめします。

CRS 3.3

Google Cloud Armor ルール名 ModSecurity ルール名 現在のステータス
SQL インジェクション(公開プレビュー) sqli-v33-stable sqli-v33-canary と同期
sqli-v33-canary 最新
クロスサイト スクリプティング(公開プレビュー) xss-v33-stable xss-v33-canary と同期
xss-v33-canary 最新
ローカル ファイル インクルード(公開プレビュー) lfi-v33-stable lfi-v33-canary と同期
lfi-v33-canary 最新
リモート ファイル インクルード(公開プレビュー) rfi-v33-stable rfi-v33-canary と同期
rfi-v33-canary 最新
リモートコード実行(公開プレビュー) rce-v33-stable rce-v33-canary と同期
rce-v33-canary 最新
メソッドの適用(公開プレビュー) methodenforcement-v33-stable methodenforcement-v33-canary と同期
methodenforcement-v33-canary 最新
スキャナ検出(公開プレビュー) scannerdetection-v33-stable scannerdetection-v33-canary と同期
scannerdetection-v33-canary 最新
プロトコル攻撃(公開プレビュー) protocolattack-v33-stable protocolattack-v33-canary と同期
protocolattack-v33-canary 最新
PHP インジェクション攻撃(公開プレビュー) php-v33-stable php-v33-canary と同期
php-v33-canary 最新
セッション修正攻撃(公開プレビュー) sessionfixation-v33-stable sessionfixation-v33-canary と同期
sessionfixation-v33-canary 最新

CRS 3.0

Google Cloud Armor ルール名 ModSecurity ルール名 現在のステータス
SQL インジェクション sqli-stable sqli-canary と同期
sqli-canary 最新
クロスサイト スクリプティング xss-stable xss-canary と同期
xss-canary 最新
ローカル ファイル インクルード lfi-stable lfi-canary と同期
lfi-canary 最新
リモート ファイル インクルード rfi-stable rfi-canary と同期
rfi-canary 最新
リモートコード実行 rce-stable rce-canary と同期
rce-canary 最新
メソッドの適用(公開プレビュー) methodenforcement-stable methodenforcement-canary と同期
methodenforcement-canary 最新
スキャナ検出 scannerdetection-stable scannerdetection-canary と同期
scannerdetection-canary 最新
プロトコル攻撃 protocolattack-stable protocolattack-canary と同期
protocolattack-canary 最新
PHP インジェクション攻撃 php-stable php-canary と同期
php-canary 最新
セッション修正攻撃 sessionfixation-stable sessionfixation-canary と同期
sessionfixation-canary 最新

さらに、Google Cloud Armor のすべてのお客様は、次の cve-canary ルールを使用して CVE-2021-44228 脆弱性と CVE-2021-45046 脆弱性を悪用する試みを検出し、必要に応じてブロックできます。

Google Cloud Armor ルール名 ルールの内容 対象となる脆弱性のタイプ
cve-canary 新たに発見された脆弱性 Log4j の脆弱性

事前構成済みの各ルールは複数のシグネチャで構成されます。受信リクエストは、事前構成されたルールに対して評価されます。事前構成済みルールに関連付けられているシグネチャのいずれかとリクエストが一致する場合、そのリクエストは事前構成済みルールと一致します。evaluatePreconfiguredExpr() コマンドが値 true を返すと、マッチングが行われます。

事前構成済みのルールが必要以上のトラフィックと一致すると判断した場合、または許可する必要があるトラフィックをルールがブロックしている場合は、ルールを調整して、ノイズの多いまたは不要なシグネチャを無効にできます。特定の事前構成済みのルールでシグネチャを無効にするには、不要なシグネチャの ID のリストを evaluatePreconfiguredExpr() コマンドで指定します。

次の例では、事前構成された xss-v33-stable(CRS 3.3)WAF ルールから 2 つの CRS ルール ID を除外しています。

evaluatePreconfiguredExpr('xss-v33-stable', ['owasp-crs-v030301-id941330-xss', 'owasp-crs-v030301-id941340-xss'])

事前構成済みの CRS ルールセットからシグネチャ ID を除外する場合は、構成エラーを避けるために、シグネチャ ID のバージョンとルールセットのバージョン(CRS 3.0 または 3.3)を一致させる必要があります。

上記の例は、カスタムルール言語の式です。一般的な構文は次のとおりです。

evaluatePreconfiguredExpr(RULE, ['SIGNATURE1', 'SIGNATURE2', 'SIGNATURE3'])

事前構成済みの ModSecurity ルール

事前構成ルールの感度レベルは、ModSecurity のパラノアレベルに対応します。感度レベルが低いほど、信頼度が高いシグネチャとなり、偽陽性が生じる可能性は低くなります。感度レベルが高いほど、セキュリティは強化されますが、誤検出が生じるリスクが高まります。

SQL インジェクション(SQLi)

