Web Application Firewall ポリシー (WAF) における各マネージドルールセットの項目比較について

Web Application Firewall ポリシー (WAF) には、一般的な脆弱性や悪用から Web アプリケーションを保護するためのマネージドルールセット (Default Rule Set (DRS)/Core Rule Set (CRS)) がいくつか用意されています。

既定のルールセット
- DRS 2.1 (Microsoft_DefaultRuleSet_2.1)
- DRS 2.0 (Microsoft_DefaultRuleSet_2.0)
- DRS 1.1 (Microsoft_DefaultRuleSet_1.1)
- DRS 1.0 (DefaultRuleSet_1.0)
- DRS preview 0.1 (DefaultRuleSet_preview-0.1)
- OWASP CRS 3.2 (OWASP_3.2)
- OWASP CRS 3.1 (OWASP_3.1)
- OWASP CRS 3.0 (OWASP_3.0)

追加のルールセット
- BotManagementRuleSet 1.0 (Microsoft_BotManagementRuleSet_1.0)
- BotManagementRuleSet 0.1 (Microsoft_BotManagementRuleSet_0.1)
- BotProtection preview 0.1 (BotProtection-preview 0.1)

なお、Web Application Firewall ポリシー (WAF) は、割り当て対象 (グローバル WAF (Front Door)/リージョン WAF (Application Gateway)) によって適用可能なマネージドルールセットは異なります。

また、各マネージドルールセットに含まれている項目についてドキュメントに記載、纏められていますが、項目に対する比較のようなものは見当たらなかったので、本ブログエントリにて纏めてみました。

適用可能なマネージドルールセットについて
項目に対する各マネージドルールセットの比較について
1. 既定のルールセット
2. 追加のルールセット
関連リンク
1. グローバル WAF (Front Door)
2. リージョン WAF (Application Gateway)

適用可能なマネージドルールセットについて

マネージドルールセット	グローバル WAF (Front Door)			リージョン WAF (Application Gateway)
マネージドルールセット	クラシック	Standard	Premium	リージョン WAF (Application Gateway)
DRS 2.1	–	–	○	○ (プレビュー)
DRS 2.0	–	–	○	–
DRS 1.1	○	–	○	–
DRS 1.0	–	–	○	–
DRS preview 0.1	○	–	○	–
OWASP CRS 3.2	–	–	–	○
OWASP CRS 3.1	–	–	–	○
OWASP CRS 3.0	–	–	–	○
BotManagementRuleSet 1.0	○	–	○	○
BotManagementRuleSet 0.1	–	–	–	○
BotProtection preview 0.1	○	–	○	–

項目に対する各マネージドルールセットの比較について

既定のルールセット

FIX (REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION)

セッション固定攻撃から保護するグループです。

ルール ID	説明	DRS					OWASP CRS
ルール ID	説明	2.1	2.0	1.1	1.0	0.1	3.2	3.1	3.0
943100	Possible Session Fixation Attack: Setting Cookie Values in HTML	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
943110	Possible Session Fixation Attack: SessionID Parameter Name with Off-Domain Referer	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	–	(有効)	(有効)	(有効)
943120	Possible Session Fixation Attack: SessionID Parameter Name with No Referer	異常時にブロックする (有効	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	–	(有効)	(有効)	(有効)

General

一般グループです。

ル-ル ID	説明	DRS					OWASP CRS
ル-ル ID	説明	2.1	2.0	1.1	1.0	0.1	3.2	3.1	3.0
200002	Failed to parse request body.	異常時にブロックする (有効)	異常時にブロックする (有効)	–	–	–	(有効)	–	–
200003	Multipart request body failed strict validation	異常時にブロックする (有効)	異常時にブロックする (有効)	–	–	–	(有効)	–	–
200004	Possible Multipart Unmatched Boundary.	–	–	–	–	–	(有効)	(有効)	(有効)

JAVA (REQUEST-944-APPLICATION-ATTACK-JAVA)

