Microsoft Azure

다운로드 49
업데이트 2024. 11. 3.

웹 애플리케이션 취약점 스캔

Azure WAF에서 웹 애플리케이션 취약점 스캐닝을 탐지하는 경우 이벤트를 생성합니다.

개요

  • 중요도: 하
  • 유형: 실시간 탐지
  • 로그 스키마: Azure WAF 탐지
  • 대상 수집모델: Azure WAF
  • 메시지
    • 웹 애플리케이션 취약점 스캔: $src_ip
  • 출력 필드 순서
    • _log_time, gw_instance_id, session_id, src_ip, signature, reason, action, matched_data, host, path, query, sid, rule_group

쿼리

Azure WAF 탐지 로그에서 rule_groupSCANNER-DETECTION 문자열을 포함한 경우에 탐지합니다.

| search rule_group == "*SCANNER-DETECTION*"

탐지 대상 rule_group은 구체적으로 아래와 같습니다:

  • REQUEST-913-SCANNER-DETECTION

위협 분석

  • 공격자는 취약점 진단으로 식별된 웹 애플리케이션 취약점을 공격할 수 있습니다.

대응 방안

  • 지속적으로 취약점을 탐색하거나 취약점 공격을 시도하는 경우 위협 IP 주소를 방화벽, 침입방지시스템, 웹방화벽 등에서 일정 기간 동안 차단 조치합니다.

MITRE ATT&CK