Google Cloud Armor の事前構成 WAF ルールの概要

Google Cloud Armor の事前構成 WAF ルールは、オープンソースの業界標準から集められた多数のシグネチャを持つ複雑なウェブ アプリケーション ファイアウォール(WAF)ルールです。各シグネチャは、ルールセット内の攻撃検出ルールに対応しています。Google はこれらのルールをそのまま提供します。このルールにより、Google Cloud Armor では、各シグネチャを手動で定義する必要がなく、便利に命名されたルールを参照することで、数十の異なるトラフィック シグネチャを評価できます。

Google Cloud Armor の事前構成 WAF ルールは、ニーズに合わせて最適に調整できます。ルールを調整する方法の詳細については、Google Cloud Armor の事前構成 WAF ルールを調整するをご覧ください。

次の表は、Google Cloud Armor のセキュリティ ポリシーで使用できる事前構成済みの WAF ルールの包括的なリストを示しています。ルールのソースは、ModSecurity Core Rule Set(CRS)3.0 と CRS 3.3 です。感度を高め、保護される攻撃の種類を増やすために、バージョン 3.3 を使用することをおすすめします。CRS 3.0 のサポートは継続中です。

CRS 3.3

Google Cloud Armor ルール名 ModSecurity ルール名 現在のステータス
SQL インジェクション sqli-v33-stable sqli-v33-canary と同期
sqli-v33-canary 最新
クロスサイト スクリプティング xss-v33-stable xss-v33-canary と同期
xss-v33-canary 最新
ローカル ファイル インクルード lfi-v33-stable lfi-v33-canary と同期
lfi-v33-canary 最新
リモート ファイル インクルード rfi-v33-stable rfi-v33-canary と同期
rfi-v33-canary 最新
リモートコード実行 rce-v33-stable rce-v33-canary と同期
rce-v33-canary 最新
メソッドの適用 methodenforcement-v33-stable methodenforcement-v33-canary と同期
methodenforcement-v33-canary 最新
スキャナ検出 scannerdetection-v33-stable scannerdetection-v33-canary と同期
scannerdetection-v33-canary 最新
プロトコル攻撃 protocolattack-v33-stable protocolattack-v33-canary と同期
protocolattack-v33-canary 最新
PHP インジェクション攻撃 php-v33-stable php-v33-canary と同期
php-v33-canary 最新
セッション修正攻撃 sessionfixation-v33-stable sessionfixation-v33-canary と同期
sessionfixation-v33-canary 最新
Java 攻撃 java-v33-stable java-v33-canary と同期
java-v33-canary 最新
NodeJS 攻撃 nodejs-v33-stable nodejs-v33-canary と同期
nodejs-v33-canary 最新

CRS 3.0

Google Cloud Armor ルール名 ModSecurity ルール名 現在のステータス
SQL インジェクション sqli-stable sqli-canary と同期
sqli-canary 最新
クロスサイト スクリプティング xss-stable xss-canary と同期
xss-canary 最新
ローカル ファイル インクルード lfi-stable lfi-canary と同期
lfi-canary 最新
リモート ファイル インクルード rfi-stable rfi-canary と同期
rfi-canary 最新
リモートコード実行 rce-stable rce-canary と同期
rce-canary 最新
メソッドの適用 methodenforcement-stable methodenforcement-canary と同期
methodenforcement-canary 最新
スキャナ検出 scannerdetection-stable scannerdetection-canary と同期
scannerdetection-canary 最新
プロトコル攻撃 protocolattack-stable protocolattack-canary と同期
protocolattack-canary 最新
PHP インジェクション攻撃 php-stable php-canary と同期
php-canary 最新
セッション修正攻撃 sessionfixation-stable sessionfixation-canary と同期
sessionfixation-canary 最新
Java 攻撃 Not included
NodeJS 攻撃 Not included

さらに、Google Cloud Armor のすべてのお客様は、下記の cve-canary ルールを使用して、以下の脆弱性を検出し、必要に応じてブロックすることができます。

  • CVE-2021-44228CVE-2021-45046 の Log4j RCE の脆弱性
  • 942550-sqli JSON 形式のコンテンツの脆弱性
Google Cloud Armor ルール名 対象となる脆弱性のタイプ
cve-canary Log4j の脆弱性
json-sqli-canary JSON ベースの SQL インジェクション バイパスの脆弱性

事前構成 ModSecurity ルール

事前構成 WAF ルールの感度レベルは、ModSecurity のパラノアレベルに対応します。感度レベルが低いほど、信頼度が高いシグネチャとなり、偽陽性が生じる可能性は低くなります。感度レベルが高いほど、セキュリティは強化されますが、誤検出が生じるリスクが高まります。

SQL インジェクション(SQLi)