Java 攻撃から保護するグループです。

ル-ル ID	説明	DRS					OWASP CRS
ル-ル ID	説明	2.1	2.0	1.1	1.0	0.1	3.2	3.1	3.0
944100	Remote Command Execution: Suspicious Java class detected	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	–
944110	Remote Command Execution: Java process spawn (CVE-2017-9805)	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	–
944120	Remote Command Execution: Java serialization (CVE-2015-5842)	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	–
944130	Suspicious Java class detected	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	–	(有効)	(有効)	–
944200	Magic bytes Detected, probable java serialization in use	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	–
944210	Magic bytes Detected Base64 Encoded, probable java serialization in use	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	–
944240	Remote Command Execution: Java serialization and Log4j vulnerability (CVE-2021-44228, CVE-2021-45046)	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	–
944250	Remote Command Execution: Suspicious Java method detected	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	–
944300	Java: base64 attack that could lead to payload execution	–	–	–	–	ブロック (有効)	–	–	–

LFI (REQUEST-930-APPLICATION-ATTACK-LFI)

ファイル攻撃やパス攻撃から保護するグループです。

ル-ル ID	説明	DRS					OWASP CRS
ル-ル ID	説明	2.1	2.0	1.1	1.0	0.1	3.2	3.1	3.0
930100	Path Traversal Attack (/../)	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
930110	Path Traversal Attack (/../)	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
930120	OS File Access Attempt	異常時にブロックする(有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	–	(有効)	(有効)	(有効)
930130	Restricted File Access Attempt	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)

METHOD-ENFORCEMENT (REQUEST-911-METHOD-ENFORCEMENT)

メソッド (PUT、PATCH) をロックダウンするグループです。

ル-ル ID	説明	DRS					OWASP CRS
ル-ル ID	説明	2.1	2.0	1.1	1.0	0.1	3.2	3.1	3.0
911100	Method is not allowed by policy	異常時にブロックする (有効)	異常時にブロックする (有効)	–	–	–	(有効)	(有効)	(有効)

MS-ThreatIntel-AppSec

AppSec 攻撃から保護するグループです。

ル-ル ID	説明	DRS					OWASP CRS
ル-ル ID	説明	2.1	2.0	1.1	1.0	0.1	3.2	3.1	3.0
99030001	Path Traversal Evasion in Headers (/.././../)	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	–	–	–	–	–
99030002	Path Traversal Evasion in Request Body (/.././../)	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	–	–	–	–	–

MS-ThreatIntel-CVEs

CVE 攻撃から保護するグループです。

ル-ル ID	説明	DRS					OWASP CRS
ル-ル ID	説明	2.1	2.0	1.1	1.0	0.1	3.2	3.1	3.0
99001001	Attempted F5 tmui (CVE-2020-5902) REST API Exploitation with known credentials	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	–	–	–	–	–
99001002	Attempted Citrix NSC_USER directory traversal (CVE-2019-19781)	異常時にブロックする (有効)	–	–	–	–	–	–	–
99001003	Attempted Atlassian Confluence Widget Connector exploitation (CVE-2019-3396)	異常時にブロックする (有効)	–	–	–	–	–	–	–
99001004	Attempted Pulse Secure custom template exploitation (CVE-2020-8243)	異常時にブロックする (有効)	–	–	–	–	–	–	–
99001005	Attempted SharePoint type converter exploitation (CVE-2020-0932)	異常時にブロックする (有効)	–	–	–	–	–	–	–
99001006	Attempted Pulse Connect directory traversal (CVE-2019-11510)	異常時にブロックする (有効)	–	–	–	–	–	–	–
99001007	Attempted Junos OS J-Web local file inclusion (CVE-2020-1631)	異常時にブロックする (有効)	–	–	–	–	–	–	–
99001008	Attempted Fortinet path traversal (CVE-2018-13379)	異常時にブロックする (有効)	–	–	–	–	–	–	–
99001009	Attempted Apache struts ognl injection (CVE-2017-5638)	異常時にブロックする (有効)	–	–	–	–	–	–	–
99001010	Attempted Apache struts ognl injection (CVE-2017-12611)	異常時にブロックする (有効)	–	–	–	–	–	–	–
99001011	Attempted Oracle WebLogic path traversal (CVE-2020-14882)	異常時にブロックする (有効)	–	–	–	–	–	–	–
99001012	Attempted Telerik WebUI insecure deserialization exploitation (CVE-2019-18935)	異常時にブロックする (有効)	–	–	–	–	–	–	–
99001013	Attempted SharePoint insecure XML deserialization (CVE-2019-0604)	異常時にブロックする (有効)	–	–	–	–	–	–	–
99001014	Attempted Spring Cloud routing-expression injection (CVE-2022-22963)	異常時にブロックする (無効)	異常時にブロックする (無効)	ブロック (無効)	ブロック (無効)	–	–	–	–
99001015	Attempted Spring Framework unsafe class object exploitation (CVE-2022-22965)	異常時にブロックする (無効)	異常時にブロックする (無効)	ブロック (無効)	ブロック (無効)	–	–	–	–
99001016	Attempted Spring Cloud Gateway Actuator injection (CVE-2022-22947)	異常時にブロックする (無効)	異常時にブロックする (無効)	ブロック (無効)	ブロック (無効)	–	–	–	–

