Fehlerbehebung bei falsch-positiven WAF-Befunden

Jede Website hat eine eigene Definition von dem, was verdächtige Inhalte sind. Beispiel: PHP-Code, der auf Ihrer Website veröffentlicht wird, ist verdächtig, es sei denn, Ihre Website gibt vor, wie die Codierung erfolgen muss, und setzt PHP-Code-Einreichungen von den Besuchern voraus. Daher muss eine solche Website die entsprechenden WAF-Regeln inaktivieren, die den normalen Betrieb beeinträchtigen.

Um falsch-positive Werte zu testen, legen Sie für WAF den Simulationsmodus fest, in dem die Antwort auf mögliche Angriffe aufgezeichnet wird, ohne die Anforderung auszuführen oder zu blockieren. Verwenden Sie außerdem das Firewall Analytics-Aktivitätenprotokoll, um zu bestimmen, welche WAF-Regeln falsch-positive Werte verursacht haben.

Wenn ein falsch-positiver Befund auftritt, gibt es verschiedene Möglichkeiten:

• Fügen Sie die IP-Adressen des Clients zur Zulassungsliste der IP-Zugriffsregeln hinzu: Wenn der Browser oder der Client von denselben IP-Adressen zugreift, wird empfohlen, dies zu ermöglichen.
• Inaktivieren Sie die entsprechenden WAF-Regeln. Dies verhindert Blockierungen oder Sicherheitsabfragen bei Fehlalarmen, reduziert jedoch die Sicherheit für die gesamte Site. Eine durch die WAF-Regel-ID 981176 blockierte Anforderung bezieht sich auf OWASP-Regeln. Verringern Sie die OWASP-Sicherheitsstufe, um das Problem zu beheben.
• Umgehen Sie die WAF mit einer Firewall-Regel: Erstellen Sie eine Firewallregel mit der Umgehungsaktion, um die WAF für eine bestimmte Kombination von Parametern zu inaktivieren. Umgehen Sie beispielsweise die WAF für eine bestimmte URL und eine bestimmte IP-Adresse oder einen bestimmten Benutzeragenten.
• Inaktivieren Sie die WAF für den Datenverkehr zu einer URL (nicht empfohlen). Durch das Inaktivieren der WAF mit Seitenregeln wird die Sicherheit für den jeweiligen URL-Endpunkt verringert.

Wenn Sie sich an den IBM Support wenden, um zu überprüfen, ob eine WAF-Regel wie erwartet ausgelöst wird, stellen Sie eine HAR-Datei bereit, die während des Sendens der betreffenden Anforderung erfasst wurde.

Wenn eine bestimmte Regel falsch-positive Befunde (Fehlalarme) verursacht, setzen Sie den Modus der Regel auf 'Inaktivieren', anstatt die gesamte Regelgruppe zu inaktivieren. Erstellen Sie für Fehlalarme bei Administratorinhalten auf Ihrer Website eine Seitenregel, um die Sicherheitsfunktion für den Administratorabschnitt Ihrer Siteressourcen zu inaktivieren, z. B. yoursite.com/admin.

Fehlerbehebung bei falsch-negativen WAF-Befunden

Um falsch-negative Befunde zu identifizieren, überprüfen Sie die HTTP-Protokolle auf Ihrem Ursprungs-Web-Server.

Um das Auftreten falsch-negativer Befunde zu reduzieren, verwenden Sie die folgende Checkliste:

• Ist Web Application Firewall in der Firewall-App unter 'Managed Rules' auf On eingestellt?
• Ist Web Application Firewall bei Verwendung von Seitenregeln auf Off eingestellt?
• Nicht alle WAF-Regeln sind standardmäßig aktiviert. Überprüfen Sie daher die einzelnen WAF-Standardaktionen. Beispielsweise ermöglicht CIS standardmäßig Anforderungen mit leeren Benutzeragenten.

Wenn Sie Anforderungen mit einem leeren Benutzeragenten blockieren möchten, ändern Sie den WAF-Regel für den Modus für Block.

• Werden DNS-Datensätze, die HTTP-Datenverkehr verarbeiten, durch CIS weitergeleitet?
• Umgeht eine Firewallregel CIS-verwaltete Regeln?
• Stimmt ein Land, eine ASN, ein IP-Bereich oder eine IP-Adresse (die eigentliche alle zulässig sind) in den IP-Zugriffsregeln oder den Firewallregeln mit dem Angriffsdatenverkehr überein?
• Richtet sich der schädliche Datenverkehr an Ihre Ursprungs-IP-Adressen, um den CIS-Schutz zu umgehen? Blockieren Sie den gesamten Datenverkehr mit Ausnahme von CIS-IP-Adressen auf Ihrem Ursprungs-Web-Server.