次の表は、SQLi の事前構成 WAF ルールでサポートされる各シグネチャのシグネチャ ID、感度レベル、説明を示しています。

CRS 3.3

シグネチャ ID(ルール ID) 感度レベル 説明
owasp-crs-v030301-id942100-sqli 1 libinjection を介して SQL インジェクション攻撃を検出しました
owasp-crs-v030301-id942140-sqli 1 SQL インジェクション攻撃: 一般的な DB 名が検出されました
owasp-crs-v030301-id942160-sqli 1 sleep() または benchmark() を使用してブラインド SQLi テストを検出します
owasp-crs-v030301-id942170-sqli 1 条件付きクエリも含めて SQL ベンチマークとスリープ インジェクション試行を検出します
owasp-crs-v030301-id942190-sqli 1 MSSQL コード実行と情報収集の試行を検出します
owasp-crs-v030301-id942220-sqli 1 整数オーバーフロー攻撃を探します
owasp-crs-v030301-id942230-sqli 1 条件付き SQL インジェクション試行を検出します
owasp-crs-v030301-id942240-sqli 1 MySQL 文字セットスイッチと MSSQL DoS 試行を検出します
owasp-crs-v030301-id942250-sqli 1 一致を検出します
owasp-crs-v030301-id942270-sqli 1 基本的な SQL インジェクションと MySql への一般的な攻撃文字列を探します
owasp-crs-v030301-id942280-sqli 1 Postgres pg_sleep インジェクションを検出します
owasp-crs-v030301-id942290-sqli 1 基本的な MongoDB SQL インジェクション試行を探します
owasp-crs-v030301-id942320-sqli 1 MySQL および PostgreSQL ストアド プロシージャ / 関数インジェクションを検出します
owasp-crs-v030301-id942350-sqli 1 MySQL UDF インジェクションとその他のデータ / 構造操作試行を検出します
owasp-crs-v030301-id942360-sqli 1 連結された基本的な SQL インジェクションと SQLLFI 試行を検出します
owasp-crs-v030301-id942500-sqli 1 MySQLのインライン コメントが検出されました
owasp-crs-v030301-id942110-sqli 2 SQL インジェクション攻撃: 一般的なインジェクション テストが検出されました
owasp-crs-v030301-id942120-sqli 2 SQL インジェクション攻撃: SQL 演算子が検出されました
owasp-crs-v030301-id942130-sqli 2 SQL インジェクション攻撃: SQL Tautology が検出されました
owasp-crs-v030301-id942150-sqli 2 SQL インジェクション攻撃
owasp-crs-v030301-id942180-sqli 2 基本的な SQL 認証のバイパスの試行 1/3 を検出します
owasp-crs-v030301-id942200-sqli 2 MySQL コメント / スペース難読化インジェクションとバッククォートの終了を検出します
owasp-crs-v030301-id942210-sqli 2 チェーンされた SQL インジェクション試行 1/2 を検出します
owasp-crs-v030301-id942260-sqli 2 基本的な SQL 認証のバイパスの試行 2/3 を検出します
owasp-crs-v030301-id942300-sqli 2 MySQL のコメントを検出します
owasp-crs-v030301-id942310-sqli 2 チェーンされた SQL インジェクション試行 2/2 を検出します
owasp-crs-v030301-id942330-sqli 2 従来の SQL インジェクション プローブ 1/2 を検出します
owasp-crs-v030301-id942340-sqli 2 基本的な SQL 認証のバイパス試行 3/3 を検出します
owasp-crs-v030301-id942361-sqli 2 キーワードの変更またはユニオンに基づいて基本的な SQL インジェクションを検出します
owasp-crs-v030301-id942370-sqli 2 従来の SQL インジェクション プローブ 2/3 を検出します
owasp-crs-v030301-id942380-sqli 2 SQL インジェクション攻撃
owasp-crs-v030301-id942390-sqli 2 SQL インジェクション攻撃
owasp-crs-v030301-id942400-sqli 2 SQL インジェクション攻撃
owasp-crs-v030301-id942410-sqli 2 SQL インジェクション攻撃
owasp-crs-v030301-id942470-sqli 2 SQL インジェクション攻撃
owasp-crs-v030301-id942480-sqli 2 SQL インジェクション攻撃
owasp-crs-v030301-id942430-sqli 2 制限された SQL 文字の異常検出(引数): 特殊文字数を超えました(12)
owasp-crs-v030301-id942440-sqli 2 SQL コメント シーケンスが検出されました
owasp-crs-v030301-id942450-sqli 2 SQL 16 進数エンコードが識別されました
owasp-crs-v030301-id942510-sqli 2 ティックまたはバックティックによる SQLi バイパス試行が検出されました
owasp-crs-v030301-id942251-sqli 3 HAVING インジェクションを検出します
owasp-crs-v030301-id942490-sqli 3 従来の SQL インジェクション プローブ 3/3 を検出します
owasp-crs-v030301-id942420-sqli 3 制限された SQL 文字の異常検出(Cookie): 特殊文字数を超過しました(8)
owasp-crs-v030301-id942431-sqli 3 制限された SQL 文字の異常検出(引数): 特殊文字数を超過しました(6)
owasp-crs-v030301-id942460-sqli 3 メタ文字の異常検出アラート - 反復する非単語文字
owasp-crs-v030301-id942101-sqli 3 libinjection を介して SQL インジェクション攻撃を検出しました
owasp-crs-v030301-id942511-sqli 3 ティックによる SQLi バイパス試行が検出されました
owasp-crs-v030301-id942421-sqli 4 制限された SQL 文字の異常検出(Cookie): 特殊文字数を超過しました(3)
owasp-crs-v030301-id942432-sqli 4 制限された SQL 文字の異常検出(引数): 特殊文字数を超えました(2)

CRS 3.0

シグネチャ ID(ルール ID) 感度レベル 説明
Not included 1 libinjection を介して SQL インジェクション攻撃を検出しました
owasp-crs-v030001-id942140-sqli 1 SQL インジェクション攻撃: 一般的な DB 名が検出されました
owasp-crs-v030001-id942160-sqli 1 sleep() または benchmark() を使用してブラインド SQLi テストを検出します
owasp-crs-v030001-id942170-sqli 1 条件付きクエリも含めて SQL ベンチマークとスリープ インジェクション試行を検出します
owasp-crs-v030001-id942190-sqli 1 MSSQL コード実行と情報収集の試行を検出します
owasp-crs-v030001-id942220-sqli 1 整数オーバーフロー攻撃を探します
owasp-crs-v030001-id942230-sqli 1 条件付き SQL インジェクション試行を検出します
owasp-crs-v030001-id942240-sqli 1 MySQL 文字セットスイッチと MSSQL DoS 試行を検出します
owasp-crs-v030001-id942250-sqli 1 一致を検出します
owasp-crs-v030001-id942270-sqli 1 基本的な SQL インジェクションと MySql への一般的な攻撃文字列を探します
owasp-crs-v030001-id942280-sqli 1 Postgres pg_sleep インジェクションを検出します
owasp-crs-v030001-id942290-sqli 1 基本的な MongoDB SQL インジェクション試行を探します
owasp-crs-v030001-id942320-sqli 1 MySQL および PostgreSQL ストアド プロシージャ / 関数インジェクションを検出します
owasp-crs-v030001-id942350-sqli 1 MySQL UDF インジェクションとその他のデータ / 構造操作試行を検出します
owasp-crs-v030001-id942360-sqli 1 連結された基本的な SQL インジェクションと SQLLFI 試行を検出します
Not included 1 MySQLのインライン コメントが検出されました
owasp-crs-v030001-id942110-sqli 2 SQL インジェクション攻撃: 一般的なインジェクション テストが検出されました
owasp-crs-v030001-id942120-sqli 2 SQL インジェクション攻撃: SQL 演算子が検出されました
Not included 2 SQL インジェクション攻撃: SQL Tautology が検出されました
owasp-crs-v030001-id942150-sqli 2 SQL インジェクション攻撃
owasp-crs-v030001-id942180-sqli 2 基本的な SQL 認証のバイパスの試行 1/3 を検出します
owasp-crs-v030001-id942200-sqli 2 MySQL コメント / スペース難読化インジェクションとバッククォートの終了を検出します
owasp-crs-v030001-id942210-sqli 2 チェーンされた SQL インジェクション試行 1/2 を検出します
owasp-crs-v030001-id942260-sqli 2 基本的な SQL 認証のバイパスの試行 2/3 を検出します
owasp-crs-v030001-id942300-sqli 2 MySQL のコメントを検出します
owasp-crs-v030001-id942310-sqli 2 チェーンされた SQL インジェクション試行 2/2 を検出します
owasp-crs-v030001-id942330-sqli 2 従来の SQL インジェクション プローブ 1/2 を検出します
owasp-crs-v030001-id942340-sqli 2 基本的な SQL 認証のバイパス試行 3/3 を検出します
Not included 2 キーワードの変更またはユニオンに基づいて基本的な SQL インジェクションを検出します
Not included 2 従来の SQL インジェクション プローブ 2/3 を検出します
owasp-crs-v030001-id942380-sqli 2 SQL インジェクション攻撃
owasp-crs-v030001-id942390-sqli 2 SQL インジェクション攻撃
owasp-crs-v030001-id942400-sqli 2 SQL インジェクション攻撃
owasp-crs-v030001-id942410-sqli 2 SQL インジェクション攻撃
Not included 2 SQL インジェクション攻撃
Not included 2 SQL インジェクション攻撃
owasp-crs-v030001-id942430-sqli 2 制限された SQL 文字の異常検出(引数): 特殊文字数を超えました(12)
owasp-crs-v030001-id942440-sqli 2 SQL コメント シーケンスが検出されました
owasp-crs-v030001-id942450-sqli 2 SQL 16 進数エンコードが識別されました
Not included 2 ティックまたはバックティックによる SQLi バイパス試行が検出されました
owasp-crs-v030001-id942251-sqli 3 HAVING インジェクションを検出します
Not included 2 従来の SQL インジェクション プローブ 3/3 を検出します
owasp-crs-v030001-id942420-sqli 3 制限された SQL 文字の異常検出(Cookie): 特殊文字数を超過しました(8)
owasp-crs-v030001-id942431-sqli 3 制限された SQL 文字の異常検出(引数): 特殊文字数を超過しました(6)
owasp-crs-v030001-id942460-sqli 3 メタ文字の異常検出アラート - 反復する非単語文字
Not included 3 libinjection を介して SQL インジェクション攻撃を検出しました
Not included 3 ティックによる SQLi バイパス試行が検出されました
owasp-crs-v030001-id942421-sqli 4 制限された SQL 文字の異常検出(Cookie): 特殊文字数を超過しました(3)
owasp-crs-v030001-id942432-sqli 4 制限された SQL 文字の異常検出(引数): 特殊文字数の上限を超過しました(2)