次の表は、SQLi の事前構成済みルールでサポートされる各シグネチャのシグネチャ ID、感度レベル、説明を示しています。

CRS 3.3

シグネチャ ID(ルール ID) 感度レベル 説明
owasp-crs-v030301-id942140-sqli 1 SQL インジェクション攻撃: 一般的な DB 名が検出されました
owasp-crs-v030301-id942160-sqli 1 sleep() または benchmark() を使用してブラインド SQLi テストを検出します
owasp-crs-v030301-id942170-sqli 1 条件付きクエリも含めて SQL ベンチマークとスリープ インジェクション試行を検出します
owasp-crs-v030301-id942190-sqli 1 MSSQL コード実行と情報収集の試行を検出します
owasp-crs-v030301-id942220-sqli 1 整数オーバーフロー攻撃を探します
owasp-crs-v030301-id942230-sqli 1 条件付き SQL インジェクション試行を検出します
owasp-crs-v030301-id942240-sqli 1 MySQL 文字セットスイッチと MSSQL DoS 試行を検出します
owasp-crs-v030301-id942250-sqli 1 一致を検出します
owasp-crs-v030301-id942270-sqli 1 基本的な SQL インジェクションと MySql への一般的な攻撃文字列を探します
owasp-crs-v030301-id942280-sqli 1 Postgres pg_sleep インジェクションを検出します
owasp-crs-v030301-id942290-sqli 1 基本的な MongoDB SQL インジェクション試行を探します
owasp-crs-v030301-id942320-sqli 1 MySQL および PostgreSQL ストアド プロシージャ / 関数インジェクションを検出します
owasp-crs-v030301-id942350-sqli 1 MySQL UDF インジェクションとその他のデータ / 構造操作試行を検出します
owasp-crs-v030301-id942360-sqli 1 連結された基本的な SQL インジェクションと SQLLFI 試行を検出します
owasp-crs-v030301-id942500-sqli 1 MySQL のインライン コメントが検出されました
owasp-crs-v030301-id942110-sqli 2 SQL インジェクション攻撃: 一般的なインジェクション テストが検出されました
owasp-crs-v030301-id942120-sqli 2 SQL インジェクション攻撃: SQL 演算子が検出されました
owasp-crs-v030301-id942130-sqli 2 SQL インジェクション攻撃: SQL Tautology が検出されました
owasp-crs-v030301-id942150-sqli 2 SQL インジェクション攻撃
owasp-crs-v030301-id942180-sqli 2 基本的な SQL 認証のバイパスの試行 1/3 を検出します
owasp-crs-v030301-id942200-sqli 2 MySQL コメント / スペース難読化インジェクションとバッククォートの終了を検出します
owasp-crs-v030301-id942210-sqli 2 チェーンされた SQL インジェクション試行 1/2 を検出します
owasp-crs-v030301-id942260-sqli 2 基本的な SQL 認証のバイパスの試行 2/3 を検出します
owasp-crs-v030301-id942300-sqli 2 MySQL のコメントを検出します
owasp-crs-v030301-id942310-sqli 2 チェーンされた SQL インジェクション試行 2/2 を検出します
owasp-crs-v030301-id942330-sqli 2 従来の SQL インジェクション プローブ 1/2 を検出します
owasp-crs-v030301-id942340-sqli 2 基本的な SQL 認証のバイパス試行 3/3 を検出します
owasp-crs-v030301-id942361-sqli 2 キーワードの変更またはユニオンに基づいて基本的な SQL インジェクションを検出します
owasp-crs-v030301-id942370-sqli 2 従来の SQL インジェクション プローブ 2/3 を検出します
owasp-crs-v030301-id942380-sqli 2 SQL インジェクション攻撃
owasp-crs-v030301-id942390-sqli 2 SQL インジェクション攻撃
owasp-crs-v030301-id942400-sqli 2 SQL インジェクション攻撃
owasp-crs-v030301-id942410-sqli 2 SQL インジェクション攻撃
owasp-crs-v030301-id942470-sqli 2 SQL インジェクション攻撃
owasp-crs-v030301-id942480-sqli 2 SQL インジェクション攻撃
owasp-crs-v030301-id942430-sqli 2 制限された SQL 文字の異常検出(引数): 特殊文字数を超えました(12)
owasp-crs-v030301-id942440-sqli 2 SQL コメント シーケンスが検出されました
owasp-crs-v030301-id942450-sqli 2 SQL 16 進数エンコードが識別されました
owasp-crs-v030301-id942510-sqli 2 ティックまたはバックティックによる SQLi バイパス試行が検出されました
owasp-crs-v030301-id942251-sqli 3 HAVING インジェクションを検出します
owasp-crs-v030301-id942490-sqli 3 従来の SQL インジェクション プローブ 3/3 を検出します
owasp-crs-v030301-id942420-sqli 3 制限された SQL 文字の異常検出(Cookie): 特殊文字数を超過しました(8)
owasp-crs-v030301-id942431-sqli 3 制限された SQL 文字の異常検出(引数): 特殊文字数を超過しました(6)
owasp-crs-v030301-id942460-sqli 3 メタ文字の異常検出アラート - 反復する非単語文字
owasp-crs-v030301-id942511-sqli 3 ティックによる SQLi バイパス試行が検出されました
owasp-crs-v030301-id942421-sqli 4 制限された SQL 文字の異常検出(Cookie): 特殊文字数を超過しました(3)
owasp-crs-v030301-id942432-sqli 4 制限された SQL 文字の異常検出(引数): 特殊文字数の上限を超過しました(2)

