Анализ атак¶
На вкладке События веб‑интерфейса размещается информация об атаках и инцидентах.
Валарм автоматически группирует связанные между собой вредоносные запросы в единую сущность — атаку.
Просмотр атаки¶
Вы можете получить информацию обо всех атаках, проанализировав столбцы таблицы, описанные на странице «Просмотр атак и инцидентов».
Анализ запросов в атаке¶
Чтобы просмотреть запросы атаки:
-
Выберите атаку;
-
Нажмите на число в столбце Запросы.
Нажатие на число откроет список всех запросов в выбранной атаке.
Информация о запросах отображается в следующих столбцах:
-
Дата — дата и время запроса;
-
Вектор — вектор атаки. Нажатие на значение вектора атаки выведет справку по данному типу атаки;
-
Источник — IP‑адрес, с которого пришел запрос. Нажатие на значение IP‑адреса добавит его в поисковую строку;
- Если удалось определить дата-центр, к которыму принадлежит IP‑адрес, то под ним будет отображен соответствующий дата-центру тег: «AWS» для Amazon, «GCP» для Google, «Azure» для Microsoft.
- Если IP‑адрес принадлежит сети Tor, под IP‑адресом будет отображен тег «Tor».
-
Статус — ответ защищаемого ресурса на запрос;
-
Размер — размер ответа защищаемого ресурса на запрос в байтах;
-
Время — время ответа защищаемого ресурса на запрос.
Если атака происходит в настоящее время, под графиком запросов будет отображена надпись «сейчас».
Просмотр запроса в сыром формате¶
Вывод запроса в сыром формате позволяет проанализировать запрос наиболее детально. Чтобы открыть запрос в сыром формате:
-
Выберите атаку;
-
Нажмите на число в столбце Запросы;
-
Нажмите стрелку слева от даты запроса.
Веб-интерфейс отобразит запрос в сыром виде.