特定の感度レベルでルールを構成するには、evaluatePreconfiguredExpr() を使用して、より高い感度レベルのシグネチャを無効にします。

SQLi 感度レベル 1 

evaluatePreconfiguredExpr('sqli-v33-stable',
['owasp-crs-v030301-id942110-sqli',
  'owasp-crs-v030301-id942120-sqli',
  'owasp-crs-v030301-id942130-sqli',
  'owasp-crs-v030301-id942150-sqli',
  'owasp-crs-v030301-id942180-sqli',
  'owasp-crs-v030301-id942200-sqli',
  'owasp-crs-v030301-id942210-sqli',
  'owasp-crs-v030301-id942260-sqli',
  'owasp-crs-v030301-id942300-sqli',
  'owasp-crs-v030301-id942310-sqli',
  'owasp-crs-v030301-id942330-sqli',
  'owasp-crs-v030301-id942340-sqli',
  'owasp-crs-v030301-id942361-sqli',
  'owasp-crs-v030301-id942370-sqli',
  'owasp-crs-v030301-id942380-sqli',
  'owasp-crs-v030301-id942390-sqli',
  'owasp-crs-v030301-id942400-sqli',
  'owasp-crs-v030301-id942410-sqli',
  'owasp-crs-v030301-id942470-sqli',
  'owasp-crs-v030301-id942480-sqli',
  'owasp-crs-v030301-id942430-sqli',
  'owasp-crs-v030301-id942440-sqli',
  'owasp-crs-v030301-id942450-sqli',
  'owasp-crs-v030301-id942510-sqli',
  'owasp-crs-v030301-id942251-sqli',
  'owasp-crs-v030301-id942490-sqli',
  'owasp-crs-v030301-id942420-sqli',
  'owasp-crs-v030301-id942431-sqli',
  'owasp-crs-v030301-id942460-sqli',
  'owasp-crs-v030301-id942101-sqli',
  'owasp-crs-v030301-id942511-sqli',
  'owasp-crs-v030301-id942421-sqli',
  'owasp-crs-v030301-id942432-sqli']
)
SQLi 感度レベル 2 

evaluatePreconfiguredExpr('sqli-v33-stable',
 ['owasp-crs-v030301-id942251-sqli',
  'owasp-crs-v030301-id942490-sqli',
  'owasp-crs-v030301-id942420-sqli',
  'owasp-crs-v030301-id942431-sqli',
  'owasp-crs-v030301-id942460-sqli',
  'owasp-crs-v030301-id942101-sqli',
  'owasp-crs-v030301-id942511-sqli',
  'owasp-crs-v030301-id942421-sqli',
  'owasp-crs-v030301-id942432-sqli']
)
SQLi 感度レベル 3 

evaluatePreconfiguredExpr('sqli-v33-stable',
        ['owasp-crs-v030301-id942421-sqli',
         'owasp-crs-v030301-id942432-sqli']
         )
SQLi 感度レベル 4 

evaluatePreconfiguredExpr('sqli-v33-stable')

または、evaluatePreconfiguredWaf() にプリセットの感度パラメータを使用して、特定の感度レベルでルールを構成できます。デフォルトでは、Google Cloud Armor はルールセットの感度を構成せず、すべてのシグネチャを評価します。

CRS 3.3

感度レベル
1 evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 3})
4 evaluatePreconfiguredWaf('sqli-v33-stable', {'sensitivity': 4})

CRS 3.0

感度レベル
1 evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 3})
4 evaluatePreconfiguredWaf('sqli-stable', {'sensitivity': 4})

クロスサイト スクリプティング(XSS)

次の表は、XSS の事前構成 WAF ルールでサポートされる各シグネチャのシグネチャ ID、感度レベル、説明を示しています。

CRS 3.3

シグネチャ ID(ルール ID) 感度レベル 説明
owasp-crs-v030301-id941100-xss 1 libinjection を介して検出された XSS 攻撃
owasp-crs-v030301-id941110-xss 1 XSS フィルタ - カテゴリ 1: スクリプトタグ ベクター
owasp-crs-v030301-id941120-xss 1 XSS フィルタ - カテゴリ 2: イベント ハンドラー ベクター
owasp-crs-v030301-id941130-xss 1 XSS フィルタ - カテゴリ 3: 属性ベクター
owasp-crs-v030301-id941140-xss 1 XSS フィルタ - カテゴリ 4: JavaScript URI ベクター
owasp-crs-v030301-id941160-xss 1 NoScript XSS InjectionChecker: HTML インジェクション
owasp-crs-v030301-id941170-xss 1 NoScript XSS InjectionChecker: 属性インジェクション
owasp-crs-v030301-id941180-xss 1 ノード検証コントロールの拒否リスト キーワード
owasp-crs-v030301-id941190-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030301-id941200-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030301-id941210-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030301-id941220-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030301-id941230-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030301-id941240-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030301-id941250-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030301-id941260-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030301-id941270-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030301-id941280-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030301-id941290-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030301-id941300-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030301-id941310-xss 1 US-ASCII 非整形式エンコード XSS フィルタ - 攻撃が検出されました
owasp-crs-v030301-id941350-xss 1 UTF-7 エンコード IE XSS - 攻撃が検出されました
owasp-crs-v030301-id941360-xss 1 ヒエログリフ難読化が検出されました
owasp-crs-v030301-id941370-xss 1 JavaScript グローバル変数が見つかりました
owasp-crs-v030301-id941101-xss 2 libinjection を介して検出された XSS 攻撃
owasp-crs-v030301-id941150-xss 2 XSS フィルタ - カテゴリ 5: 許可されていない HTML 属性
owasp-crs-v030301-id941320-xss 2 可能性のある XSS 攻撃が検出されました - HTML タグハンドラー
owasp-crs-v030301-id941330-xss 2 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030301-id941340-xss 2 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030301-id941380-xss 2 AngularJS のクライアントサイド テンプレート インジェクションが検出されました

