OWASPルールセット
WAFのOWASPコアルールセットには、一般的な攻撃検知ルールが含まれている。 OWASP 規則は、SQL インジェクション、クロスサイト・スクリプティング、ローカル・ファイル・インクルードなど、多くの一般的な攻撃カテゴリーから保護します。 CIS は、これらの規則を提供しますが、キュレートはしません。
OWASP は、優れたセキュリティー・ベースラインを提供する業界標準となっています。 詳しくは、以下を参照してください。
OWASP の管理
CISでの WAF の処理によっては、OWASP のバージョンが異なる場合があります。 OWASP v2.x は感度しきい値を使用し、OWASP v3.x はパラノイア・レベルを使用します。 2024 年 5 月 8 日以降に作成されたゾーンは、OWASP v3.xを使用します。 その日付より前に作成されたゾーンは OWASP v2.x を使用し、2025 年 2 月 14 日までにマイグレーションされます。ただし、以前に手動でマイグレーションした場合は除きます。
OWASP パッケージの理解
OWASP ModSecurity Core Ruleset は、いくつの OWASP ルールがトリガーしたかに基づいて、各リクエストにスコアを割り当てます。 CIS のルールセットは、OWASP のバージョン 3.3 に基づいている。
パラノイア・レベル
パラノイアレベルの設定は、コアルールセットの一部です。 パラノイアレベル(PL)は、コアルールセットがどの程度攻撃的であるかを定義するのに役立ちます。
| パラノイア・レベル | 説明 |
|---|---|
| PL 1 (PL 1) | 誤ったアラームをめったにトリガーしない一連のルールを提供します。ただし、ローカル・セットアップによっては、誤ったアラームが発生する可能性があります。 |
| PL 2 (PL 2) | より多くの攻撃を検出する追加のルールを提供しますが、追加のルールは、正当な HTTP リクエストに対して誤ったアラームを新たに発生させる可能性もあります。 |
| PL 3 (PL 3) | 特定の特殊攻撃に対してより多くの規則を提供します。 誤アラームのリスクが増大します。 |
| PL 4 (PL 4) | ほとんどすべての可能性のある攻撃を検出する、非常に攻撃的なルールを提供します。 このパラノイア・レベルは、多くの正当なトラフィックに悪意のあるものとしてフラグを立てます。 |
感度のしきい値
要求は、それらに関連付けられた「高」から「低」までの重大度が設定された一連の OWASP ルールをトリガーすることができます。 最終スコアは、トリガーされたすべてのルールに基づいて計算されます。 最終的なスコアを計算した後、 CIS、最初に選択した感度のしきい値と比較し、選択したオプションに基づいてリクエストをブロック、チャレンジ、ログのいずれかを実行する。
初めは OWASP 感度をlowに設定して、誤検出の確認をしてから感度を上げていくことをお勧めします。 high に設定した場合は、 CIS のログをチェックし、OWASPのルールセットをあなたのアプリケーションに合うように微調整してください。
OWASPのルールは、 CIS のルールセットのルールとは異なり、 「無効」、「 シミュレート 」、「 チャレンジ 」、「 ブロック 」のいずれかにしか設定できない。
特定の「感度」に対して WAF をトリガーするために必要が感度スコアは、次のとおりです。
| 感度スコア | トリガーしきい値 |
|---|---|
| 低い | 60 以上 |
| 中間 | 40 以上 |
| 高い | 25 以上 |
高感度では、大容量ファイルのアップロードがWAFのトリガーとなる。( 2.x のみ)
Ajax 要求の場合、代わりに以下のスコアが適用されます。
| 感度スコア | トリガーしきい値 |
|---|---|
| 低い | 120 以上 |
| 中間 | 80 以上 |
| 高い | 65 以上 |
セキュリティ)イベントログをレビューして、最終スコアとトリガーされた個々のルールを確認する。
OWASP パッケージの管理
OWASP ModSecurity Core Ruleset には、OWASP プロジェクトのルールがいくつか含まれています。 CIS は、OWASP のルールを書いたり、キュレーションしたりすることはありません。 グループ] の下にあるルールセット名をクリックすると、ルールの説明が表示されます。 CIS マネージド・ルールセットとは異なり、特定の OWASP ルールは「オン」または「オフ」のいずれかです。
OWASPのしきい値を管理するには 、「パッケージ:OWASP ModSecurity コアルールセット」セクションでパラノイアレベルを設定します。 パラノイア・レベルを P1 に設定すると、すべてのルールを含む OWASP パッケージ全体が無効になります。 適切なパラノイア・レベルの判断は、あなたのビジネスの業種や業務によって異なる。 例えば、 P1 の設定は大きなファイルのアップロードに適している。
リクエストがOWASPによってブロックされると、ルールID 981176が表示される。 また、アクティビティログに記載されているいくつかの OWASP ルールは、「Package」の下にあるルールリストに表示されません:OWASP ModSecurity Core Ruleset の下にあるルールリストには表示されません。
サンプリングされたログとセキュリティイベントにおいて、Cloudflare OWASP Core Ruleset によって緩和されたリクエストに関連するルールは、この管理されたルールセットの最後のルールである 949110: Inbound Anomaly Score Exceeded。 CIS ダッシュボードでは、ユーザーは OWASP スコア貢献のサブセクションを展開することで、最終的なリクエスト脅威スコアに貢献する個々のルールのスコアを見ることができます。
同様に、ルールIDのリストは、 GraphQL APIレスポンスの score_rules フィールドで見ることができる。