Microsoft Azure

다운로드 49
업데이트 2024. 11. 3.

웹 애플리케이션 공격 탐지

Azure WAF에서 웹 애플리케이션 공격 경보가 발생하는 경우 이벤트를 생성합니다.

개요

  • 중요도: 중
  • 유형: 실시간 탐지
  • 로그 스키마: Azure WAF 탐지
  • 대상 수집모델: Azure WAF
  • 메시지
    • 웹 애플리케이션 공격 탐지: $src_ip ($rule_group)
  • 출력 필드 순서
    • _log_time, gw_instance_id, session_id, src_ip, signature, reason, action, matched_data, host, path, query, sid, rule_group

쿼리

Azure WAF 탐지 로그에서 rule_groupAPPLICATION-ATTACK 문자열을 포함한 경우에 탐지합니다.

| search rule_group == "*APPLICATION-ATTACK*"

탐지 대상 rule_group은 구체적으로 아래와 같습니다:

  • REQUEST-930-APPLICATION-ATTACK-LFI
  • REQUEST-932-APPLICATION-ATTACK-RCE
  • REQUEST-933-APPLICATION-ATTACK-PHP
  • REQUEST-942-APPLICATION-ATTACK-SQLI

탐지되지 않는 rule_group은 구체적으로 아래와 같습니다:

  • REQUEST-913-SCANNER-DETECTION
  • REQUEST-920-PROTOCOL-ENFORCEMENT
  • REQUEST-949-BLOCKING-EVALUATION

위협 분석

  • 공격자는 Azure WAF에서 탐지하지 못하는 취약점 공격을 성공할 때까지 반복해서 시도할 수 있습니다.

대응 방안

  • 지속적으로 취약점을 탐색하거나 취약점 공격을 시도하는 경우 위협 IP 주소를 방화벽, 침입방지시스템, 웹방화벽 등에서 일정 기간 동안 차단 조치합니다.

MITRE ATT&CK