CRS 3.0

シグネチャ ID(ルール ID) 感度レベル 説明
Not included 1 libinjection を介して検出された XSS 攻撃
owasp-crs-v030001-id941110-xss 1 XSS フィルタ - カテゴリ 1: スクリプトタグ ベクター
owasp-crs-v030001-id941120-xss 1 XSS フィルタ - カテゴリ 2: イベント ハンドラー ベクター
owasp-crs-v030001-id941130-xss 1 XSS フィルタ - カテゴリ 3: 属性ベクター
owasp-crs-v030001-id941140-xss 1 XSS フィルタ - カテゴリ 4: JavaScript URI ベクター
owasp-crs-v030001-id941160-xss 1 NoScript XSS InjectionChecker: HTML インジェクション
owasp-crs-v030001-id941170-xss 1 NoScript XSS InjectionChecker: 属性インジェクション
owasp-crs-v030001-id941180-xss 1 ノード検証コントロールの拒否リスト キーワード
owasp-crs-v030001-id941190-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030001-id941200-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030001-id941210-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030001-id941220-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030001-id941230-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030001-id941240-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030001-id941250-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030001-id941260-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030001-id941270-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030001-id941280-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030001-id941290-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030001-id941300-xss 1 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030001-id941310-xss 1 US-ASCII 非整形式エンコード XSS フィルタ - 攻撃が検出されました
owasp-crs-v030001-id941350-xss 1 UTF-7 エンコード IE XSS - 攻撃が検出されました
Not included 1 JSFuck / ヒエログリフ難読化が検出されました
Not included 1 JavaScript グローバル変数が見つかりました
Not included 2 libinjection を介して検出された XSS 攻撃
owasp-crs-v030001-id941150-xss 2 XSS フィルタ - カテゴリ 5: 許可されていない HTML 属性
owasp-crs-v030001-id941320-xss 2 可能性のある XSS 攻撃が検出されました - HTML タグハンドラー
owasp-crs-v030001-id941330-xss 2 IE XSS フィルタ - 攻撃が検出されました
owasp-crs-v030001-id941340-xss 2 IE XSS フィルタ - 攻撃が検出されました
Not included 2 AngularJS のクライアントサイド テンプレート インジェクションが検出されました

特定の感度レベルでルールを構成するには、evaluatePreconfiguredExpr() を使用して、より高い感度レベルのシグネチャを無効にします。

XSS 感度レベル 1 

evaluatePreconfiguredExpr('xss-v33-stable',
['owasp-crs-v030301-id941101-xss',
  'owasp-crs-v030301-id941150-xss',
  'owasp-crs-v030301-id941320-xss',
  'owasp-crs-v030301-id941330-xss',
  'owasp-crs-v030301-id941340-xss',
  'owasp-crs-v030301-id941380-xss'
])


XSS のシグネチャはすべて感度レベル 2 未満です。次の構成はその他の感度レベル用に機能します。

XSS 感度レベル 2 

evaluatePreconfiguredExpr('xss-v33-stable')

または、evaluatePreconfiguredWaf() にプリセットの感度パラメータを使用して、特定の感度レベルでルールを構成できます。デフォルトでは、Google Cloud Armor はルールセットの感度を構成せず、すべてのシグネチャを評価します。

CRS 3.3

感度レベル
1 evaluatePreconfiguredWaf('xss-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('xss-v33-stable', {'sensitivity': 2})

CRS 3.0

感度レベル
1 evaluatePreconfiguredWaf('xss-stable', {'sensitivity': 1})

ローカル ファイル インクルード(LFI)

次の表は、LFI の事前構成 WAF ルールでサポートされる各シグネチャのシグネチャ ID、感度レベル、説明を示しています。

CRS 3.3

シグネチャ ID(ルール ID) 感度レベル 説明
owasp-crs-v030301-id930100-lfi 1 パス トラバーサル攻撃(/../)
owasp-crs-v030301-id930110-lfi 1 パス トラバーサル攻撃(/../)
owasp-crs-v030301-id930120-lfi 1 OS ファイル アクセス試行
owasp-crs-v030301-id930130-lfi 1 制限付きファイルのアクセス試行

CRS 3.0

シグネチャ ID(ルール ID) 感度レベル 説明
owasp-crs-v030001-id930100-lfi 1 パス トラバーサル攻撃(/../)
owasp-crs-v030001-id930110-lfi 1 パス トラバーサル攻撃(/../)
owasp-crs-v030001-id930120-lfi 1 OS ファイル アクセス試行
owasp-crs-v030001-id930130-lfi 1 制限付きファイルのアクセス試行

特定の感度レベルでルールを構成するには、evaluatePreconfiguredExpr() を使用して、より高い感度レベルのシグネチャを無効にします。LFI のシグネチャはすべて感度レベル 1 です。次の構成は、すべての感度レベルで機能します。

LFI 感度レベル 1 

evaluatePreconfiguredExpr('lfi-v33-stable')

または、evaluatePreconfiguredWaf() にプリセットの感度パラメータを使用して、特定の感度レベルでルールを構成できます。LFI のシグネチャはすべて感度レベル 1 です。次の構成は、すべての感度レベルで機能します。

CRS 3.3

感度レベル
1 evaluatePreconfiguredWaf('lfi-v33-stable', {'sensitivity': 1})

CRS 3.0

感度レベル
1 evaluatePreconfiguredWaf('lfi-stable', {'sensitivity': 1})

リモートコード実行(RCE)

次の表は、RCE 事前構成 WAF ルールでサポートされる各シグネチャのシグネチャ ID、感度レベル、説明を示しています。

CRS 3.3

シグネチャ ID(ルール ID) 感度レベル 説明
owasp-crs-v030301-id932100-rce 1 UNIX コマンド インジェクション
owasp-crs-v030301-id932105-rce 1 UNIX コマンド インジェクション
owasp-crs-v030301-id932110-rce 1 Windows コマンド インジェクション
owasp-crs-v030301-id932115-rce 1 Windows コマンド インジェクション
owasp-crs-v030301-id932120-rce 1 Windows PowerShell コマンドが見つかりました
owasp-crs-v030301-id932130-rce 1 Unix シェル式が見つかりました
owasp-crs-v030301-id932140-rce 1 Windows の FOR/IF コマンドが見つかりました
owasp-crs-v030301-id932150-rce 1 UNIX コマンドの直接実行
owasp-crs-v030301-id932160-rce 1 UNIX シェルコードが見つかりました
owasp-crs-v030301-id932170-rce 1 Shellshock(CVE-2014-6271)
owasp-crs-v030301-id932171-rce 1 Shellshock(CVE-2014-6271)
owasp-crs-v030301-id932180-rce 1 制限付きファイルのアップロード試行
owasp-crs-v030301-id932200-rce 2 RCE バイパス技術
owasp-crs-v030301-id932106-rce 3 リモート コマンド実行: Unix コマンド インジェクション
owasp-crs-v030301-id932190-rce 3 リモート コマンド実行: ワイルドカード バイパス手法の試行