CRS 3.0

シグネチャ ID(ルール ID) 感度レベル 説明
owasp-crs-v030001-id942140-sqli 1 SQL インジェクション攻撃: 一般的な DB 名が検出されました
owasp-crs-v030001-id942160-sqli 1 sleep() または benchmark() を使用してブラインド SQLi テストを検出します
owasp-crs-v030001-id942170-sqli 1 条件付きクエリも含めて SQL ベンチマークとスリープ インジェクション試行を検出します
owasp-crs-v030001-id942190-sqli 1 MSSQL コード実行と情報収集の試行を検出します
owasp-crs-v030001-id942220-sqli 1 整数オーバーフロー攻撃を探します
owasp-crs-v030001-id942230-sqli 1 条件付き SQL インジェクション試行を検出します
owasp-crs-v030001-id942240-sqli 1 MySQL 文字セットスイッチと MSSQL DoS 試行を検出します
owasp-crs-v030001-id942250-sqli 1 一致を検出します
owasp-crs-v030001-id942270-sqli 1 基本的な SQL インジェクションと MySql への一般的な攻撃文字列を探します
owasp-crs-v030001-id942280-sqli 1 Postgres pg_sleep インジェクションを検出します
owasp-crs-v030001-id942290-sqli 1 基本的な MongoDB SQL インジェクション試行を探します
owasp-crs-v030001-id942320-sqli 1 MySQL および PostgreSQL ストアド プロシージャ / 関数インジェクションを検出します
owasp-crs-v030001-id942350-sqli 1 MySQL UDF インジェクションとその他のデータ / 構造操作試行を検出します
owasp-crs-v030001-id942360-sqli 1 連結された基本的な SQL インジェクションと SQLLFI 試行を検出します
Not included 1 MySQL のインライン コメントが検出されました
owasp-crs-v030001-id942110-sqli 2 SQL インジェクション攻撃: 一般的なインジェクション テストが検出されました
owasp-crs-v030001-id942120-sqli 2 SQL インジェクション攻撃: SQL 演算子が検出されました
Not included 2 SQL インジェクション攻撃: SQL Tautology が検出されました
owasp-crs-v030001-id942150-sqli 2 SQL インジェクション攻撃
owasp-crs-v030001-id942180-sqli 2 基本的な SQL 認証のバイパスの試行 1/3 を検出します
owasp-crs-v030001-id942200-sqli 2 MySQL コメント / スペース難読化インジェクションとバッククォートの終了を検出します
owasp-crs-v030001-id942210-sqli 2 チェーンされた SQL インジェクション試行 1/2 を検出します
owasp-crs-v030001-id942260-sqli 2 基本的な SQL 認証のバイパスの試行 2/3 を検出します
owasp-crs-v030001-id942300-sqli 2 MySQL のコメントを検出します
owasp-crs-v030001-id942310-sqli 2 チェーンされた SQL インジェクション試行 2/2 を検出します
owasp-crs-v030001-id942330-sqli 2 従来の SQL インジェクション プローブ 1/2 を検出します
owasp-crs-v030001-id942340-sqli 2 基本的な SQL 認証のバイパス試行 3/3 を検出します
Not included 2 キーワードの変更またはユニオンに基づいて基本的な SQL インジェクションを検出します
Not included 2 従来の SQL インジェクション プローブ 2/3 を検出します
owasp-crs-v030001-id942380-sqli 2 SQL インジェクション攻撃
owasp-crs-v030001-id942390-sqli 2 SQL インジェクション攻撃
owasp-crs-v030001-id942400-sqli 2 SQL インジェクション攻撃
owasp-crs-v030001-id942410-sqli 2 SQL インジェクション攻撃
Not included 2 SQL インジェクション攻撃
Not included 2 SQL インジェクション攻撃
owasp-crs-v030001-id942430-sqli 2 制限された SQL 文字の異常検出(引数): 特殊文字数を超えました(12)
owasp-crs-v030001-id942440-sqli 2 SQL コメント シーケンスが検出されました
owasp-crs-v030001-id942450-sqli 2 SQL 16 進数エンコードが識別されました
Not included 2 ティックまたはバックティックによる SQLi バイパス試行が検出されました
owasp-crs-v030001-id942251-sqli 3 HAVING インジェクションを検出します
Not included 2 従来の SQL インジェクション プローブ 3/3 を検出します
owasp-crs-v030001-id942420-sqli 3 制限された SQL 文字の異常検出(Cookie): 特殊文字数を超過しました(8)
owasp-crs-v030001-id942431-sqli 3 制限された SQL 文字の異常検出(引数): 特殊文字数を超過しました(6)
owasp-crs-v030001-id942460-sqli 3 メタ文字の異常検出アラート - 反復する非単語文字
Not included 3 ティックによる SQLi バイパス試行が検出されました
owasp-crs-v030001-id942421-sqli 4 制限された SQL 文字の異常検出(Cookie): 特殊文字数を超過しました(3)
owasp-crs-v030001-id942432-sqli 4 制限された SQL 文字の異常検出(引数): 特殊文字数の上限を超過しました(2)

特定の感度レベルでルールを構成するには、より高い感度レベルのシグネチャを無効にします。

SQLi 感度レベル 1


evaluatePreconfiguredExpr('sqli-v33-stable',
['owasp-crs-v030301-id942110-sqli',
  'owasp-crs-v030301-id942120-sqli',
  'owasp-crs-v030301-id942130-sqli',
  'owasp-crs-v030301-id942150-sqli',
  'owasp-crs-v030301-id942180-sqli',
  'owasp-crs-v030301-id942200-sqli',
  'owasp-crs-v030301-id942210-sqli',
  'owasp-crs-v030301-id942260-sqli',
  'owasp-crs-v030301-id942300-sqli',
  'owasp-crs-v030301-id942310-sqli',
  'owasp-crs-v030301-id942330-sqli',
  'owasp-crs-v030301-id942340-sqli',
  'owasp-crs-v030301-id942361-sqli',
  'owasp-crs-v030301-id942370-sqli',
  'owasp-crs-v030301-id942380-sqli',
  'owasp-crs-v030301-id942390-sqli',
  'owasp-crs-v030301-id942400-sqli',
  'owasp-crs-v030301-id942410-sqli',
  'owasp-crs-v030301-id942470-sqli',
  'owasp-crs-v030301-id942480-sqli',
  'owasp-crs-v030301-id942430-sqli',
  'owasp-crs-v030301-id942440-sqli',
  'owasp-crs-v030301-id942450-sqli',
  'owasp-crs-v030301-id942510-sqli',
  'owasp-crs-v030301-id942251-sqli',
  'owasp-crs-v030301-id942490-sqli',
  'owasp-crs-v030301-id942420-sqli',
  'owasp-crs-v030301-id942431-sqli',
  'owasp-crs-v030301-id942460-sqli',
  'owasp-crs-v030301-id942511-sqli',
  'owasp-crs-v030301-id942421-sqli',
  'owasp-crs-v030301-id942432-sqli']
)
          