MS-ThreatIntel-SQLI

SQLI 攻撃から保護するグループです。

ル-ル ID	説明	DRS					OWASP CRS
ル-ル ID	説明	2.1	2.0	1.1	1.0	0.1	3.2	3.1	3.0
99031001	SQL Injection Attack: Common Injection Testing Detected	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	–	–	–	–	–
99031002	SQL Comment Sequence Detected.	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	–	–	–	–	–
99031003	SQL Injection Attack	異常時にブロックする (有効)	–	–	–	–	–	–	–
99031004	Detects basic SQL authentication bypass attempts 2/3	異常時にブロックする (有効)	–	–	–	–	–	–	–

MS-ThreatIntel-WebShells

Web シェル攻撃から保護するグループです。

ル-ル ID	説明	DRS					OWASP CRS
ル-ル ID	説明	2.1	2.0	1.1	1.0	0.1	3.2	3.1	3.0
99005002	Web Shell Interaction Attempt (POST)	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	–	–	–	–	–
99005003	Web Shell Upload Attempt (POST) – CHOPPER PHP	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	–	–	–	–	–
99005004	Web Shell Upload Attempt (POST) – CHOPPER ASPX	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	–	–	–	–	–
99005005	Web Shell Interaction Attempt	異常時にブロックする (有効)	–	–	–	–	–	–	–
99005006	Spring4Shell Interaction Attempt	異常時にブロックする (無効)	異常時にブロックする (無効)	ブロック (無効)	ブロック (無効)	–	–	–	–

NODEJS

Node JS 攻撃から保護するグループです。

ル-ル ID	説明	DRS					OWASP CRS
ル-ル ID	説明	2.1	2.0	1.1	1.0	0.1	3.2	3.1	3.0
934100

Node.js Injection Attack異常時にブロックする(有効)異常時にブロックする(有効)——

PHP (REQUEST-933-APPLICATION-ATTACK-PHP)

PHP インジェクション攻撃から保護するグループです。

ル-ル ID	説明	DRS					OWASP CRS
ル-ル ID	説明	2.1	2.0	1.1	1.0	0.1	3.2	3.1	3.0
933100	PHP Injection Attack: PHP Open Tag Found	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
933110	PHP Injection Attack: PHP Script File Upload Found	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
933111	PHP Injection Attack: PHP Script File Upload Found	–	–	–	–	ブロック (有効)	(有効)	(有効)	(有効)
933120	PHP Injection Attack: Configuration Directive Found	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	–	(有効)	(有効)	(有効)
933130	PHP Injection Attack: Variables Found	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	–	(有効)	(有効)	(有効)
933131	PHP Injection Attack: Variables Found	–	–	–	–	ブロック (有効)	(有効)	(有効)	(有効)
933140	PHP Injection Attack: I/O Stream Found	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
933150	PHP Injection Attack: High-Risk PHP Function Name Found	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	–	(有効)	(有効)	(有効)
933151	PHP Injection Attack: Medium-Risk PHP Function Name Found	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	–	(有効)	(有効)	(有効)
933160	PHP Injection Attack: High-Risk PHP Function Call Found	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
933161	PHP Injection Attack: Low-Value PHP Function Call Found	–	–	–	–	ブロック (有効)	(有効)	(有効)	(有効)
933170	PHP Injection Attack: Serialized Object Injection	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
933180	PHP Injection Attack: Variable Function Call Found	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
933190	PHP Injection Attack: PHP Closing Tag Found	–	–	–	–	ブロック (有効)	(有効)	(有効)	–
933200	PHP Injection Attack: Wrapper scheme detected	異常時にブロックする (有効)	異常時にブロックする (有効)	–	–	ブロック (有効)	(有効)	–	–
933210	PHP Injection Attack: Variable Function Call Found	異常時にブロックする (有効)	異常時にブロックする (有効)	–	–	ブロック (有効)	(有効)	–	–