CRS 3.0

シグネチャ ID(ルール ID) 感度レベル 説明
owasp-crs-v030001-id932100-rce 1 UNIX コマンド インジェクション
owasp-crs-v030001-id932105-rce 1 UNIX コマンド インジェクション
owasp-crs-v030001-id932110-rce 1 Windows コマンド インジェクション
owasp-crs-v030001-id932115-rce 1 Windows コマンド インジェクション
owasp-crs-v030001-id932120-rce 1 Windows PowerShell コマンドが見つかりました
owasp-crs-v030001-id932130-rce 1 Unix シェル式が見つかりました
owasp-crs-v030001-id932140-rce 1 Windows の FOR/IF コマンドが見つかりました
owasp-crs-v030001-id932150-rce 1 UNIX コマンドの直接実行
owasp-crs-v030001-id932160-rce 1 UNIX シェルコードが見つかりました
owasp-crs-v030001-id932170-rce 1 Shellshock(CVE-2014-6271)
owasp-crs-v030001-id932171-rce 1 Shellshock(CVE-2014-6271)
Not included 1 制限付きファイルのアップロード試行
Not included 2 RCE バイパス技術
Not included 3 リモート コマンド実行: Unix コマンド インジェクション
Not included 3 リモート コマンド実行: ワイルドカード バイパス手法の試行

特定の感度レベルでルールを構成するには、evaluatePreconfiguredExpr() を使用して、より高い感度レベルのシグネチャを無効にします。次の構成は、すべての感度レベルで機能します。

RCE 感度レベル 1 

evaluatePreconfiguredExpr('rce-v33-stable',
          ['owasp-crs-v030301-id932200-rce',
           'owasp-crs-v030301-id932106-rce',
           'owasp-crs-v030301-id932190-rce'])
RCE 感度レベル 2 

evaluatePreconfiguredExpr('rce-v33-stable',
           [ 'owasp-crs-v030301-id932106-rce',
           'owasp-crs-v030301-id932190-rce'])
RCE 感度レベル 3 

evaluatePreconfiguredExpr('rce-v33-stable')

または、evaluatePreconfiguredWaf() にプリセットの感度パラメータを使用して、特定の感度レベルでルールを構成できます。RCE のシグネチャはすべて感度レベル 1 です。次の構成は、すべての感度レベルで機能します。

CRS 3.3

感度レベル
1 evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('rce-v33-stable', {'sensitivity': 3})

CRS 3.0

感度レベル
1 evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('rce-stable', {'sensitivity': 3})

リモート ファイル インクルード(RFI)

次の表は、RFI の事前構成 WAF ルールでサポートされる各シグネチャのシグネチャ ID、感度レベル、説明を示しています。

CRS 3.3

シグネチャ ID(ルール ID) 感度レベル 説明
owasp-crs-v030301-id931100-rfi 1 URL パラメータ(IP アドレスを使用する)
owasp-crs-v030301-id931110-rfi 1 一般的な RFI 脆弱性のあるパラメータ名(URL ペイロードとともに使用される)
owasp-crs-v030301-id931120-rfi 1 URL ペイロード(末尾につく疑問符文字(?)とともに使用される)
owasp-crs-v030301-id931130-rfi 2 オフドメインのリファレンス / リンク

CRS 3.0

シグネチャ ID(ルール ID) 感度レベル 説明
owasp-crs-v030001-id931100-rfi 1 URL パラメータ(IP アドレスを使用する)
owasp-crs-v030001-id931110-rfi 1 一般的な RFI 脆弱性のあるパラメータ名(URL ペイロードとともに使用される)
owasp-crs-v030001-id931120-rfi 1 URL ペイロード(末尾につく疑問符文字(?)とともに使用される)
owasp-crs-v030001-id931130-rfi 2 オフドメインのリファレンス / リンク

特定の感度レベルでルールを構成するには、evaluatePreconfiguredExpr() を使用して、より高い感度レベルのシグネチャを無効にします。

RFI 感度レベル 1 

evaluatePreconfiguredExpr('rfi-v33-stable', ['owasp-crs-v030301-id931130-rfi'])

RFI のシグネチャはすべて感度レベル 2 未満です。次の構成はその他の感度レベル用に機能します。

RFI 感度レベル 2 

evaluatePreconfiguredExpr('rfi-v33-stable')

または、evaluatePreconfiguredWaf() にプリセットの感度パラメータを使用して、特定の感度レベルでルールを構成できます。デフォルトでは、Google Cloud Armor はルールセットの感度を構成せず、すべてのシグネチャを評価します。

CRS 3.3

感度レベル
1 evaluatePreconfiguredWaf('rfi-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('rfi-v33-stable', {'sensitivity': 2})

CRS 3.0

感度レベル
1 evaluatePreconfiguredWaf('rfi-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('rfi-stable', {'sensitivity': 2})

メソッドの適用

次の表は、メソッド適用の事前構成ルールでサポートされる各シグネチャのシグネチャ ID、感度レベル、説明を示しています。

CRS 3.3

シグネチャ ID(ルール ID) 感度レベル 説明
owasp-crs-v030301-id911100-methodenforcement 1 ポリシーによって許可されていないメソッド

CRS 3.0

シグネチャ ID(ルール ID) 感度レベル 説明
owasp-crs-v030001-id911100-methodenforcement 1 ポリシーによって許可されていないメソッド

特定の感度レベルでルールを構成するには、evaluatePreconfiguredExpr() を使用して、より高い感度レベルのシグネチャを無効にします。メソッド適用のシグネチャはすべて感度レベル 1 です。次の構成はその他の感度レベルで機能します。

メソッド適用の感度レベル 1 

evaluatePreconfiguredExpr('methodenforcement-v33-stable')

または、evaluatePreconfiguredWaf() にプリセットの感度パラメータを使用して、特定の感度レベルでルールを構成できます。デフォルトでは、Google Cloud Armor はルールセットの感度を構成せず、すべてのシグネチャを評価します。

CRS 3.3

感度レベル
1 evaluatePreconfiguredWaf('methodenforcement-v33-stable', {'sensitivity': 1})

CRS 3.0

感度レベル
1 evaluatePreconfiguredWaf('methodenforcement-stable', {'sensitivity': 1})

スキャナ検出

次の表は、スキャナ検出の事前構成済みルールでサポートされる各シグネチャのシグネチャ ID、感度レベル、説明を示してます。

CRS 3.3

シグネチャ ID(ルール ID) 感度レベル 説明
owasp-crs-v030301-id913100-scannerdetection 1 セキュリティ スキャナに関連付けられているユーザー エージェントが見つかりました
owasp-crs-v030301-id913110-scannerdetection 1 セキュリティ スキャナに関連付けられているリクエスト ヘッダーが見つかりました
owasp-crs-v030301-id913120-scannerdetection 1 セキュリティ スキャナに関連付けられているリクエスト ファイル名または引数が見つかりました
owasp-crs-v030301-id913101-scannerdetection 2 スクリプトまたは汎用の HTTP クライアントに関連付けられたユーザー エージェントが見つかりました
owasp-crs-v030301-id913102-scannerdetection 2 ウェブクローラまたはボットに関連付けられたユーザー エージェントが見つかりました

