一致するルールはすべて、要求ベースのしきい値まで追加されます。このしきい値に達すると、要求はブロックされます。

サービス エンジン内では、デフォルトで複数のしきい値が設定され、変更できます。

Default thresholds

setvar:tx.sql_injection_score_threshold=15,
setvar:tx.xss_score_threshold=15,
setvar:tx.rfi_score_threshold=5,
setvar:tx.lfi_score_threshold=5,
setvar:tx.rce_score_threshold=5,
setvar:tx.command_injection_score_threshold=5,
setvar:tx.php_injection_score_threshold=5,
setvar:tx.http_violation_score_threshold=5,
setvar:tx.trojan_score_threshold=5,
setvar:tx.session_fixation_score_threshold=5,
setvar:tx.inbound_anomaly_score_threshold=5,
setvar:tx.outbound_anomaly_score_threshold=4

最も頻繁に使用されるしきい値は inbound_anomaly_score_threshold です。これは、デフォルトの CRS ルール 949110(受信アノマリ スコア)で拒否するために使用されます。

setvar:tx.critical_anomaly_score=5, 
setvar:tx.error_anomaly_score=4, 
setvar:tx.warning_anomaly_score=3, 
setvar:tx.notice_anomaly_score=2"

WAF ポリシーが実行されると、一致するルールが特定のしきい値への一致値に追加されます。

例:931120。RFI (3/4) を確認します。

setvar:tx.anomaly_score=+%{tx.critical_anomaly_score}

setvar:tx.rfi_score=+%{tx.critical_anomaly_score}

最後に、すべてのルールが評価されると、ルール 949110(受信アノマリ スコア)は、しきい値 tx.anomaly_score and trigger に到達した場合、拒否をチェックします。

SecRule TX:ANOMALY_SCORE "@ge %{tx.inbound_anomaly_score_threshold}"
"msg:'Inbound Anomaly Score Exceeded (Total Score:
 %{TX.ANOMALY_SCORE})',     severity:CRITICAL,     phase:request,
 id:949110,     t:none,     deny,     log,     tag:'application-multi',
 tag:'language-multi',     tag:'platform-multi',     tag:'attack-generic',
 setvar:tx.inbound_tx_msg=%{tx.msg},
 setvar:tx.inbound_anomaly_score=%{tx.anomaly_score}"

ログ ファイル エントリが作成されます。

ログを表示するには、次の手順を実行します。

  1. [アプリケーション] > [仮想サービス] の順に移動します。

  2. [WAF ポリシー] にマッピングされている仮想サービスをクリックします。

  3. [ログ] をクリックします。