Closed4

Cloud Armorの事前定義ルールについて

NMNM

高度なルールの調整について

やりたかったこと:
Armorの事前定義 sqli-v33-stable を設定したが、特定パス(/path/to/hoge...)のみ特定ルールID(id942421)の誤検知が多いので、該当パスのみ除外する

結論:
特定ルールIDのみに特定パスの除外設定は現状入れられない?(2024年8月)

やったこと:
Armorの「高度なルールの調整」に以下のように設定を入れた。

しかし機能しなかった。

Communityのスレッドに答えがあった。
https://www.googlecloudcommunity.com/gc/General-Misc-Q-A/cloud-armor-exclude-uri-failure/m-p/713707
除外設定を入れることでURIに対する検知は行われないが、その他の要素でルールに該当する場合、ブロックされるらしい。

困る

NMNM

おそらくこれなら動く

(!request.path.startsWith('/path/to') && 
evaluatePreconfiguredWaf(
    'sqli-v33-stable',
    {
        'sensitivity': 0,
        'opt_in_rule_ids': [
            'owasp-crs-v030301-id942421-sqli',
        ],
    }
)) || evaluatePreconfiguredWaf(
    'sqli-v33-stable',
    {
        'opt_out_rule_ids': [
            'owasp-crs-v030301-id942421-sqli',
        ],
    }
)

が、複雑さが増す

このスクラップは1ヶ月前にクローズされました