CRS 3.0

シグネチャ ID(ルール ID) 感度レベル 説明
owasp-crs-v030001-id913100-scannerdetection 1 セキュリティ スキャナに関連付けられているユーザー エージェントが見つかりました
owasp-crs-v030001-id913110-scannerdetection 1 セキュリティ スキャナに関連付けられているリクエスト ヘッダーが見つかりました
owasp-crs-v030001-id913120-scannerdetection 1 セキュリティ スキャナに関連付けられているリクエスト ファイル名または引数が見つかりました
owasp-crs-v030001-id913101-scannerdetection 2 スクリプトまたは汎用の HTTP クライアントに関連付けられたユーザー エージェントが見つかりました
owasp-crs-v030001-id913102-scannerdetection 2 ウェブクローラまたはボットに関連付けられたユーザー エージェントが見つかりました

特定の感度レベルでルールを構成するには、evaluatePreconfiguredExpr() を使用して、より高い感度レベルのシグネチャを無効にします。

スキャナ検出の感度レベル 1 

evaluatePreconfiguredExpr('scannerdetection-v33-stable',
  ['owasp-crs-v030301-id913101-scannerdetection',
  'owasp-crs-v030301-id913102-scannerdetection']
)
スキャナ検出の感度レベル 2 

evaluatePreconfiguredExpr('scannerdetection-v33-stable')

または、evaluatePreconfiguredWaf() にプリセットの感度パラメータを使用して、特定の感度レベルでルールを構成できます。デフォルトでは、Google Cloud Armor はルールセットの感度を構成せず、すべてのシグネチャを評価します。

CRS 3.3

感度レベル
1 evaluatePreconfiguredWaf('scannerdetection-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('scannerdetection-v33-stable', {'sensitivity': 2})

CRS 3.0

感度レベル
1 evaluatePreconfiguredWaf('scannerdetection-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('scannerdetection-stable', {'sensitivity': 2})

プロトコル攻撃

次の表は、プロトコル攻撃の事前構成済みルールでサポートされる各シグネチャのシグネチャ ID、感度レベル、説明を示しています。

CRS 3.3

シグネチャ ID(ルール ID) 感度レベル 説明
Not included 1 HTTP リクエスト スマグリング攻撃
owasp-crs-v030301-id921110-protocolattack 1 HTTP リクエスト スマグリング攻撃
owasp-crs-v030301-id921120-protocolattack 1 HTTP レスポンス分割攻撃
owasp-crs-v030301-id921130-protocolattack 1 HTTP レスポンス分割攻撃
owasp-crs-v030301-id921140-protocolattack 1 ヘッダーを介した HTTP ヘッダー インジェクション攻撃
owasp-crs-v030301-id921150-protocolattack 1 ペイロードを介した HTTP ヘッダー インジェクション攻撃(CR/LF が検出されました)
owasp-crs-v030301-id921160-protocolattack 1 ペイロードを介した HTTP ヘッダー インジェクション攻撃(CR/LF とヘッダー名が検出されました)
owasp-crs-v030301-id921190-protocolattack 1 HTTP 分割(リクエスト ファイル名で CR/LF が検出されました)
owasp-crs-v030301-id921200-protocolattack 1 LDAP インジェクション攻撃
owasp-crs-v030301-id921151-protocolattack 2 ペイロードを介した HTTP ヘッダー インジェクション攻撃(CR/LF が検出されました)
owasp-crs-v030301-id921170-protocolattack 3 HTTP パラメータのポリューション

CRS 3.0

シグネチャ ID(ルール ID) 感度レベル 説明
owasp-crs-v030001-id921100-protocolattack 1 HTTP リクエスト スマグリング攻撃
owasp-crs-v030001-id921110-protocolattack 1 HTTP リクエスト スマグリング攻撃
owasp-crs-v030001-id921120-protocolattack 1 HTTP レスポンス分割攻撃
owasp-crs-v030001-id921130-protocolattack 1 HTTP レスポンス分割攻撃
owasp-crs-v030001-id921140-protocolattack 1 ヘッダーを介した HTTP ヘッダー インジェクション攻撃
owasp-crs-v030001-id921150-protocolattack 1 ペイロードを介した HTTP ヘッダー インジェクション攻撃(CR/LF が検出されました)
owasp-crs-v030001-id921160-protocolattack 1 ペイロードを介した HTTP ヘッダー インジェクション攻撃(CR/LF とヘッダー名が検出されました)
Not included 1 HTTP 分割(リクエスト ファイル名で CR/LF が検出されました)
Not included 1 LDAP インジェクション攻撃
owasp-crs-v030001-id921151-protocolattack 2 ペイロードを介した HTTP ヘッダー インジェクション攻撃(CR/LF が検出されました)
owasp-crs-v030001-id921170-protocolattack 3 HTTP パラメータのポリューション

特定の感度レベルでルールを構成するには、evaluatePreconfiguredExpr() を使用して、より高い感度レベルのシグネチャを無効にします。

プロトコル攻撃の感度レベル 1 

evaluatePreconfiguredExpr('protocolattack-v33-stable',
  ['owasp-crs-v030301-id921151-protocolattack',
  'owasp-crs-v030301-id921170-protocolattack']
)
プロトコル攻撃の感度レベル 2 

evaluatePreconfiguredExpr('protocolattack-v33-stable',
  ['owasp-crs-v030301-id921170-protocolattack']
)
プロトコル攻撃の感度レベル 3 

evaluatePreconfiguredExpr('protocolattack-v33-stable')

または、evaluatePreconfiguredWaf() にプリセットの感度パラメータを使用して、特定の感度レベルでルールを構成できます。デフォルトでは、Google Cloud Armor はルールセットの感度を構成せず、すべてのシグネチャを評価します。

CRS 3.3

感度レベル
1 evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('protocolattack-v33-stable', {'sensitivity': 3})

CRS 3.0

感度レベル
1 evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('protocolattack-stable', {'sensitivity': 3})

PHP

次の表は、PHP の事前構成 WAF ルールでサポートされる各シグネチャのシグネチャ ID、感度レベル、説明を示しています。

CRS 3.3

シグネチャ ID(ルール ID) 感度レベル 説明
owasp-crs-v030301-id933100-php 1 PHP インジェクション攻撃: PHP 開始タグが見つかりました
owasp-crs-v030301-id933110-php 1 PHP インジェクション攻撃: PHP スクリプト ファイルのアップロードが見つかりました
owasp-crs-v030301-id933120-php 1 PHP インジェクション攻撃: 構成ディレクティブが見つかりました
owasp-crs-v030301-id933130-php 1 PHP インジェクション攻撃: 変数が見つかりました
owasp-crs-v030301-id933140-php 1 PHP インジェクション攻撃: I/O ストリームが見つかりました
owasp-crs-v030301-id933200-php 1 PHP インジェクション攻撃: ラッパー スキームが検出されました
owasp-crs-v030301-id933150-php 1 PHP インジェクション攻撃: 高リスクの PHP 関数名が見つかりました
owasp-crs-v030301-id933160-php 1 PHP インジェクション攻撃: 高リスクの PHP 関数呼び出しが見つかりました
owasp-crs-v030301-id933170-php 1 PHP インジェクション攻撃: シリアル化されたオブジェクトのインジェクション
owasp-crs-v030301-id933180-php 1 PHP インジェクション攻撃: 変数関数の呼び出しが見つかりました
owasp-crs-v030301-id933210-php 1 PHP インジェクション攻撃: 変数関数の呼び出しが見つかりました
owasp-crs-v030301-id933151-php 2 PHP インジェクション攻撃: 中リスクの PHP 関数名が見つかりました
owasp-crs-v030301-id933131-php 3 PHP インジェクション攻撃: 変数が見つかりました
owasp-crs-v030301-id933161-php 3 PHP インジェクション攻撃: ローバリュー PHP 関数呼び出しが見つかりました
owasp-crs-v030301-id933111-php 3 PHP インジェクション攻撃: PHP スクリプト ファイルのアップロードが見つかりました
owasp-crs-v030301-id933190-php 3 PHP インジェクション攻撃: PHP 終了タグが見つかりました