SQLi 感度レベル 2


evaluatePreconfiguredExpr('sqli-v33-stable',
 ['owasp-crs-v030301-id942251-sqli',
  'owasp-crs-v030301-id942490-sqli',
  'owasp-crs-v030301-id942420-sqli',
  'owasp-crs-v030301-id942431-sqli',
  'owasp-crs-v030301-id942460-sqli',
  'owasp-crs-v030301-id942511-sqli',
  'owasp-crs-v030301-id942421-sqli',
  'owasp-crs-v030301-id942432-sqli']
)
SQLi 感度レベル 3


evaluatePreconfiguredExpr('sqli-v33-stable',
        ['owasp-crs-v030301-id942421-sqli',
         'owasp-crs-v030301-id942432-sqli']
         )
SQLi 感度レベル 4


evaluatePreconfiguredExpr('sqli-v33-stable')

クロスサイト スクリプティング(XSS)

次の表は、XSS の事前構成済みルールでサポートされる各シグネチャのシグネチャ ID、感度レベル、説明を示しています。

CRS 3.3

シグネチャ ID(ルール ID) 感度レベル 説明
owasp-crs-v030301-id941110-xss 1 XSS フィルタ - カテゴリ 1: スクリプトタグ ベクター
owasp-crs-v030301-id941120-xss 1 XSS フィルタ - カテゴリ 2: イベント ハンドラ ベクター
owasp-crs-v030301-id941130-xss 1 XSS フィルタ - カテゴリ 3: 属性ベクター
owasp-crs-v030301-id941140-xss 1 XSS フィルタ - カテゴリ 4: JavaScript URI ベクター
owasp-crs-v030301-id941160-xss 1 NoScript XSS InjectionChecker: HTML インジェクション
owasp-crs-v030301-id941170-xss 1 NoScript XSS InjectionChecker: 属性インジェクション
owasp-crs-v030301-id941180-xss 1 ノード検証コントロールの拒否リスト キーワード
owasp-crs-v030301-id941190-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030301-id941200-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030301-id941210-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030301-id941220-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030301-id941230-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030301-id941240-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030301-id941250-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030301-id941260-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030301-id941270-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030301-id941280-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030301-id941290-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030301-id941300-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030301-id941310-xss 1 US-ASCII 非整形式エンコード XSS フィルタ - 攻撃が検出されました
owasp-crs-v030301-id941350-xss 1 UTF-7 エンコード IE XSS - 攻撃が検出されました
owasp-crs-v030301-id941360-xss 1 ヒエログリフ難読化が検出されました
owasp-crs-v030301-id941370-xss 1 JavaScript グローバル変数が見つかりました
owasp-crs-v030301-id941150-xss 2 XSS フィルタ - カテゴリ 5: 許可されていない HTML 属性
owasp-crs-v030301-id941320-xss 2 可能性のある XSS 攻撃が検出されました - HTML タグハンドラー
owasp-crs-v030301-id941330-xss 2 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030301-id941340-xss 2 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030301-id941380-xss 2 AngularJS のクライアントサイド テンプレート インジェクションが検出されました

CRS 3.0

シグネチャ ID(ルール ID) 感度レベル 説明
owasp-crs-v030001-id941110-xss 1 XSS フィルタ - カテゴリ 1: スクリプトタグ ベクター
owasp-crs-v030001-id941120-xss 1 XSS フィルタ - カテゴリ 2: イベント ハンドラ ベクター
owasp-crs-v030001-id941130-xss 1 XSS フィルタ - カテゴリ 3: 属性ベクター
owasp-crs-v030001-id941140-xss 1 XSS フィルタ - カテゴリ 4: JavaScript URI ベクター
owasp-crs-v030001-id941160-xss 1 NoScript XSS InjectionChecker: HTML インジェクション
owasp-crs-v030001-id941170-xss 1 NoScript XSS InjectionChecker: 属性インジェクション
owasp-crs-v030001-id941180-xss 1 ノード検証コントロールの拒否リスト キーワード
owasp-crs-v030001-id941190-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030001-id941200-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030001-id941210-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030001-id941220-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030001-id941230-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030001-id941240-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030001-id941250-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030001-id941260-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030001-id941270-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030001-id941280-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030001-id941290-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030001-id941300-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030001-id941310-xss 1 US-ASCII 非整形式エンコード XSS フィルタ - 攻撃が検出されました
owasp-crs-v030001-id941350-xss 1 UTF-7 エンコード IE XSS - 攻撃が検出されました
Not included 1 JSFuck / ヒエログリフ難読化が検出されました
Not included 1 JavaScript グローバル変数が見つかりました
owasp-crs-v030001-id941150-xss 2 XSS フィルタ - カテゴリ 5: 許可されていない HTML 属性
owasp-crs-v030001-id941320-xss 2 可能性のある XSS 攻撃が検出されました - HTML タグハンドラー
owasp-crs-v030001-id941330-xss 2 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030001-id941340-xss 2 IE XSS フィルタ - 攻撃が検出されました
Not included 2 AngularJS のクライアントサイド テンプレート インジェクションが検出されました

