Анализ атак¶

На вкладке События веб‑интерфейса размещается информация об атаках и инцидентах.

Валарм автоматически группирует связанные между собой вредоносные запросы в единую сущность — атаку.

Просмотр атаки¶

Вы можете получить информацию обо всех атаках, проанализировав столбцы таблицы, описанные на странице «Просмотр атак и инцидентов».

Анализ запросов в атаке¶

Чтобы просмотреть запросы атаки:

1. Выберите атаку;

2. Нажмите на число в столбце Запросы.

Нажатие на число откроет список всех запросов в выбранной атаке.

Информация о запросах отображается в следующих столбцах:

• Дата — дата и время запроса;

• Вектор — вектор атаки (вредоносный пэйлоад). Нажатие на значение вектора атаки выведет справку по данному типу атаки;

• Источник — IP‑адрес, с которого пришел запрос. Нажатие на значение IP‑адреса добавит его в поисковую строку. Дополнительно может отображаться следующая информация:

  • Страна, в которой зарегистрирован IP‑адрес (если удалось найти в базе Валарм)
  • Дата‑центры, которым принадлежит один или несколько IP‑адресов: AWS для Amazon, GCP для Google, Azure для Microsoft, DC для других дата‑центров (если удалось найти в базе Валарм)
  • Тег Tor, если атака целиком или частично выполнена с узлов Tor (если удалось найти в базе Валарм)
  • Тег VPN, если IP‑адрес принадлежит сети VPN (если удалось найти в базе Валарм)
  • Тег Public proxy или Web proxy, если запрос отправлен с публичного прокси‑сервера или веб‑сервера (если удалось найти в базе Валарм)

• Статус — ответ защищаемого ресурса на запрос; если WAF-нода заблокировала запрос, отображается код блокировки (403 или пользовательский код);

• Размер — размер ответа защищаемого ресурса на запрос в байтах;

• Время — время ответа защищаемого ресурса на запрос.

Если атака происходит в настоящее время, под графиком запросов будет отображена надпись «сейчас».

При анализе вы можете задать тонкие настройки для обработки конкретных запросов. Для тонкой настройки в списке событий доступны кнопки:

• Отметить атаку как ложную и Ошибка, чтобы сообщить о легитимных запросах, отмеченных как атаки.

• Выключить парсер base64, чтобы указать на некорректное применение парсера base64 к элементу запроса.

  По кнопке открывается предзаполненная форма для создания правила для выключения парсера.

• Правило, чтобы создать индивидуальное правило любого типа для обработки конкретных запросов.

  По кнопке открывается форма для создания правила, предзаполненная данными о запросе.

Просмотр запроса в сыром формате¶

Вывод запроса в сыром формате позволяет проанализировать запрос наиболее детально. При анализе запроса вы также можете скопировать его в формате cURL.

Чтобы открыть запрос в сыром формате, разверните необходимую атаку и затем запрос внутри нее.

Семплирование хитов¶

Одна атака может состоять из большого количества идентичных хитов (более 100). Хранение всех хитов может увеличивать нагрузку на Облако Валарм и требовать значительного количества времени для анализа и поиска атак через Консоль управления Валарм.

Чтобы оптимизировать хранение и анализ данных, к хитам применяется алгоритм семплирования:

• Из каждых 5 идентичных хитов, которые были обнаружены первыми в течение часа, в Облаке формируются выборки с полной информацией о хитах. Если несколько выборок являются частью одной атаки, они группируются (например, хиты в выборках отличаются только значением IP‑адреса отправителя).

• Остальные хиты не сохраняются в выборки, но их количество считается для каждой атаки и записывается в соответствующий параметр.

Примеры

• Во время атаки было отправлено 20 хитов: по 10 идентичных хитов с 2 разных IP‑адресов. В Облаке Валарм сохранится информация о 5 первых хитах с каждого IP‑адреса, количество других хитов запишется в отдельную переменную (10).

• Во время атаки было отправлено 10 хитов с разных IP‑адресов. В Облаке Валарм сохранится информация обо всех хитах.

Включение алгоритма семплирования

• Для атак на проверку входных данных: алгоритм семплирования включается, если в вашем трафике обнаружен высокий процент атак.

  При включении алгоритма семплирования, все пользователи аккаунта вашей компании с ролью Администратор и Глобальный администратор получат соответствующее письмо на email. Письма отправляются с интервалом в 8 часов, если алгоритм семплирования включается/отключается из‑за изменения процента атак в трафике.

• Для всех поведенческих атак: алгоритм семплирования включен по умолчанию.

Если семплирование хитов включено для вашего трафика, в секции События в Консоли управления Валарм отображается соответствующий статус, сохраненная выборка из хитов и количество остальных хитов. Например:

Демовидео¶