웹 애플리케이션 공격 탐지
Azure WAF에서 웹 애플리케이션 공격 경보가 발생하는 경우 이벤트를 생성합니다.
개요
- 중요도: 중
- 유형: 실시간 탐지
- 로그 스키마: Azure WAF 탐지
- 대상 수집모델: Azure WAF
- 메시지
- 웹 애플리케이션 공격 탐지: $src_ip ($rule_group)
- 출력 필드 순서
- _log_time, gw_instance_id, session_id, src_ip, signature, reason, action, matched_data, host, path, query, sid, rule_group
쿼리
Azure WAF 탐지 로그에서 rule_group 이 APPLICATION-ATTACK 문자열을 포함한 경우에 탐지합니다.
탐지 대상 rule_group은 구체적으로 아래와 같습니다:
- REQUEST-930-APPLICATION-ATTACK-LFI
- REQUEST-932-APPLICATION-ATTACK-RCE
- REQUEST-933-APPLICATION-ATTACK-PHP
- REQUEST-942-APPLICATION-ATTACK-SQLI
탐지되지 않는 rule_group은 구체적으로 아래와 같습니다:
- REQUEST-913-SCANNER-DETECTION
- REQUEST-920-PROTOCOL-ENFORCEMENT
- REQUEST-949-BLOCKING-EVALUATION
위협 분석
- 공격자는 Azure WAF에서 탐지하지 못하는 취약점 공격을 성공할 때까지 반복해서 시도할 수 있습니다.
대응 방안
- 지속적으로 취약점을 탐색하거나 취약점 공격을 시도하는 경우 위협 IP 주소를 방화벽, 침입방지시스템, 웹방화벽 등에서 일정 기간 동안 차단 조치합니다.
MITRE ATT&CK
- 전술
- Initial Access
- 기법
- 이름: Exploit Public-Facing Application
- ID: T1190
- 참조 URL: https://attack.mitre.org/techniques/T1190/