特定の感度レベルでルールを構成するには、より高い感度レベルのシグネチャを無効にします。

XSS 感度レベル 1


evaluatePreconfiguredExpr('xss-v33-stable',
['owasp-crs-v030301-id941150-xss',
  'owasp-crs-v030301-id941320-xss',
  'owasp-crs-v030301-id941330-xss',
  'owasp-crs-v030301-id941340-xss',
  'owasp-crs-v030301-id941380-xss'
])
          


XSS のシグネチャはすべて感度レベル 2 未満です。次の構成はその他の感度レベルで機能します。

XSS 感度レベル 2


evaluatePreconfiguredExpr('xss-v33-stable')

ローカル ファイル インクルード(LFI)

次の表は、LFI の事前構成済みルールでサポートされる各シグネチャのシグネチャ ID、感度レベル、説明を示しています。

CRS 3.3

シグネチャ ID(ルール ID) 感度レベル 説明
owasp-crs-v030301-id930100-lfi 1 パス トラバーサル攻撃(/../)
owasp-crs-v030301-id930110-lfi 1 パス トラバーサル攻撃(/../)
owasp-crs-v030301-id930120-lfi 1 OS ファイル アクセス試行
owasp-crs-v030301-id930130-lfi 1 制限付きファイルのアクセス試行

CRS 3.0

シグネチャ ID(ルール ID) 感度レベル 説明
owasp-crs-v030001-id930100-lfi 1 パス トラバーサル攻撃(/../)
owasp-crs-v030001-id930110-lfi 1 パス トラバーサル攻撃(/../)
owasp-crs-v030001-id930120-lfi 1 OS ファイル アクセス試行
owasp-crs-v030001-id930130-lfi 1 制限付きファイルのアクセス試行

LFI のシグネチャはすべて感度レベル 1 です。次の構成は、すべての感度レベルで機能します。

LFI 感度レベル 1


evaluatePreconfiguredExpr('lfi-v33-canary')

リモートコード実行(RCE)

次の表は、RCE 事前構成済みルールでサポートされる各シグネチャのシグネチャ ID、感度レベル、説明を示しています。

CRS 3.3

シグネチャ ID(ルール ID) 感度レベル 説明
owasp-crs-v030301-id932100-rce 1 UNIX コマンド インジェクション
owasp-crs-v030301-id932105-rce 1 UNIX コマンド インジェクション
owasp-crs-v030301-id932110-rce 1 Windows コマンド インジェクション
owasp-crs-v030301-id932115-rce 1 Windows コマンド インジェクション
owasp-crs-v030301-id932120-rce 1 Windows PowerShell コマンドが見つかりました
owasp-crs-v030301-id932130-rce 1 Unix シェル式が見つかりました
owasp-crs-v030301-id932140-rce 1 Windows の FOR/IF コマンドが見つかりました
owasp-crs-v030301-id932150-rce 1 UNIX コマンドの直接実行
owasp-crs-v030301-id932160-rce 1 UNIX シェルコードが見つかりました
owasp-crs-v030301-id932170-rce 1 Shellshock(CVE-2014-6271)
owasp-crs-v030301-id932171-rce 1 Shellshock(CVE-2014-6271)
owasp-crs-v030301-id932180-rce 1 制限付きファイルのアップロード試行
owasp-crs-v030301-id932200-rce 2 RCE バイパス技術
owasp-crs-v030301-id932106-rce 3 リモート コマンド実行: Unix コマンド インジェクション
owasp-crs-v030301-id932190-rce 3 リモート コマンド実行: ワイルドカード バイパス手法の試行

CRS 3.0

シグネチャ ID(ルール ID) 感度レベル 説明
owasp-crs-v030001-id932100-rce 1 UNIX コマンド インジェクション
owasp-crs-v030001-id932105-rce 1 UNIX コマンド インジェクション
owasp-crs-v030001-id932110-rce 1 Windows コマンド インジェクション
owasp-crs-v030001-id932115-rce 1 Windows コマンド インジェクション
owasp-crs-v030001-id932120-rce 1 Windows PowerShell コマンドが見つかりました
owasp-crs-v030001-id932130-rce 1 Unix シェル式が見つかりました
owasp-crs-v030001-id932140-rce 1 Windows の FOR/IF コマンドが見つかりました
owasp-crs-v030001-id932150-rce 1 UNIX コマンドの直接実行
owasp-crs-v030001-id932160-rce 1 UNIX シェルコードが見つかりました
owasp-crs-v030001-id932170-rce 1 Shellshock(CVE-2014-6271)
owasp-crs-v030001-id932171-rce 1 Shellshock(CVE-2014-6271)
Not included 1 制限付きファイルのアップロード試行
Not included 2 RCE バイパス技術
Not included 3 リモート コマンド実行: Unix コマンド インジェクション
Not included 3 リモート コマンド実行: ワイルドカード バイパス手法の試行

RCE のシグネチャはすべて感度レベル 1 です。次の構成は、すべての感度レベルで機能します。

RCE 感度レベル 1


evaluatePreconfiguredExpr('rce-v33-stable',
          ['owasp-crs-v030301-id932200-rce',
           'owasp-crs-v030301-id932106-rce',
           'owasp-crs-v030301-id932190-rce'])
          )

次の構成はその他の感度レベルで機能します。

RCE 感度レベル 2


evaluatePreconfiguredExpr('rce-v33-stable',
          ['owasp-crs-v030301-id932106-rce',
           'owasp-crs-v030301-id932190-rce'])
          )
          
RCE 感度レベル 3


evaluatePreconfiguredExpr('rce-v33-stable')
          

リモート ファイル インクルード(RFI)

