웹 애플리케이션 취약점 스캔
Azure WAF에서 웹 애플리케이션 취약점 스캐닝을 탐지하는 경우 이벤트를 생성합니다.
개요
- 중요도: 하
- 유형: 실시간 탐지
- 로그 스키마: Azure WAF 탐지
- 대상 수집모델: Azure WAF
- 메시지
- 웹 애플리케이션 취약점 스캔: $src_ip
- 출력 필드 순서
- _log_time, gw_instance_id, session_id, src_ip, signature, reason, action, matched_data, host, path, query, sid, rule_group
쿼리
Azure WAF 탐지 로그에서 rule_group 이 SCANNER-DETECTION 문자열을 포함한 경우에 탐지합니다.
탐지 대상 rule_group은 구체적으로 아래와 같습니다:
- REQUEST-913-SCANNER-DETECTION
위협 분석
- 공격자는 취약점 진단으로 식별된 웹 애플리케이션 취약점을 공격할 수 있습니다.
대응 방안
- 지속적으로 취약점을 탐색하거나 취약점 공격을 시도하는 경우 위협 IP 주소를 방화벽, 침입방지시스템, 웹방화벽 등에서 일정 기간 동안 차단 조치합니다.
MITRE ATT&CK
- 전술
- Reconnaissance
- 기법
- 이름: Active Scanning: Vulnerability Scanning
- ID: T1595.002
- 참조 URL: https://attack.mitre.org/techniques/T1595/002/