翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ベースラインマネージドルールグループは、さまざまな一般的な脅威に対する一般的な保護を提供します。これらのルールグループを 1 つ以上選択して、リソースのベースライン保護を確立します。
コアルールセット (CRS) マネージドルールグループ
VendorName: AWS
、名前: AWSManagedRulesCommonRuleSet
、WCU: 700
注記
このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、 の変更ログで報告されますAWS マネージドルールの変更ログ。他のバージョンについては、 API コマンドを使用しますDescribeManagedRuleGroup。
AWS マネージドルールのルールグループでルールに対して公開する情報は、不正なアクターにルールを回避するために必要なものを与えることなく、ルールを使用するために必要なものを提供することを目的としています。
ここに記載されている情報よりも詳細な情報が必要な場合は、 AWS Support センター
コアルールセット (CRS) ルールグループには、一般的にウェブアプリケーションに適用されるルールが含まれています。これにより、OWASPTop 10
このマネージドルールグループは、評価対象のウェブリクエストにラベルを追加します。これは、ウェブ でこのルールグループの後に実行されるルールで使用できますACL。 AWS WAF は、Amazon CloudWatch メトリクスにもラベルを記録します。ラベルとラベルメトリクスに関する一般的な情報については、「ウェブリクエストのラベル付け」および「ラベルメトリクスとディメンション」を参照してください。
ルール名 | 説明とラベル |
---|---|
NoUserAgent_HEADER |
HTTP ルールアクション:Block ラベル: |
UserAgent_BadBots_HEADER |
リクエストが不正なボットであることを示す一般的な ルールアクション:Block ラベル: |
SizeRestrictions_QUERYSTRING |
2,048 バイトを超えるURIクエリ文字列を検査します。 ルールアクション:Block ラベル: |
SizeRestrictions_Cookie_HEADER |
10,240 バイトを超える cookie ヘッダーを検査します。 ルールアクション:Block ラベル: |
SizeRestrictions_BODY |
8 KB (8,192 バイト) を超えるリクエストボディを検査します。 ルールアクション:Block ラベル: |
SizeRestrictions_URIPATH |
1,024 バイトを超えるURIパスを検査します。 ルールアクション:Block ラベル: |
EC2MetaDataSSRF_BODY |
リクエストボディから Amazon EC2メタデータを盗み出す試みを検査します。 警告このルールは、ウェブACLおよびリソースタイプの本文サイズ制限までのリクエスト本文のみを検査します。Application Load Balancer および の場合 AWS AppSync、制限は 8 KB に固定されます。Gateway CloudFront、APIAmazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB で、ウェブACL設定で制限を最大 64 KB まで増やすことができます。このルールは、オーバーサイズコンテンツの処理に ルールアクション:Block ラベル: |
EC2MetaDataSSRF_COOKIE |
リクエスト Cookie から Amazon EC2メタデータを盗み出す試みを検査します。 ルールアクション:Block ラベル: |
EC2MetaDataSSRF_URIPATH |
リクエストURIパスから Amazon EC2メタデータを盗み出す試みを検査します。 ルールアクション:Block ラベル: |
EC2MetaDataSSRF_QUERYARGUMENTS |
リクエストクエリ引数から Amazon EC2メタデータを盗み出す試みを検査します。 ルールアクション:Block ラベル: |
GenericLFI_QUERYARGUMENTS |
クエリ引数にローカルファイルインクルージョン (LFI) エクスプロイトが存在するかどうかを検査します。例には、 ルールアクション:Block ラベル: |
GenericLFI_URIPATH |
URI パスにローカルファイルインクルージョン (LFI) のエクスプロイトがあるかどうかを検査します。例には、 ルールアクション:Block ラベル: |
GenericLFI_BODY |
リクエストボディにローカルファイルインクルージョン (LFI) のエクスプロイトが存在するかどうかを検査します。例には、 警告このルールは、ウェブACLおよびリソースタイプの本文サイズ制限までのリクエスト本文のみを検査します。Application Load Balancer および の場合 AWS AppSync、制限は 8 KB に固定されます。Gateway CloudFront、APIAmazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB で、ウェブACL設定で制限を最大 64 KB まで増やすことができます。このルールは、オーバーサイズコンテンツの処理に ルールアクション:Block ラベル: |
RestrictedExtensions_URIPATH |
URI パスにシステムファイル拡張子が含まれていて、読み取りや実行が安全でないリクエストを検査します。パターンの例には、 ルールアクション:Block ラベル: |
RestrictedExtensions_QUERYARGUMENTS |
クエリ引数に、読み取りや実行が安全でないシステムファイル拡張子が含まれているリクエストを検査します。パターンの例には、 ルールアクション:Block ラベル: |