次の表は、RFI の事前構成済みルールでサポートされる各シグネチャのシグネチャ ID、感度レベル、説明を示しています。

CRS 3.3

シグネチャ ID(ルール ID) 感度レベル 説明
owasp-crs-v030301-id931100-rfi 1 URL パラメータ(IP アドレスを使用する)
owasp-crs-v030301-id931110-rfi 1 一般的な RFI 脆弱性のあるパラメータ名(URL ペイロードとともに使用される)
owasp-crs-v030301-id931120-rfi 1 URL ペイロード(末尾につく疑問符文字(?)とともに使用される)
owasp-crs-v030301-id931130-rfi 2 オフドメインのリファレンス / リンク

CRS 3.0

シグネチャ ID(ルール ID) 感度レベル 説明
owasp-crs-v030001-id931100-rfi 1 URL パラメータ(IP アドレスを使用する)
owasp-crs-v030001-id931110-rfi 1 一般的な RFI 脆弱性のあるパラメータ名(URL ペイロードとともに使用される)
owasp-crs-v030001-id931120-rfi 1 URL ペイロード(末尾につく疑問符文字(?)とともに使用される)
owasp-crs-v030001-id931130-rfi 2 オフドメインのリファレンス / リンク

特定の感度レベルでルールを構成するには、より高い感度レベルのシグネチャを無効にします。

RFI 感度レベル 1


evaluatePreconfiguredExpr('rfi-v33-canary', ['owasp-crs-v030301-id931130-rfi'])

RFI のシグネチャはすべて感度レベル 2 未満です。次の構成はその他の感度レベルで機能します。

RFI 感度レベル 2


evaluatePreconfiguredExpr('rfi-v33-stable')

メソッドの適用

次の表は、メソッド適用の事前構成済みルールでサポートされる各シグネチャのシグネチャ ID、感度レベル、を示しています。

CRS 3.3

シグネチャ ID(ルール ID) 感度レベル 説明
owasp-crs-v030301-id911100-methodenforcement 1 ポリシーによって許可されていないメソッド

CRS 3.0

シグネチャ ID(ルール ID) 感度レベル 説明
owasp-crs-v030001-id911100-methodenforcement 1 ポリシーによって許可されていないメソッド

メソッド適用のシグネチャはすべて感度レベル 2 未満です。次の構成はその他の感度レベルで機能します。

メソッド適用の感度レベル 1


evaluatePreconfiguredExpr('methodenforcement-v33-stable')

スキャナ検出

次の表は、スキャナ検出の事前構成済みルールでサポートされる各シグネチャのシグネチャ ID、感度レベル、説明を示しています。

CRS 3.3

シグネチャ ID(ルール ID) 感度レベル 説明
owasp-crs-v030301-id913100-scannerdetection 1 セキュリティ スキャナに関連付けられているユーザー エージェントが見つかりました
owasp-crs-v030301-id913110-scannerdetection 1 セキュリティ スキャナに関連付けられているリクエスト ヘッダーが見つかりました
owasp-crs-v030301-id913120-scannerdetection 1 セキュリティ スキャナに関連付けられているリクエスト ファイル名または引数が見つかりました
owasp-crs-v030301-id913101-scannerdetection 2 スクリプトまたは汎用の HTTP クライアントに関連付けられたユーザー エージェントが見つかりました
owasp-crs-v030301-id913102-scannerdetection 2 ウェブクローラまたはボットに関連付けられたユーザー エージェントが見つかりました

CRS 3.0

シグネチャ ID(ルール ID) 感度レベル 説明
owasp-crs-v030001-id913100-scannerdetection 1 セキュリティ スキャナに関連付けられているユーザー エージェントが見つかりました
owasp-crs-v030001-id913110-scannerdetection 1 セキュリティ スキャナに関連付けられているリクエスト ヘッダーが見つかりました
owasp-crs-v030001-id913120-scannerdetection 1 セキュリティ スキャナに関連付けられているリクエスト ファイル名または引数が見つかりました
owasp-crs-v030001-id913101-scannerdetection 2 スクリプトまたは汎用の HTTP クライアントに関連付けられたユーザー エージェントが見つかりました
owasp-crs-v030001-id913102-scannerdetection 2 ウェブクローラまたはボットに関連付けられたユーザー エージェントが見つかりました

特定の感度レベルでルールを構成するには、より高い感度レベルのシグネチャを無効にします。

スキャナ検出の感度レベル 1


evaluatePreconfiguredExpr('scannerdetection-v33-stable',
  ['owasp-crs-v030301-id913101-scannerdetection',
  'owasp-crs-v030301-id913102-scannerdetection']
)
          
スキャナ検出の感度レベル 2


evaluatePreconfiguredExpr('scannerdetection-v33-stable')
          

プロトコル攻撃

次の表は、プロトコル攻撃の事前構成済みルールでサポートされる各シグネチャのシグネチャ ID、感度レベル、説明を示しています。

CRS 3.3

シグネチャ ID(ルール ID) 感度レベル 説明
Not included 1 HTTP リクエスト スマグリング攻撃
owasp-crs-v030301-id921110-protocolattack 1 HTTP リクエスト スマグリング攻撃
owasp-crs-v030301-id921120-protocolattack 1 HTTP レスポンス分割攻撃
owasp-crs-v030301-id921130-protocolattack 1 HTTP レスポンス分割攻撃
owasp-crs-v030301-id921140-protocolattack 1 ヘッダーを介した HTTP ヘッダー インジェクション攻撃
owasp-crs-v030301-id921150-protocolattack 1 ペイロードを介した HTTP ヘッダー インジェクション攻撃(CR/LF が検出されました)
owasp-crs-v030301-id921160-protocolattack 1 ペイロードを介した HTTP ヘッダー インジェクション攻撃(CR/LF とヘッダー名が検出されました)
owasp-crs-v030301-id921190-protocolattack 1 HTTP 分割(リクエスト ファイル名で CR/LF が検出されました)
owasp-crs-v030301-id921200-protocolattack 1 LDAP インジェクション攻撃
owasp-crs-v030301-id921151-protocolattack 2 ペイロードを介した HTTP ヘッダー インジェクション攻撃(CR/LF が検出されました)
owasp-crs-v030301-id921170-protocolattack 3 HTTP パラメータのポリューション