PROTOCOL-ATTACK (REQUEST-921-PROTOCOL-ATTACK)

ヘッダ- インジェクション、要求スマグリング、応答分割から保護するグループです。

ル-ル ID	説明	DRS					OWASP CRS
ル-ル ID	説明	2.1	2.0	1.1	1.0	0.1	3.2	3.1	3.0
921100	HTTP Request Smuggling Attack.	–	–	–	–	–	–	–	(有効)
921110	HTTP Request Smuggling Attack	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	–	(有効)	(有効)	(有効)
921120	HTTP Response Splitting Attack	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	–	(有効)	(有効)	(有効)
921130	HTTP Response Splitting Attack	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	–	(有効)	(有効)	(有効)
921140	HTTP Header Injection Attack via headers	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	–	(有効)	(有効)	(有効)
921150	HTTP Header Injection Attack via payload (CR/LF detected)	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	–	(有効)	(有効)	(有効)
921151	HTTP Header Injection Attack via payload (CR/LF detected)	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	–	(有効)	(有効)	(有効)
921160	HTTP Header Injection Attack via payload (CR/LF and header-name detected)	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	–	(有効)	(有効)	(有効)
921170	HTTP Parameter Pollution	–	–	–	–	–	(有効)	(有効)	(有効)
921180	HTTP Parameter Pollution (%{TX.1})	–	–	–	–	–	(有効)	(有効)	(有効)
921190	HTTP Splitting (CR/LF in request filename detected)	異常時にブロックする (有効)	–	–	–	–	–	–	–
921200	LDAP Injection Attack	異常時にブロックする (有効)	–	–	–	–	–	–	–

PROTOCOL-ENFORCEMENT (REQUEST-920-PROTOCOL-ENFORCEMENT)