CRS 3.0

シグネチャ ID(ルール ID) 感度レベル 説明
owasp-crs-v030001-id933100-php 1 PHP インジェクション攻撃: PHP 開始タグが見つかりました
owasp-crs-v030001-id933110-php 1 PHP インジェクション攻撃: PHP スクリプト ファイルのアップロードが見つかりました
owasp-crs-v030001-id933120-php 1 PHP インジェクション攻撃: 構成ディレクティブが見つかりました
owasp-crs-v030001-id933130-php 1 PHP インジェクション攻撃: 変数が見つかりました
owasp-crs-v030001-id933140-php 1 PHP インジェクション攻撃: I/O ストリームが見つかりました
Not included 1 PHP インジェクション攻撃: ラッパー スキームが検出されました
owasp-crs-v030001-id933150-php 1 PHP インジェクション攻撃: 高リスクの PHP 関数名が見つかりました
owasp-crs-v030001-id933160-php 1 PHP インジェクション攻撃: 高リスクの PHP 関数呼び出しが見つかりました
owasp-crs-v030001-id933170-php 1 PHP インジェクション攻撃: シリアル化されたオブジェクトのインジェクション
owasp-crs-v030001-id933180-php 1 PHP インジェクション攻撃: 変数関数の呼び出しが見つかりました
Not included 1 PHP インジェクション攻撃: 変数関数の呼び出しが見つかりました
owasp-crs-v030001-id933151-php 2 PHP インジェクション攻撃: 中リスクの PHP 関数名が見つかりました
owasp-crs-v030001-id933131-php 3 PHP インジェクション攻撃: 変数が見つかりました
owasp-crs-v030001-id933161-php 3 PHP インジェクション攻撃: ローバリュー PHP 関数呼び出しが見つかりました
owasp-crs-v030001-id933111-php 3 PHP インジェクション攻撃: PHP スクリプト ファイルのアップロードが見つかりました
Not included 3 PHP インジェクション攻撃: PHP 終了タグが見つかりました

特定の感度レベルでルールを構成するには、evaluatePreconfiguredExpr() を使用して、より高い感度レベルのシグネチャを無効にします。

PHP インジェクション攻撃の感度レベル 1 

evaluatePreconfiguredExpr('php-v33-stable',
['owasp-crs-v030301-id933151-php',
  'owasp-crs-v030301-id933131-php',
  'owasp-crs-v030301-id933161-php',
  'owasp-crs-v030301-id933111-php',
  'owasp-crs-v030301-id933190-php']
)
PHP インジェクション攻撃の感度レベル 2 

evaluatePreconfiguredExpr('php-v33-stable',
  ['owasp-crs-v0303001-id933131-php',
  'owasp-crs-v0303001-id933161-php',
  'owasp-crs-v0303001-id933111-php',
  'owasp-crs-v030301-id933190-php'])
PHP インジェクション攻撃の感度レベル 3 

evaluatePreconfiguredExpr('php-v33-stable')

または、evaluatePreconfiguredWaf() にプリセットの感度パラメータを使用して、特定の感度レベルでルールを構成できます。デフォルトでは、Google Cloud Armor はルールセットの感度を構成せず、すべてのシグネチャを評価します。

CRS 3.3

感度レベル
1 evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('php-v33-stable', {'sensitivity': 3})

CRS 3.0

感度レベル
1 evaluatePreconfiguredWaf('php-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('php-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('php-stable', {'sensitivity': 3})

セッション修正

次の表は、セッション修正の事前構成済みルールでサポートされる各シグネチャのシグネチャ ID、感度レベル、説明を示しています。

CRS 3.3

シグネチャ ID(ルール ID) 感度レベル 説明
owasp-crs-v030301-id943100-sessionfixation 1 セッション修正攻撃の可能性: HTML での Cookie 値の設定
owasp-crs-v030301-id943110-sessionfixation 1 セッション修正攻撃の可能性: ドメイン外のリファラーが割り当てられたセッション ID パラメータ名
owasp-crs-v030301-id943120-sessionfixation 1 セッション修正攻撃の可能性: リファラーのないセッション ID パラメータ名

CRS 3.0

シグネチャ ID(ルール ID) 感度レベル 説明
owasp-crs-v030001-id943100-sessionfixation 1 セッション修正攻撃の可能性: HTML での Cookie 値の設定
owasp-crs-v030001-id943110-sessionfixation 1 セッション修正攻撃の可能性: ドメイン外のリファラーが割り当てられたセッション ID パラメータ名
owasp-crs-v030001-id943120-sessionfixation 1 セッション修正攻撃の可能性: リファラーのないセッション ID パラメータ名

特定の感度レベルでルールを構成するには、evaluatePreconfiguredExpr() を使用して、より高い感度レベルのシグネチャを無効にします。セッション修正のシグネチャはすべて感度レベル 1 です。次の構成は、すべての感度レベルで機能します。

セッション修正感度レベル 1 

evaluatePreconfiguredExpr('sessionfixation-v33-stable')

または、evaluatePreconfiguredWaf() にプリセットの感度パラメータを使用して、特定の感度レベルでルールを構成できます。セッション修正のシグネチャはすべて感度レベル 1 です。次の構成は、すべての感度レベルで機能します。

CRS 3.3

感度レベル
1 evaluatePreconfiguredWaf('sessionfixation-v33-stable', {'sensitivity': 1})

CRS 3.0

感度レベル
1 evaluatePreconfiguredWaf('sessionfixation-stable', {'sensitivity': 1})

Java 攻撃

次の表は、Java 攻撃の事前構成ルールでサポートされる各シグネチャのシグネチャ ID、感度レベル、説明を示しています。

CRS 3.3

シグネチャ ID(ルール ID) 感度レベル 説明
owasp-crs-v030301-id944100-java 1 リモート コマンド実行: 不審な Java クラスが検出されました
owasp-crs-v030301-id944110-java 1 リモート コマンド実行: Java プロセスの生成(CVE-2017-9805)
owasp-crs-v030301-id944120-java 1 リモート コマンド実行: Java シリアル化(CVE-2015-4852)
owasp-crs-v030301-id944130-java 1 不審な Java クラスが検出されました
owasp-crs-v030301-id944200-java 2 マジックバイトが検出されました。Java シリアル化が使用されている可能性があります
owasp-crs-v030301-id944210-java 2 マジックバイトが検出された Base64 エンコード、Java シリアル化の可能性
owasp-crs-v030301-id944240-java 2 リモート コマンド実行: Java シリアル化(CVE-2015-4852)
owasp-crs-v030301-id944250-java 2 リモート コマンド実行: 不審な Java メソッドが検出されました
owasp-crs-v030301-id944300-java 3 Base64 エンコードの文字列が不審なキーワードと一致しています