CRS 3.0

シグネチャ ID(ルール ID) 感度レベル 説明
owasp-crs-v030001-id921100-protocolattack 1 HTTP リクエスト スマグリング攻撃
owasp-crs-v030001-id921110-protocolattack 1 HTTP リクエスト スマグリング攻撃
owasp-crs-v030001-id921120-protocolattack 1 HTTP レスポンス分割攻撃
owasp-crs-v030001-id921130-protocolattack 1 HTTP レスポンス分割攻撃
owasp-crs-v030001-id921140-protocolattack 1 ヘッダーを介した HTTP ヘッダー インジェクション攻撃
owasp-crs-v030001-id921150-protocolattack 1 ペイロードを介した HTTP ヘッダー インジェクション攻撃(CR/LF が検出されました)
owasp-crs-v030001-id921160-protocolattack 1 ペイロードを介した HTTP ヘッダー インジェクション攻撃(CR/LF とヘッダー名が検出されました)
Not included 1 HTTP 分割(リクエスト ファイル名で CR/LF が検出されました)
Not included 1 LDAP インジェクション攻撃
owasp-crs-v030001-id921151-protocolattack 2 ペイロードを介した HTTP ヘッダー インジェクション攻撃(CR/LF が検出されました)
owasp-crs-v030001-id921170-protocolattack 3 HTTP パラメータのポリューション

特定の感度レベルでルールを構成するには、より高い感度レベルのシグネチャを無効にします。

プロトコル攻撃の感度レベル 1


evaluatePreconfiguredExpr('protocolattack-v33-stable',
  ['owasp-crs-v030301-id921151-protocolattack',
  'owasp-crs-v030301-id921170-protocolattack']
)
          
プロトコル攻撃の感度レベル 2


evaluatePreconfiguredExpr('protocolattack-v33-stable',
  ['owasp-crs-v030301-id921170-protocolattack']
)
          
プロトコル攻撃の感度レベル 3


evaluatePreconfiguredExpr('protocolattack-v33-stable')
          

PHP

次の表は、PHP の事前構成済みルールでサポートされる各シグネチャのシグネチャ ID、感度レベル、説明を示しています。

CRS 3.3

シグネチャ ID(ルール ID) 感度レベル 説明
owasp-crs-v030301-id933100-php 1 PHP インジェクション攻撃: PHP 開始タグが見つかりました
owasp-crs-v030301-id933110-php 1 PHP インジェクション攻撃: PHP スクリプト ファイルのアップロードが見つかりました
owasp-crs-v030301-id933120-php 1 PHP インジェクション攻撃: 構成ディレクティブが見つかりました
owasp-crs-v030301-id933130-php 1 PHP インジェクション攻撃: 変数が見つかりました
owasp-crs-v030301-id933140-php 1 PHP インジェクション攻撃: I/O ストリームが見つかりました
owasp-crs-v030301-id933200-php 1 PHP インジェクション攻撃: ラッパー スキームが検出されました
owasp-crs-v030301-id933150-php 1 PHP インジェクション攻撃: 高リスクの PHP 関数名が見つかりました
owasp-crs-v030301-id933160-php 1 PHP インジェクション攻撃: 高リスクの PHP 関数呼び出しが見つかりました
owasp-crs-v030301-id933170-php 1 PHP インジェクション攻撃: シリアル化されたオブジェクトのインジェクション
owasp-crs-v030301-id933180-php 1 PHP インジェクション攻撃: 変数関数の呼び出しが見つかりました
owasp-crs-v030301-id933210-php 1 PHP インジェクション攻撃: 変数関数の呼び出しが見つかりました
owasp-crs-v030301-id933151-php 2 PHP インジェクション攻撃: 中リスクの PHP 関数名が見つかりました
owasp-crs-v030301-id933131-php 3 PHP インジェクション攻撃: 変数が見つかりました
owasp-crs-v030301-id933161-php 3 PHP インジェクション攻撃: ローバリュー PHP 関数呼び出しが見つかりました
owasp-crs-v030301-id933111-php 3 PHP インジェクション攻撃: PHP スクリプト ファイルのアップロードが見つかりました
owasp-crs-v030301-id933190-php 3 PHP インジェクション攻撃: PHP 終了タグが見つかりました

CRS 3.0

シグネチャ ID(ルール ID) 感度レベル 説明
owasp-crs-v030001-id933100-php 1 PHP インジェクション攻撃: PHP 開始タグが見つかりました
owasp-crs-v030001-id933110-php 1 PHP インジェクション攻撃: PHP スクリプト ファイルのアップロードが見つかりました
owasp-crs-v030001-id933120-php 1 PHP インジェクション攻撃: 構成ディレクティブが見つかりました
owasp-crs-v030001-id933130-php 1 PHP インジェクション攻撃: 変数が見つかりました
owasp-crs-v030001-id933140-php 1 PHP インジェクション攻撃: I/O ストリームが見つかりました
Not included 1 PHP インジェクション攻撃: ラッパー スキームが検出されました
owasp-crs-v030001-id933150-php 1 PHP インジェクション攻撃: 高リスクの PHP 関数名が見つかりました
owasp-crs-v030001-id933160-php 1 PHP インジェクション攻撃: 高リスクの PHP 関数呼び出しが見つかりました
owasp-crs-v030001-id933170-php 1 PHP インジェクション攻撃: シリアル化されたオブジェクトのインジェクション
owasp-crs-v030001-id933180-php 1 PHP インジェクション攻撃: 変数関数の呼び出しが見つかりました
Not included 1 PHP インジェクション攻撃: 変数関数の呼び出しが見つかりました
owasp-crs-v030001-id933151-php 2 PHP インジェクション攻撃: 中リスクの PHP 関数名が見つかりました
owasp-crs-v030001-id933131-php 3 PHP インジェクション攻撃: 変数が見つかりました
owasp-crs-v030001-id933161-php 3 PHP インジェクション攻撃: ローバリュー PHP 関数呼び出しが見つかりました
owasp-crs-v030001-id933111-php 3 PHP インジェクション攻撃: PHP スクリプト ファイルのアップロードが見つかりました
Not included 3 PHP インジェクション攻撃: PHP 終了タグが見つかりました

