Interpretador de accuracy/risk de signature do AWAF
Leia a Accuracy e o Risk publicados de uma attack signature e ela diz o quão propensa a falso positivo é, o quão danoso um match real seria, e a jogada de ajuste. O F5 define accuracy como suscetibilidade a falso positivo, então accuracy baixa significa muitos falsos positivos. Roda inteiramente no seu navegador.
Segurança e WAFAs propriedades publicadas da signature
Calculado no seu navegador. Nada é enviado.
Um modelo determinístico das propriedades documentadas de signature do F5, não uma base de dados por ID. Leia Accuracy, Risk e Systems da própria entrada da signature em Security > Options > Application Security > Attack Signatures. Nunca contata um BIG-IP.
Propensa a falso positivo, baixo risco
A jogada de ajuste
Este é o principal candidato a relaxar. Accuracy baixa significa falsos positivos frequentes e risk baixo significa que pouco se perde ao relaxá-la, então desabilitá-la na URL ou parâmetro específico (ou deixá-la em staging) é razoável depois de confirmar um falso positivo.
O que isto significa
- O F5 define accuracy como a suscetibilidade de uma signature a falsos positivos, e uma signature de accuracy Baixa tem alta probabilidade de falsos positivos.
- Confirme se o sistema desta signature se aplica ao seu stack; uma signature de um sistema que você não usa só gera falsos positivos.
- Se falsos positivos de accuracy baixa forem frequentes, deixe a accuracy guiar quais signatures você faz enforcement. Accuracy é uma propriedade documentada de signature e um critério de filtro de signature set, então um set voltado para signatures de accuracy mais alta produz menos falsos positivos, porque o F5 define accuracy como suscetibilidade a falso positivo.
- Limite qualquer mudança à URL ou parâmetro específico, ou filtre o signature set. Desabilitar uma signature para toda a política troca um falso positivo por um ponto cego em todo o resto.
Referências
- F5 BIG-IP ASM: Working with Attack Signatures (accuracy = false-positive susceptibility; risk = potential damage levels)
- F5 BIG-IP ASM: Assigning Attack Signatures to Security Policies (signature sets scoped by system; accuracy as a set filter criterion; disable a signature that is a false positive)
- F5 K70544352: Reducing false positive violations