プロトコルとエンコ-ディングの問題から保護するグループです。

ル-ル ID	説明	DRS					OWASP CRS
ル-ル ID	説明	2.1	2.0	1.1	1.0	0.1	3.2	3.1	3.0
920100	Invalid HTTP Request Line	異常時にブロックする (有効)	異常時にブロックする (有効)	–	–	–	(有効)	(有効)	(有効)
920120	Attempted multipart/form-data bypass	異常時にブロックする (有効)	異常時にブロックする (有効)	–	–	–	(有効)	(有効)	(有効)
920121	Attempted multipart/form-data bypass	異常時にブロックする (有効)	異常時にブロックする (有効)	–	–	–	(有効)	(有効)	–
920130	Failed to parse request body.	–	–	–	–	–	–	(有効)	(有効)
920140	Multipart request body failed strict validation: PE %{REQBODY_PROCESSOR_ERROR}, BQ %{MULTIPART_BOUNDARY_QUOTED}, BW %{MULTIPART_BOUNDARY_WHITESPACE}, DB %{MULTIPART_DATA_BEFORE}, DA %{MULTIPART_DATA_AFTER}, HF %{MULTIPART_HEADER_FOLDING}, LF %{MULTIPART_LF_LINE}, SM %{MULTIPART_SEMICOLON_MISSING}, IQ %{MULTIPART_INVALID_QUOTING}, IH %{MULTIPART_INVALID_HEADER_FOLDING}, FLE %{MULTIPART_FILE_LIMIT_EXCEEDED}	–	–	–	–	–	–	(有効)	(有効)
920160	Content-Length HTTP header is not numeric.	異常時にブロックする (有効)	異常時にブロックする (有効)	–	–	–	(有効)	(有効)	(有効)
920170	GET or HEAD Request with Body Content.	異常時にブロックする (有効)	異常時にブロックする (有効)	–	–	–	(有効)	(有効)	(有効)
920171	GET or HEAD Request with Transfer-Encoding.	異常時にブロックする (有効)	異常時にブロックする (有効)	–	–	–	(有効)	(有効)	–
920180	POST without Content-Length or Transfer-Encoding headers.	異常時にブロックする (有効)	異常時にブロックする (有効)	–	–	–	(有効)	(有効)	(有効)
920181	Content-Length and Transfer-Encoding headers present	異常時にブロックする (有効)	–	–	–	–	–	–	–
920190	Range: Invalid Last Byte Value.	異常時にブロックする (有効)	異常時にブロックする (有効)	–	–	–	(有効)	(有効)	(有効)
920200	Range: Too many fields (6 or more)	異常時にブロックする (有効)	異常時にブロックする (有効)	–	–	–	(有効)	(有効)	(有効)
920201	Range: Too many fields for pdf request (63 or more)	異常時にブロックする (有効)	異常時にブロックする (有効)	–	–	–	(有効)	(有効)	(有効)
920202	Range: Too many fields for pdf request (6 or more)	–	–	–	–	–	(有効)	(有効)	(有効)
920210	Multiple/Conflicting Connection Header Data Found.	異常時にブロックする (有効)	異常時にブロックする (有効)	–	–	–	(有効)	(有効)	(有効)
920220	URL Encoding Abuse Attack Attempt	異常時にブロックする (有効)	異常時にブロックする (有効)	–	–	–	(有効)	(有効)	(有効)
920230	Multiple URL Encoding Detected	異常時にブロックする (有効)	異常時にブロックする (有効)	–	–	–	(有効)	(有効)	(有効)
920240	URL Encoding Abuse Attack Attempt	異常時にブロックする (有効)	異常時にブロックする (有効)	–	–	–	(有効)	(有効)	(有効)
920250	UTF8 Encoding Abuse Attack Attempt	–	–	–	–	–	(有効)	(有効)	(有効)
920260	Unicode Full/Half Width Abuse Attack Attempt	異常時にブロックする (有効)	異常時にブロックする (有効)	–	–	–	(有効)	(有効)	(有効)
920270	Invalid character in request (null character)	異常時にブロックする (有効)	異常時にブロックする (有効)	–	–	–	(有効)	(有効)	(有効)
920271	Invalid character in request (non printable characters)	異常時にブロックする (有効)	異常時にブロックする (有効)	–	–	–	(有効)	(有効)	(有効)
920272	Invalid character in request (outside of printable chars below ascii 127)	–	–	–	–	–	(有効)	(有効)	(有効)
920273	Invalid character in request (outside of very strict set)	–	–	–	–	–	(有効)	(有効)	(有効)
920274	Invalid character in request headers (outside of very strict set)	–	–	–	–	–	(有効)	(有効)	(有効)
920280	Request Missing a Host Header	異常時にブロックする (有効)	異常時にブロックする (有効)	–	–	–	(有効)	(有効)	(有効)
920290	Empty Host Header	異常時にブロックする (有効)	異常時にブロックする (有効)	–	–	–	(有効)	(有効)	(有効)
920300	Request Missing an Accept Header	異常時にブロックする (有効)	異常時にブロックする (有効)	–	–	–	(有効)	(有効)	(有効)
920310	Request Has an Empty Accept Header	異常時にブロックする (有効)	異常時にブロックする (有効)	–	–	–	(有効)	(有効)	(有効)
920311	Request Has an Empty Accept Header	異常時にブロックする (有効)	異常時にブロックする (有効)	–	–	–	(有効)	(有効)	(有効)
920320	Missing User Agent Header	異常時にブロックする (有効)	異常時にブロックする (有効)	–	–	–	(有効)	(有効)	(有効)
920330	Empty User Agent Header	異常時にブロックする (有効)	異常時にブロックする (有効)	–	–	–	(有効)	(有効)	(有効)
920340	Request Containing Content, but Missing Content-Type header	異常時にブロックする (有効)	異常時にブロックする (有効)	–	–	–	(有効)	(有効)	(有効)
920341	Request Containing Content Requires Content-Type header	異常時にブロックする (有効)	異常時にブロックする (有効)	–	–	–	(有効)	(有効)	–
920350	Host header is a numeric IP address	異常時にブロックする (有効)	異常時にブロックする (有効)	–	–	–	(有効)	(有効)	(有効)
920420	Request content type is not allowed by policy	異常時にブロックする (有効)	異常時にブロックする (有効)	–	–	–	(有効)	(有効)	(有効)
920430	HTTP protocol version is not allowed by policy	異常時にブロックする (有効)	異常時にブロックする (有効)	–	–	–	(有効)	(有効)	(有効)
920440	URL file extension is restricted by policy	異常時にブロックする (有効)	異常時にブロックする (有効)	–	–	–	(有効)	(有効)	(有効)
920450	HTTP header is restricted by policy	異常時にブロックする (有効)	異常時にブロックする (有効)	–	–	–	(有効)	(有効)	(有効)
920460	Abnormal Escape Characters	–	–	–	–	–	(有効)	(有効)	(有効)
920470	Illegal Content-Type header	異常時にブロックする (有効)	異常時にブロックする (有効)	–	–	–	(有効)	(有効)	–
920480	Request content type charset is not allowed by policy	異常時にブロックする (有効)	異常時にブロックする (有効)	–	–	–	(有効)	(有効)	–
920500	Attempt to access a backup or working file	異常時にブロックする (有効)	–	–	–	–	–	–	–