特定の感度レベルでルールを構成するには、より高い感度レベルのシグネチャを無効にします。

PHP インジェクション攻撃の感度レベル 1


evaluatePreconfiguredExpr('php-v33-stable',
['owasp-crs-v030301-id933151-php',
  'owasp-crs-v030301-id933131-php',
  'owasp-crs-v030301-id933161-php',
  'owasp-crs-v030301-id933111-php',
  'owasp-crs-v030301-id933190-php']
)
          
PHP インジェクション攻撃の感度レベル 2


evaluatePreconfiguredExpr('php-v33-stable',
  ['owasp-crs-v0303001-id933131-php',
  'owasp-crs-v0303001-id933161-php',
  'owasp-crs-v0303001-id933111-php'
  'owasp-crs-v030301-id933190-php'])
          
PHP インジェクション攻撃の感度レベル 3


evaluatePreconfiguredExpr('php-v33-stable')
          

セッション修正

次の表は、セッション修正の事前構成済みルールでサポートされる各シグネチャのシグネチャ ID、感度レベル、説明を示しています。

CRS 3.3

シグネチャ ID(ルール ID) 感度レベル 説明
owasp-crs-v030301-id943100-sessionfixation 1 セッション修正攻撃の可能性: HTML での Cookie 値の設定
owasp-crs-v030301-id943110-sessionfixation 1 セッション修正攻撃の可能性: ドメイン外のリファラーが割り当てられたセッション ID パラメータ名
owasp-crs-v030301-id943120-sessionfixation 1 セッション修正攻撃の可能性: リファラーのないセッション ID パラメータ名

CRS 3.0

シグネチャ ID(ルール ID) 感度レベル 説明
owasp-crs-v030001-id943100-sessionfixation 1 セッション修正攻撃の可能性: HTML での Cookie 値の設定
owasp-crs-v030001-id943110-sessionfixation 1 セッション修正攻撃の可能性: ドメイン外のリファラーが割り当てられたセッション ID パラメータ名
owasp-crs-v030001-id943120-sessionfixation 1 セッション修正攻撃の可能性: リファラーのないセッション ID パラメータ名

セッション修正のシグネチャはすべて感度レベル 2 未満です。次の構成はその他の感度レベルで機能します。

セッション修正感度レベル 1


evaluatePreconfiguredExpr('sessionfixation-v33-canary')

CVE とその他の脆弱性

以下のシグネチャは、Log4j RCE の CVE-2021-44228CVE-2021-45046 脆弱性に対応しています。

シグネチャ ID(ルール ID) 感度レベル 説明
owasp-crs-v030001-id044228-cve 1 CVE-2021-44228CVE-2021-45046 の悪用を検出するための基本ルール
owasp-crs-v030001-id144228-cve 1 より多くのバイパスと難読化の試行に対応するための Google 提供の拡張機能
owasp-crs-v030001-id244228-cve 3 バイパスと難読化の試行を検出する感度が向上(偽陽性検出のリスクはわずかに増加)
owasp-crs-v030001-id344228-cve 3 Base64 エンコードを使用したバイパスと難読化の試行を検出する感度が向上(偽陽性検出のリスクがわずかに増加)

特定の感度レベルでルールを構成するには、より高い感度レベルのシグネチャを無効にします。

CVE 感度レベル 1


evaluatePreconfiguredExpr('cve-canary', ['owasp-crs-v030001-id244228-cve',
  'owasp-crs-v030001-id344228-cve'])
          
CVE 感度レベル 3


evaluatePreconfiguredExpr('cve-canary')

制限事項

Google Cloud Armor の事前構成済みルールには次の制限があります。

  • Google Cloud Armor は、リクエスト本文を含む HTTP リクエスト タイプのうち POST リクエストのみを処理します。Google Cloud Armor は、事前構成されたルールを使用して、POST 本文コンテンツの最初の 8 KB を評価します。詳細については、POST 本文の検査の制限をご覧ください。
  • Google Cloud Armor は、デフォルトの URL エンコードされた JSON 形式の POST 本文(Content-Type='application/json')用に事前構成された WAF ルールを解析し、適用できます。ただし、Google Cloud Armor は他の HTTP Content-Type 形式と Content-Encoding の形式を解析またはデコードしません。
  • Google Cloud Armor セキュリティ ポリシーは、ロードバランサの背後にあるバックエンド サービスでのみ使用できます。したがって、ロード バランシングの割り当てと上限はデプロイメントに適用されます。詳細については、ロード バランシングの割り当てページをご覧ください。
  • 次の ModSecurity CRS ルール ID は Google Cloud Armor でサポートされていません。
    • sqli-942100
    • sqli-942101
    • xss-941100
    • xss-941101

次のステップ