Перейти к содержанию

Анализ атак

На вкладке События веб‑интерфейса размещается информация об атаках и инцидентах.

Валарм автоматически группирует связанные между собой вредоносные запросы в единую сущность — атаку.

Просмотр атаки

Вы можете получить информацию обо всех атаках, проанализировав столбцы таблицы, описанные на странице «Просмотр атак и инцидентов».

Анализ запросов в атаке

Чтобы просмотреть запросы атаки:

  1. Выберите атаку;

  2. Нажмите на число в столбце Запросы.

Нажатие на число откроет список всех запросов в выбранной атаке.

Запросы в выбранной атаке

Информация о запросах отображается в следующих столбцах:

  • Дата — дата и время запроса;

  • Вектор — вектор атаки. Нажатие на значение вектора атаки выведет справку по данному типу атаки;

  • Источник — IP‑адрес, с которого пришел запрос. Нажатие на значение IP‑адреса добавит его в поисковую строку. Дополнительно может отображаться следующая информация:

    • Страна, в которой зарегистрирован IP‑адрес (если удалось найти в базе Валарм)
    • Дата‑центры, которым принадлежит один или несколько IP‑адресов: AWS для Amazon, GCP для Google, Azure для Microsoft, DC для других дата‑центров (если удалось найти в базе Валарм)
    • Тег Tor, если атака целиком или частично выполнена с узлов Tor (если удалось найти в базе Валарм)
    • Тег VPN, если IP‑адрес принадлежит сети VPN (если удалось найти в базе Валарм)
    • Тег Public proxy или Web proxy, если запрос отправлен с публичного прокси‑сервера или веб‑сервера (если удалось найти в базе Валарм) Статус* — ответ защищаемого ресурса на запрос;

  • Размер — размер ответа защищаемого ресурса на запрос в байтах;

  • Время — время ответа защищаемого ресурса на запрос.

Если атака происходит в настоящее время, под графиком запросов будет отображена надпись «сейчас».

Атака, которая происходит в настоящее время

Просмотр запроса в сыром формате

Вывод запроса в сыром формате позволяет проанализировать запрос наиболее детально. Чтобы открыть запрос в сыром формате:

  1. Выберите атаку;

  2. Нажмите на число в столбце Запросы;

  3. Нажмите стрелку слева от даты запроса.

Веб-интерфейс отобразит запрос в сыром виде.

Просмотр запроса в сыром формате

Выборка запросов при брутфорс‑атаках

Облако Валарм применяет к брутфорс‑атакам алгоритм сэмплирования:

  • В Облаке сохраняется выборка из первых 5 запросов (хитов) с каждого IP‑адреса за каждый час.

  • Остальные хиты не сохраняются в выборке, но их количество записывается в отдельный параметр.

Сохраненные хиты и количество остальных хитов отображаются в информации о брутфорс‑атаке в Консоли управления Валарм. Например:

Выборка запросов в брутфорс-атаке

Демо‑видео