CRS 3.0

シグネチャ ID(ルール ID) 感度レベル 説明
Not included 1 リモート コマンド実行: 不審な Java クラスが検出されました
Not included 1 リモート コマンド実行: Java プロセスの生成(CVE-2017-9805)
Not included 1 リモート コマンド実行: Java シリアル化(CVE-2015-4852)
Not included 1 不審な Java クラスが検出されました
Not included 2 マジックバイトが検出されました。Java シリアル化が使用されている可能性があります
Not included 2 マジックバイトが検出された Base64 エンコード、Java シリアル化の可能性
Not included 2 リモート コマンド実行: Java シリアル化(CVE-2015-4852)
Not included 2 リモート コマンド実行: 不審な Java メソッドが検出されました
Not included 3 Base64 エンコードの文字列が不審なキーワードと一致しています

特定の感度レベルでルールを構成するには、evaluatePreconfiguredExpr() を使用して、より高い感度レベルのシグネチャを無効にします。

Java 攻撃の感度レベル 1 

evaluatePreconfiguredExpr('java-v33-stable',
['owasp-crs-v030301-id944200-java',
 'owasp-crs-v030301-id944210-java',
 'owasp-crs-v030301-id944240-java',
 'owasp-crs-v030301-id944250-java',
 'owasp-crs-v030301-id944300-java'])
Java 攻撃の感度レベル 2 

evaluatePreconfiguredExpr('java-v33-stable',
['owasp-crs-v030301-id944300-java'])
Java 攻撃の感度レベル 3 

evaluatePreconfiguredExpr('java-v33-stable')

または、evaluatePreconfiguredWaf() にプリセットの感度パラメータを使用して、特定の感度レベルでルールを構成できます。デフォルトでは、Google Cloud Armor はルールセットの感度を構成せず、すべてのシグネチャを評価します。

感度レベル
1 evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('java-v33-stable', {'sensitivity': 3})

NodeJS 攻撃

次の表は、NodeJS 攻撃の事前構成ルールでサポートされる各シグネチャのシグネチャ ID、感度レベル、説明を示しています。

次の事前構成 WAF ルール シグネチャは、CRS 3.3 にのみ含まれています。

CRS 3.3

シグネチャ ID(ルール ID) 感度レベル 説明
owasp-crs-v030301-id934100-nodejs 1 Node.js インジェクション攻撃

CRS 3.0

シグネチャ ID(ルール ID) 感度レベル 説明
Not included 1 Node.js インジェクション攻撃

特定の感度レベルでルールを構成するには、evaluatePreconfiguredExpr() を使用して、より高い感度レベルのシグネチャを無効にします。NodeJS 攻撃のシグネチャはすべて感度レベル 1 です。次の構成はその他の感度レベルで機能します。

NodeJS の感度レベル 1 

evaluatePreconfiguredExpr('nodejs-v33-stable')

または、evaluatePreconfiguredWaf() にプリセットの感度パラメータを使用して、特定の感度レベルでルールを構成できます。NodeJS 攻撃のシグネチャはすべて感度レベル 1 です。次の構成はその他の感度レベルで機能します。

感度レベル
1 evaluatePreconfiguredWaf('nodejs-v33-stable', {'sensitivity': 1})

CVE とその他の脆弱性

次の表は、CVE Log4j RCE の脆弱性の事前構成ルールでサポートされる各シグネチャのシグネチャ ID、感度レベル、説明を示しています。

シグネチャ ID(ルール ID) 感度レベル 説明
owasp-crs-v030001-id044228-cve 1 CVE-2021-44228CVE-2021-45046 の悪用試行を検出するための基本ルール
owasp-crs-v030001-id144228-cve 1 より多くのバイパスと難読化の試行に対応するための Google 提供の拡張機能
owasp-crs-v030001-id244228-cve 3 バイパスと難読化の試行を検出する感度が向上(偽陽性検出のリスクはわずかに増加)
owasp-crs-v030001-id344228-cve 3 Base64 エンコードを使用したバイパスと難読化の試行を検出する感度が向上(偽陽性検出のリスクがわずかに増加)

特定の感度レベルでルールを構成するには、evaluatePreconfiguredExpr() を使用して、より高い感度レベルのシグネチャを無効にします。

CVE 感度レベル 1 

evaluatePreconfiguredExpr('cve-canary', ['owasp-crs-v030001-id244228-cve',
  'owasp-crs-v030001-id344228-cve'])
CVE 感度レベル 3 

evaluatePreconfiguredExpr('cve-canary')

または、evaluatePreconfiguredWaf() にプリセットの感度パラメータを使用して、特定の感度レベルでルールを構成できます。デフォルトでは、Google Cloud Armor はルールセットの感度を構成せず、すべてのシグネチャを評価します。

感度レベル
1 evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 1})
2 evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 2})
3 evaluatePreconfiguredWaf('cve-canary', {'sensitivity': 3})

JSON 形式のコンテンツの SQLi の脆弱性

次の表は、サポートされているシグネチャ 942550-sqli のシグネチャ ID、感度レベル、説明を示しています。これは、SQL インジェクション ペイロードに JSON 構文を追加することで悪意のある攻撃者が WAF をバイパスできる脆弱性をカバーしています。

シグネチャ ID(ルール ID) 感度レベル 説明
owasp-crs-id942550-sqli 2 URL で検出された SQLi シグネチャを含む、JSON ベースの SQLi ベクトルをすべて検出します。

次の式を使用してシグネチャをデプロイします。

  evaluatePreconfiguredWaf('json-sqli-canary', {'sensitivity':0, 'opt_in_rule_ids': ['owasp-crs-id942550-sqli']})

感度レベル 2 で sqli-v33-stable を有効にして、JSON ベースの SQL インジェクション バイパスに完全に対処することをおすすめします。

制限事項

Google Cloud Armor の事前構成 WAF ルールには次の制限があります。

  • Google Cloud Armor は、リクエスト本文を含む HTTP リクエスト タイプのうち POST リクエストのみを処理します。Google Cloud Armor は、事前構成されたルールを使用して、POST 本文コンテンツの最初の 8 KB を評価します。詳細については、POST 本文の検査の制限をご覧ください。
  • Google Cloud Armor は、一致する Content-Type ヘッダー値を持つ JSON 解析が有効である場合に、事前構成の WAF ルールを解析し、適用できます。詳細については、JSON 解析をご覧ください。
  • 事前構成 WAF ルールにリクエスト フィールドの除外が適用されている場合、allow アクションは使用できません。例外に一致するリクエストは自動的に許可されます。

次のステップ