Анализ атак¶
На вкладке События веб‑интерфейса размещается информация об атаках и инцидентах.
Валарм автоматически группирует связанные между собой вредоносные запросы в единую сущность — атаку.
Просмотр атаки¶
Вы можете получить информацию обо всех атаках, проанализировав столбцы таблицы, описанные на странице «Просмотр атак и инцидентов».
Анализ запросов в атаке¶
Чтобы просмотреть запросы атаки:
-
Выберите атаку;
-
Нажмите на число в столбце Запросы.
Нажатие на число откроет список всех запросов в выбранной атаке.
Информация о запросах отображается в следующих столбцах:
-
Дата — дата и время запроса;
-
Вектор — вектор атаки. Нажатие на значение вектора атаки выведет справку по данному типу атаки;
-
Источник — IP‑адрес, с которого пришел запрос. Нажатие на значение IP‑адреса добавит его в поисковую строку. Дополнительно может отображаться следующая информация:
- Страна, в которой зарегистрирован IP‑адрес (если удалось найти в базе Валарм)
- Дата‑центры, к которым принадлежит один или несколько IP‑адресов: AWS для Amazon, GCP для Google, Azure для Microsoft, DC для других дата‑центров (если удалось найти в базе Валарм)
- Тег Tor, если атака целиком или частично выполнена с узлов Tor (если удалось найти в базе Валарм)
- Тег VPN, если IP‑адрес принадлежит сети VPN (если удалось найти в базе Валарм)
- Тег Public proxy или Web proxy, если запрос отправлен с публичного прокси‑сервера или веб‑сервера (если удалось найти в базе Валарм) Статус* — ответ защищаемого ресурса на запрос;
-
Размер — размер ответа защищаемого ресурса на запрос в байтах;
-
Время — время ответа защищаемого ресурса на запрос.
Если атака происходит в настоящее время, под графиком запросов будет отображена надпись «сейчас».
Просмотр запроса в сыром формате¶
Вывод запроса в сыром формате позволяет проанализировать запрос наиболее детально. Чтобы открыть запрос в сыром формате:
-
Выберите атаку;
-
Нажмите на число в столбце Запросы;
-
Нажмите стрелку слева от даты запроса.
Веб-интерфейс отобразит запрос в сыром виде.