GenericRFI_QUERYARGUMENTS |
IPv4 アドレスを含む埋め込みにより、ウェブアプリケーションで悪用 RFI (リモートファイルインクルージョン) を試みるすべてのクエリパラメータの値を検査URLsします。例としては、 ルールアクション:Block ラベル: |
GenericRFI_BODY |
アドレスを含む埋め込みにより、ウェブアプリケーションで悪用 RFI (リモートファイルインクルージョン) を試みる試みがないかリクエストボディを検査しURLsますIPv4。例としては、 警告このルールは、ウェブACLおよびリソースタイプの本文サイズ制限までのリクエスト本文のみを検査します。Application Load Balancer および の場合 AWS AppSync、制限は 8 KB に固定されます。Gateway CloudFront、APIAmazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB で、ウェブACL設定で制限を最大 64 KB まで増やすことができます。このルールは、オーバーサイズコンテンツの処理に ルールアクション:Block ラベル: |
GenericRFI_URIPATH |
IPv4 アドレスを含む を埋め込むことで、ウェブアプリケーションの悪用 RFI (リモートファイルインクルージョン) の試みがないかURIパスを検査しURLsます。例としては ルールアクション:Block ラベル: |
CrossSiteScripting_COOKIE |
組み込みの を使用して、一般的なクロスサイトスクリプティング (XSS) パターンの Cookie ヘッダーの値を検査します AWS WAF クロスサイトスクリプティング攻撃ルールステートメント。パターンの例には、 注記AWS WAF ログのルール一致の詳細は、このルールグループのバージョン 2.0 では入力されません。 ルールアクション:Block ラベル: |
CrossSiteScripting_QUERYARGUMENTS |
組み込み を使用して、一般的なクロスサイトスクリプティング (XSS) パターンのクエリ引数の値を検査します AWS WAF クロスサイトスクリプティング攻撃ルールステートメント。パターンの例には、 注記AWS WAF ログのルール一致の詳細は、このルールグループのバージョン 2.0 では入力されません。 ルールアクション:Block ラベル: |
CrossSiteScripting_BODY |
組み込み を使用して、リクエストボディに一般的なクロスサイトスクリプティング (XSS) パターンがないかを検査します AWS WAF クロスサイトスクリプティング攻撃ルールステートメント。パターンの例には、 注記AWS WAF ログのルール一致の詳細は、このルールグループのバージョン 2.0 では入力されません。 警告このルールは、ウェブACLおよびリソースタイプの本文サイズ制限までのリクエスト本文のみを検査します。Application Load Balancer および の場合 AWS AppSync、制限は 8 KB に固定されます。Gateway CloudFront、APIAmazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB で、ウェブACL設定で制限を最大 64 KB まで増やすことができます。このルールは、オーバーサイズコンテンツの処理に ルールアクション:Block ラベル: |
CrossSiteScripting_URIPATH |
組み込みの を使用して、一般的なクロスサイトスクリプティング (XSS) パターンのURIパスの値を検査します AWS WAF クロスサイトスクリプティング攻撃ルールステートメント。パターンの例には、 注記AWS WAF ログのルール一致の詳細は、このルールグループのバージョン 2.0 では入力されません。 ルールアクション:Block ラベル: |
管理者保護マネージドルールグループ
VendorName: AWS
、名前: AWSManagedRulesAdminProtectionRuleSet
、WCU: 100
注記
このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、 の変更ログで報告されますAWS マネージドルールの変更ログ。他のバージョンについては、 API コマンドを使用しますDescribeManagedRuleGroup。
AWS マネージドルールのルールグループでルールに対して公開する情報は、不正なアクターにルールを回避するために必要なものを与えることなく、ルールを使用するために必要なものを提供することを目的としています。
ここに記載されている情報よりも詳細な情報が必要な場合は、 AWS Support センター
管理者保護ルールグループには、公開されている管理ページへの外部アクセスをブロックするためのルールが含まれています。これは、サードパーティーのソフトウェアを実行している場合や、悪意のあるアクターがアプリケーションへの管理アクセスを得るリスクを緩和したい場合に便利です。
このマネージドルールグループは、評価対象のウェブリクエストにラベルを追加します。これは、ウェブ でこのルールグループの後に実行されるルールで使用できますACL。 AWS WAF は、Amazon CloudWatch メトリクスにもラベルを記録します。ラベルとラベルメトリクスに関する一般的な情報については、「ウェブリクエストのラベル付け」および「ラベルメトリクスとディメンション」を参照してください。
ルール名 | 説明とラベル |
---|---|
AdminProtection_URIPATH |
ウェブサーバーまたはアプリケーションの管理用に一般的に予約されているURIパスを検査します。パターンの例には、 ルールアクション:Block ラベル: |
既知の不正な入力マネージドルールグループ
VendorName: AWS
、名前: AWSManagedRulesKnownBadInputsRuleSet