RCE (REQUEST-932-APPLICATION-ATTACK-RCE)

リモ-トコ-ド実行攻撃から保護するグループです。

ル-ル ID	説明	DRS					OWASP CRS
ル-ル ID	説明	2.1	2.0	1.1	1.0	0.1	3.2	3.1	3.0
932100	Remote Command Execution: Unix Command Injection	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
932105	Remote Command Execution: Unix Command Injection	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
932106	Remote Command Execution: Unix Command Injection	–	–	–	–	ブロック (有効)	(有効)	(有効)	–
932110	Remote Command Execution: Windows Command Injection	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
932115	Remote Command Execution: Windows Command Injection	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
932120	Remote Command Execution: Windows PowerShell Command Found	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	–	(有効)	(有効)	(有効)
932130	Remote Command Execution: Unix Shell Expression or Confluence Vulnerability (CVE-2022-26134) Found	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
932140	Remote Command Execution: Windows FOR/IF Command Found	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
932150	Remote Command Execution: Direct Unix Command Execution	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
932160	Remote Command Execution: Unix Shell Code Found	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	–	(有効)	(有効)	(有効)
932170	Remote Command Execution: Shellshock (CVE-2014-6271)	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
932171	Remote Command Execution: Shellshock (CVE-2014-6271)	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
932180	Restricted File Upload Attempt	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	–	(有効)	(有効)	–
932190	Remote Command Execution: Wildcard	–	–	–	–	ブロック (有効)	(有効)	(有効)	–

RFI (REQUEST-931-APPLICATION-ATTACK-RFI)

リモ-トファイルインクル-ジョン (RFI) 攻撃から保護するグループです。

ル-ル ID	説明	DRS					OWASP CRS
ル-ル ID	説明	2.1	2.0	1.1	1.0	0.1	3.2	3.1	3.0
931100	Possible Remote File Inclusion (RFI) Attack: URL Parameter using IP Address	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
931110	Possible Remote File Inclusion (RFI) Attack: Common RFI Vulnerable Parameter Name used w/URL Payload	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
931120	Possible Remote File Inclusion (RFI) Attack: URL Payload Used w/Trailing Question Mark Character (?)	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
931130	Possible Remote File Inclusion (RFI) Attack: Off-Domain Reference/Link	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)

SQLI (REQUEST-942-APPLICATION-ATTACK-SQLI)

