我已经为我的一个Web应用程序配置了前门和WAF。WAF当前处于检测模式。在查看日志时,我主要看到所有块请求中的以下详细信息
规则名称(_s):Microsoft_DefaultRuleSet-2.0-BLOCKING-EVALUATION-949110 action_s:阻止策略模式(_s):detection details_matches_s:[] details_msg_s:入站异常得分超出类型:AzureDiagnostics
上面的内容是随机记录的,包含.html、.js、.jpeg等。我确实跟踪了trackingReference_s,但没有在日志中看到trackingReference的任何异常。
我只是想看看在这种情况下如何评估假阳性。如果这些请求在预防模式下被阻止,是否可以将策略模式更改为预防。
谢谢Rajesh
1条答案
按热度按时间eoigrqb61#
要评估这些是否是假阳性,您需要查看几件事。
字段“ruleName_s”为“Microsoft_DefaultRuleSet-2.0-BLOCKING-EVALUATION-949110”且“action_s”为“Block”的Azure前门日志条目跟随一个或多个“action_s”为“AnomalyScoring”的日志条目。您可以使用“trackingReference_s”字段查看块评估的所有相关条目。
查询文本:
在您知道哪些规则触发了阻塞后(在示例图像中,Microsoft_DefaultRuleSet-2.0-XSS-941170和Microsoft_DefaultRuleSet-2.0-XSS-941130),您可以调查“details_matches_s”和details_msg_s”列,以查看请求中的哪些数据与阻塞规则匹配。
您还可以通过交叉引用Web应用程序防火墙核心规则集here来确定这些规则的计算方式。例如,Azure Front Door日志中的规则“Microsoft_DefaultRuleSet-2.0-XSS-941170”是REQUEST-941-APPLICATION-ATTACK-XSS的命中,特别是规则941170“NoScript XSS InjectionChecker:属性注入”
然后,您可以从the OWASP site下载规则定义,以查看用于计算规则的正则表达式。