、WCU: 200
注記
このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、 の変更ログで報告されますAWS マネージドルールの変更ログ。他のバージョンについては、 API コマンドを使用しますDescribeManagedRuleGroup。
AWS マネージドルールのルールグループでルールに対して公開する情報は、不正なアクターにルールを回避するために必要なものを与えることなく、ルールを使用するために必要なものを提供することを目的としています。
ここに記載されている情報よりも詳細な情報が必要な場合は、 AWS Support センター
既知の不正な入力ルールグループには、無効であることがわかっており脆弱性の悪用または発見に関連するリクエストパターンをブロックするルールが含まれています。これにより、悪意のあるアクターが脆弱なアプリケーションを発見するリスクを緩和できます。
このマネージドルールグループは、評価対象のウェブリクエストにラベルを追加します。これは、ウェブ でこのルールグループの後に実行されるルールで使用できますACL。 AWS WAF は、Amazon CloudWatch メトリクスにもラベルを記録します。ラベルとラベルメトリクスに関する一般的な情報については、「ウェブリクエストのラベル付け」および「ラベルメトリクスとディメンション」を参照してください。
ルール名 | 説明とラベル |
---|---|
JavaDeserializationRCE_HEADER |
Spring Core や Cloud Function のRCE脆弱性 (CVE-2022-22963、) など、Java 逆シリアル化リモートコマンド実行 (RCE) の試行を示すパターンについて、HTTPリクエストヘッダーのキーと値を検査しますCVE-2022-22965。パターンの例には、 警告このルールは、リクエストヘッダーの最初の 8 KB または最初の 200 個のヘッダーのうち、いずれかの制限に先に達した方のみを検査し、オーバーサイズコンテンツの処理に ルールアクション:Block ラベル: |
JavaDeserializationRCE_BODY |
Spring Core や Cloud Function のRCE脆弱性 (CVE-2022-22963、RCE) など、Java 逆シリアル化リモートコマンド実行 () の試行を示すパターンについてリクエストボディを検査しますCVE-2022-22965。パターンの例には、 警告このルールは、ウェブACLおよびリソースタイプの本文サイズ制限までのリクエスト本文のみを検査します。Application Load Balancer および の場合 AWS AppSync、制限は 8 KB に固定されます。Gateway CloudFront、APIAmazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB で、ウェブACL設定で制限を最大 64 KB まで増やすことができます。このルールは、オーバーサイズコンテンツの処理に ルールアクション:Block ラベル: |
JavaDeserializationRCE_URIPATH |
Spring Core や Cloud Function のRCE脆弱性 (CVE-2022-22963、RCE) など、Java 逆シリアル化リモートコマンド実行 () の試行を示すパターンURIがリクエストで検査されますCVE-2022-22965。パターンの例には、 ルールアクション:Block ラベル: |
JavaDeserializationRCE_QUERYSTRING |
Spring Core や Cloud Function のRCE脆弱性 (CVE-2022-22963、RCE) など、Java 逆シリアル化リモートコマンド実行 () の試行を示すパターンについて、リクエストクエリ文字列を検査しますCVE-2022-22965。パターンの例には、 ルールアクション:Block ラベル: |
Host_localhost_HEADER |
リクエストのホストヘッダーに、localhost を示すパターンがないかを検査します。パターンの例には、 ルールアクション:Block ラベル: |
PROPFIND_METHOD |
リクエストの HTTPメソッドを検査します。これは ルールアクション:Block ラベル: |
ExploitablePaths_URIPATH |
URI パスを検査し、悪用可能なウェブアプリケーションパスにアクセスしようとする試みがないかどうかを確認します。パターンの例には、 ルールアクション:Block ラベル: |
Log4JRCE_HEADER |
Log4j 脆弱性 (CVE-2021-44228 警告このルールは、リクエストヘッダーの最初の 8 KB または最初の 200 個のヘッダーのうち、いずれかの制限に先に達した方のみを検査し、オーバーサイズコンテンツの処理に ルールアクション:Block ラベル: |
Log4JRCE_QUERYSTRING |
Log4j 脆弱性 (CVE-2021-44228 ルールアクション:Block ラベル: |
Log4JRCE_BODY |
Log4j 脆弱性 (CVE-2021-44228 警告このルールは、ウェブACLおよびリソースタイプの本文サイズ制限までのリクエスト本文のみを検査します。Application Load Balancer および の場合 AWS AppSync、制限は 8 KB に固定されます。Gateway CloudFront、APIAmazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB で、ウェブACL設定で制限を最大 64 KB まで増やすことができます。このルールは、オーバーサイズコンテンツの処理に ルールアクション:Block ラベル: |
Log4JRCE_URIPATH |
Log4j 脆弱性 (CVE-2021-44228 ルールアクション:Block ラベル: |