SQL インジェクション攻撃から保護するグループです。

ル-ル ID	説明	DRS					OWASP CRS
ル-ル ID	説明	2.1	2.0	1.1	1.0	0.1	3.2	3.1	3.0
942100	SQL Injection Attack Detected via libinjection	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
942110	SQL Injection Attack: Common Injection Testing Detected	異常時にブロックする (無効)	異常時にブロックする (無効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
942120	SQL Injection Attack: SQL Operator Detected	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
942130	SQL Injection Attack: SQL Tautology Detected.	–	–	–	–	–	(有効)	(有効)	(有効)
942140	SQL Injection Attack: Common DB Names Detected	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
942150	SQL Injection Attack	異常時にブロックする (無効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	–	(有効)	(有効)	(有効)
942160	Detects blind sqli tests using sleep() or benchmark().	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
942170	Detects SQL benchmark and sleep injection attempts including conditional queries	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
942180	Detects basic SQL authentication bypass attempts 1/3	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
942190	Detects MSSQL code execution and information gathering attempts	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
942200	Detects MySQL comment-/space-obfuscated injections and backtick termination	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
942210	Detects chained SQL injection attempts 1/2	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
942220	Looking for integer overflow attacks, these are taken from skipfish, except 3.0.00738585072007e-308 is the magic number crash	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
942230	Detects conditional SQL injection attempts	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
942240	Detects MySQL charset switch and MSSQL DoS attempts	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
942250	Detects MATCH AGAINST, MERGE and EXECUTE IMMEDIATE injections	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
942251	Detects HAVING injections	–	–	–	–	ブロック (有効)	(有効)	(有効)	(有効)
942260	Detects basic SQL authentication bypass attempts 2/3	異常時にブロックする (無効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
942270	Looking for basic sql injection. Common attack string for mysql, oracle and others.	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
942280	Detects Postgres pg_sleep injection, waitfor delay attacks and database shutdown attempts	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
942290	Finds basic MongoDB SQL injection attempts	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
942300	Detects MySQL comments, conditions and ch(a)r injections	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
942310	Detects chained SQL injection attempts 2/2	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
942320	Detects MySQL and PostgreSQL stored procedure/function injections	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
942330	Detects classic SQL injection probings 1/3	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
942340	Detects basic SQL authentication bypass attempts 3/3	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
942350	Detects MySQL UDF injection and other data/structure manipulation attempts	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
942360	Detects concatenated basic SQL injection and SQLLFI attempts	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
942361	Detects basic SQL injection based on keyword alter or union	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	–
942370	Detects classic SQL injection probings 2/3	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
942380	SQL Injection Attack	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
942390	SQL Injection Attack	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
942400	SQL Injection Attack	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
942410	SQL Injection Attack	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
942420	Restricted SQL Character Anomaly Detection (cookies): # of special characters exceeded (8)	–	–	–	–	–	(有効)	(有効)	(有効)
942421	Restricted SQL Character Anomaly Detection (cookies): # of special characters exceeded (3)	–	–	–	–	–	(有効)	(有効)	(有効)
942430	Restricted SQL Character Anomaly Detection (args): # of special characters exceeded (12)	異常時にブロックする (無効)	異常時にブロックする (無効)	ブロック (無効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
942431	Restricted SQL Character Anomaly Detection (args): # of special characters exceeded (6)	–	–	–	–	ブロック (有効)	(有効)	(有効)	(有効)
942432	Restricted SQL Character Anomaly Detection (args): # of special characters exceeded (2)	–	–	–	–	ブロック (有効)	(有効)	(有効)	(有効)
942440	SQL Comment Sequence Detected.	異常時にブロックする (無効)	異常時にブロックする (無効)	ブロック (無効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
942450	SQL Hex Encoding Identified	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
942460	Meta-Character Anomaly Detection Alert – Repetitive Non-Word Characters	–	–	–	–	–	(有効)	(有効)	(有効)
942470	SQL Injection Attack	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	–
942480	SQL Injection Attack	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	–
942490	Detects classic SQL injection probings 3/3	–	–	–	–	ブロック (有効)	(有効)	(有効)	–
942500	MySQL in-line comment detected.	異常時にブロックする (有効)	異常時にブロックする (有効)	–	–	–	(有効)	–	–
942510	SQLi bypass attempt by ticks or backticks detected.	異常時にブロックする (有効)	異常時にブロックする (有効)	–	–	–	–	–	–

XSS (REQUEST-941-APPLICATION-ATTACK-XSS)

クロスサイトスクリプティング攻撃から保護するグループです。

ル-ル ID	説明	DRS					OWASP CRS
ル-ル ID	説明	2.1	2.0	1.1	1.0	0.1	3.2	3.1	3.0
941100	XSS Attack Detected via libinjection	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
941101	XSS Attack Detected via libinjection	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	–
941110	XSS Filter – Category 1: Script Tag Vector	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
941120	XSS Filter – Category 2: Event Handler Vector	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
941130	XSS Filter – Category 3: Attribute Vector	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
941140	XSS Filter – Category 4: Javascript URI Vector	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
941150	XSS Filter – Category 5: Disallowed HTML Attributes	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
941160	NoScript XSS InjectionChecker: HTML Injection	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
941170	NoScript XSS InjectionChecker: Attribute Injection	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
941180	Node-Validator Blacklist Keywords	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
941190	IE XSS Filters – Attack Detected.	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
941200	IE XSS Filters – Attack Detected.	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
941210	IE XSS Filters – Attack Detected.	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
941220	IE XSS Filters – Attack Detected.	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
941230	IE XSS Filters – Attack Detected.	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
941240	IE XSS Filters – Attack Detected.	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
941250	IE XSS Filters – Attack Detected.	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
941260	IE XSS Filters – Attack Detected.	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
941270	IE XSS Filters – Attack Detected.	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
941280	IE XSS Filters – Attack Detected.	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
941290	IE XSS Filters – Attack Detected.	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
941300	IE XSS Filters – Attack Detected.	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
941310	US-ASCII Malformed Encoding XSS Filter – Attack Detected.	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
941320	Possible XSS Attack Detected – HTML Tag Handler	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
941330	IE XSS Filters – Attack Detected.	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
941340	IE XSS Filters – Attack Detected.	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
941350	UTF-7 Encoding IE XSS – Attack Detected.	異常時にブロックする (有効)	異常時にブロックする (有効)	ブロック (有効)	ブロック (有効)	ブロック (有効)	(有効)	(有効)	(有効)
941360	JSFuck / Hieroglyphy obfuscation detected	異常時にブロックする (有効)	異常時にブロックする (有効)	–	–	ブロック (有効)	(有効)	–	–
941370	JavaScript global variable found	異常時にブロックする (有効)	異常時にブロックする (有効)	–	–	–	–	–	–
941380	AngularJS client side template injection detected	異常時にブロックする (有効)	異常時にブロックする (有効)	–	–	–	–	–	–

