WAF Rule Sets

Web Application Firewall (WAF) permite a criação de rule sets para proteger suas edge applications contra famílias de ameaças.

Cada ameaça recebe uma pontuação e é processada de acordo com o nível de sensibilidade configurado. Se houver mais de um caso para o mesmo tipo de ameaça, a pontuação aumentará.

Após criar um rule set, você também deve criar uma regra no Rules Engine for Edge Firewall para executar os critérios e comportamentos.

EscopoRecurso
Rule setComo criar um WAF rule set

A tabela Threat Type Configuration está disponível na aba Main Settings de uma configuração de WAF. As ameaças são categorizadas em famílias, conforme o objetivo do ataque.

Família de ameaçaDescrição
SQL Injections SensitivityDetecta tentativas de ataque do tipo injeção de código SQL, por meio dos dados do cliente para a aplicação
Remote File Inclusions (RFI)Detecta tentativas de incluir arquivos, normalmente por meio de scripts no servidor web
Directory TraversalPrevine a exploração de vulnerabilidade referente à sanitização insuficiente de campos de nomes de arquivo fornecidos pelos usuários, de modo que caracteres representando atalhos para o diretório pai sejam passados por meio da API de arquivos
Cross-Site Scripting (XSS)Previne a injeção de scripts client-side em páginas vistas por seus visitantes
File UploadDetecta a tentativa de envio de arquivos para o servidor web
Evading TricksProtege contra alguns truques de codificação utilizados para tentar escapar dos mecanismos de proteção
Unwanted AccessDetecta as tentativas de acesso a páginas administrativas ou vulneráveis, bots e ferramentas de scanning de segurança
Identified AttacksPrevine vários tipos de ataques comuns e vulnerabilidades conhecidas que certamente deverão ser bloqueados

Uma requisição será bloqueada caso ela obtenha um score do WAF maior ou igual ao limite do nível de sensibilidade configurado. Você pode definir um nível de sensibilidade para cada família de ameaças.

SensibilidadeDescrição e limite do score
LowestA requisição será considerada uma ameaça se apresentar indícios muito fortes e receber um score do WAF maior ou igual a 40. Essa sensibilidade tem um menor nível de proteção para suas aplicações, mas também evitará o bloqueio de requisições com menor chance de representar ameaças (falsos positivos)
LowA requisição será considerada uma ameaça se apresentar indícios muito fortes e receber um score do WAF igual ou maior a 24. Essa sensibilidade tem um menor nível de proteção para suas aplicações, mas também evitará o bloqueio de requisições com menor chance de representar ameaças (falsos positivos)
MediumA requisição será considerada uma ameaça se apresentar indícios suficientes e receber um score do WAF igual ou maior a 16
HighAo menor indício de uma ameaça, a requisição poderá ser bloqueada, mesmo quando apresentar um score do WAF igual ou maior a 8. Esse nível de sensibilidade pode apresentar mais falsos positivos se a etapa de aprendizagem não tiver cobertura suficiente sobre a variabilidade de cenários e usos de sua aplicação
HighestAo mínimo indício de uma ameaça, a requisição poderá ser bloqueada, mesmo quando apresentar um score igual ou maior a 4. Esse nível de sensibilidade pode apresentar muitos falsos positivos se a etapa de aprendizagem não tiver cobertura suficiente sobre a variabilidade de cenários e usos de sua aplicação

Após configurar as main settings do WAF com a tabela de Threat Type Configuration, você deve criar uma regra no Rules Engine para Edge Firewall para executar o comportamento que você configurou.

Essa configuração garante que suas definições do WAF sejam implementadas juntamente com outras lógicas de segurança do Edge Firewall.


Monitoramento de ameaças com Real-Time Metrics

Seção intitulada Monitoramento de ameacas com Real-Time Metrics

Após concluir a configuração de rule sets do seu WAF e sua edge application receber tráfego de entrada, você pode usar Real-Time Metrics para monitorar requisições e ameaças. Você encontrará gráficos comparando como o WAF processou as requisições e alguns gráficos específicos para diferentes famílias de ameaças.

Você também pode realizar análises adicionais sobre as ameaças do WAF usando Data Stream e Real-Time Events.


Contribuidores