WAF Rule Sets
Web Application Firewall (WAF) permite a criação de rule sets para proteger suas edge applications contra famílias de ameaças.
Cada ameaça recebe uma pontuação e é processada de acordo com o nível de sensibilidade configurado. Se houver mais de um caso para o mesmo tipo de ameaça, a pontuação aumentará.
Após criar um rule set, você também deve criar uma regra no Rules Engine for Edge Firewall para executar os critérios e comportamentos.
Implementação
| Escopo | Recurso |
|---|---|
| Rule set | Como criar um WAF rule set |
Tipos de ameaças
A tabela Threat Type Configuration está disponível na aba Main Settings de uma configuração de WAF. As ameaças são categorizadas em famílias, conforme o objetivo do ataque.
| Família de ameaça | Descrição |
|---|---|
| SQL Injections Sensitivity | Detecta tentativas de ataque do tipo injeção de código SQL, por meio dos dados do cliente para a aplicação |
| Remote File Inclusions (RFI) | Detecta tentativas de incluir arquivos, normalmente por meio de scripts no servidor web |
| Directory Traversal | Previne a exploração de vulnerabilidade referente à sanitização insuficiente de campos de nomes de arquivo fornecidos pelos usuários, de modo que caracteres representando atalhos para o diretório pai sejam passados por meio da API de arquivos |
| Cross-Site Scripting (XSS) | Previne a injeção de scripts client-side em páginas vistas por seus visitantes |
| File Upload | Detecta a tentativa de envio de arquivos para o servidor web |
| Evading Tricks | Protege contra alguns truques de codificação utilizados para tentar escapar dos mecanismos de proteção |
| Unwanted Access | Detecta as tentativas de acesso a páginas administrativas ou vulneráveis, bots e ferramentas de scanning de segurança |
| Identified Attacks | Previne vários tipos de ataques comuns e vulnerabilidades conhecidas que certamente deverão ser bloqueados |
Níveis de sensibilidade
Uma requisição será bloqueada caso ela obtenha um score do WAF maior ou igual ao limite do nível de sensibilidade configurado. Você pode definir um nível de sensibilidade para cada família de ameaças.
| Sensibilidade | Descrição e limite do score |
|---|---|
| Lowest | A requisição será considerada uma ameaça se apresentar indícios muito fortes e receber um score do WAF maior ou igual a 40. Essa sensibilidade tem um menor nível de proteção para suas aplicações, mas também evitará o bloqueio de requisições com menor chance de representar ameaças (falsos positivos) |
| Low | A requisição será considerada uma ameaça se apresentar indícios muito fortes e receber um score do WAF igual ou maior a 24. Essa sensibilidade tem um menor nível de proteção para suas aplicações, mas também evitará o bloqueio de requisições com menor chance de representar ameaças (falsos positivos) |
| Medium | A requisição será considerada uma ameaça se apresentar indícios suficientes e receber um score do WAF igual ou maior a 16 |
| High | Ao menor indício de uma ameaça, a requisição poderá ser bloqueada, mesmo quando apresentar um score do WAF igual ou maior a 8. Esse nível de sensibilidade pode apresentar mais falsos positivos se a etapa de aprendizagem não tiver cobertura suficiente sobre a variabilidade de cenários e usos de sua aplicação |
| Highest | Ao mínimo indício de uma ameaça, a requisição poderá ser bloqueada, mesmo quando apresentar um score igual ou maior a 4. Esse nível de sensibilidade pode apresentar muitos falsos positivos se a etapa de aprendizagem não tiver cobertura suficiente sobre a variabilidade de cenários e usos de sua aplicação |
Configuração de Rules Engine
Após configurar as main settings do WAF com a tabela de Threat Type Configuration, você deve criar uma regra no Rules Engine para Edge Firewall para executar o comportamento que você configurou.
Essa configuração garante que suas definições do WAF sejam implementadas juntamente com outras lógicas de segurança do Edge Firewall.
Consulte o guia sobre criar regraMonitoramento de ameaças com Real-Time Metrics
Após concluir a configuração de rule sets do seu WAF e sua edge application receber tráfego de entrada, você pode usar Real-Time Metrics para monitorar requisições e ameaças. Você encontrará gráficos comparando como o WAF processou as requisições e alguns gráficos específicos para diferentes famílias de ameaças.
Saiba mais sobre real-time metricsVocê também pode realizar análises adicionais sobre as ameaças do WAF usando Data Stream e Real-Time Events.
Contribuidores