REQUEST-913-SCANNER-DETECTION

ポートや環境のスキャナーから保護するグループです。

ル-ル ID	説明	DRS					OWASP CRS
ル-ル ID	説明	2.1	2.0	1.1	1.0	0.1	3.2	3.1	3.0
913100	Found User-Agent associated with security scanner	–	–	–	–	–	(有効)	(有効)	(有効)
913101	Found User-Agent associated with scripting/generic HTTP client	–	–	–	–	–	(有効)	(有効)	(有効)
913102	Found User-Agent associated with web crawler/bot	–	–	–	–	–	(有効)	(有効)	(有効)
913110	Found request header associated with security scanner	–	–	–	–	–	(有効)	(有効)	(有効)
913120	Found request filename/argument associated with security scanner	–	–	–	–	–	(有効)	(有効)	(有効)

Known-CVEs

新しいおよび既知の CVE を検出できるようにするグループです。

ル-ル ID	説明	DRS					OWASP CRS
ル-ル ID	説明	2.1	2.0	1.1	1.0	0.1	3.2	3.1	3.0
800100	Rule to help detect and mitigate log4j vulnerability – CVE-2021-44228, CVE-2021-45046	–	–	–	–	–	(有効)	(有効)	(有効)
800110	Spring4Shell Interaction Attempt	–	–	–	–	–	(有効)	(有効)	(有効)
800111	Attempted Spring Cloud routing-expression injection – CVE-2022-22963	–	–	–	–	–	(有効)	(有効)	(有効)
800112	Attempted Spring Framework unsafe class object exploitation – CVE-2022-22965	–	–	–	–	–	(有効)	(有効)	(有効)
800113	Attempted Spring Cloud Gateway Actuator injection – CVE-2022-22947	–	–	–	–	–	(有効)	(有効)	(有効)

追加のルールセット

BadBots

問題のあるボットから保護するグループです。

ル-ル ID	説明	BotManagementRuleSet		BotProtection
ル-ル ID	説明	1.0	0.1	0.1
Bot100100	Malicious bots detected by threat intelligence	ブロック (有効)	–	–
Bot100200	Malicious bots that have falsified their identity	ブロック (有効)	–	–

GoodBots

問題のないボットを識別するグループです。

ル-ル ID	説明	BotManagementRuleSet		BotProtection
ル-ル ID	説明	1.0	0.1	0.1
Bot200100	Search engine crawlers	許可 (有効)	–	–
Bot200200	Unverified search engine crawlers	ログ (有効)	–	–

KnownBadBots

既知の問題のあるボットから保護するグループです。

ル-ル ID	説明	BotManagementRuleSet		BotProtection
ル-ル ID	説明	1.0	0.1	0.1
1	Malicious Bots	–	(有効)	–
Bot00001	Malicious Bots	–	–	ブロック (有効)

UnknownBots

不明なボットを識別するグループです。

ル-ル ID	説明	BotManagementRuleSet		BotProtection
ル-ル ID	説明	1.0	0.1	0.1
Bot300100	Unspecified identity	ログ (有効)	–	–
Bot300200	Tools and frameworks for web crawling and attacks	ログ (有効)	–	–
Bot300300	General purpose HTTP clients and SDKs	ログ (有効)	–	–
Bot300400	Service agents	ログ (有効)	–	–
Bot300500	Site health monitoring services	ログ (有効)	–	–
Bot300600	Unknown bots detected by threat intelligence	ログ (有効)	–	–
Bot300700	Other bots	ログ (有効)	–	–