Анализ атак¶
На вкладке События веб‑интерфейса размещается информация об атаках и инцидентах.
Валарм автоматически группирует связанные между собой вредоносные запросы в единую сущность — атаку.
Просмотр атаки¶
Вы можете получить информацию обо всех атаках, проанализировав столбцы таблицы, описанные на странице «Просмотр атак и инцидентов».
Анализ запросов в атаке¶
Чтобы просмотреть запросы атаки:
-
Выберите атаку;
-
Нажмите на число в столбце Запросы.
Нажатие на число откроет список всех запросов в выбранной атаке.
Информация о запросах отображается в следующих столбцах:
-
Дата — дата и время запроса;
-
Вектор — вектор атаки. Нажатие на значение вектора атаки выведет справку по данному типу атаки;
-
Источник — IP‑адрес, с которого пришел запрос. Нажатие на значение IP‑адреса добавит его в поисковую строку. Дополнительно может отображаться следующая информация:
- Страна, в которой зарегистрирован IP‑адрес (если удалось найти в базе Валарм)
- Дата‑центры, которым принадлежит один или несколько IP‑адресов: AWS для Amazon, GCP для Google, Azure для Microsoft, DC для других дата‑центров (если удалось найти в базе Валарм)
- Тег Tor, если атака целиком или частично выполнена с узлов Tor (если удалось найти в базе Валарм)
- Тег VPN, если IP‑адрес принадлежит сети VPN (если удалось найти в базе Валарм)
- Тег Public proxy или Web proxy, если запрос отправлен с публичного прокси‑сервера или веб‑сервера (если удалось найти в базе Валарм) Статус* — ответ защищаемого ресурса на запрос;
-
Размер — размер ответа защищаемого ресурса на запрос в байтах;
-
Время — время ответа защищаемого ресурса на запрос.
Если атака происходит в настоящее время, под графиком запросов будет отображена надпись «сейчас».
Просмотр запроса в сыром формате¶
Вывод запроса в сыром формате позволяет проанализировать запрос наиболее детально. Чтобы открыть запрос в сыром формате:
-
Выберите атаку;
-
Нажмите на число в столбце Запросы;
-
Нажмите стрелку слева от даты запроса.
Веб-интерфейс отобразит запрос в сыром виде.
Семплирование хитов¶
Одна атака может состоять из большого количества идентичных хитов (более 100). Хранение всех хитов может увеличивать нагрузку на Облако Валарм и требовать значительного количества времени для анализа и поиска атак через Консоль управления Валарм.
Чтобы оптимизировать хранение и анализ данных, к хитам применяется алгоритм семплирования:
-
Из каждых 5 идентичных хитов, которые были обнаружены первыми в течение часа, в Облаке формируются выборки с полной информацией о хитах. Если несколько выборок являются частью одной атаки, они группируются (например, хиты в выборках отличаются только значением IP‑адреса отправителя).
-
Остальные хиты не сохраняются в выборки, но их количество считается для каждой атаки и записывается в соответствующий параметр.
Примеры
-
Во время атаки было отправлено 20 хитов: по 10 идентичных хитов с 2 разных IP‑адресов. В Облаке Валарм сохранится информация о 5 первых хитах с каждого IP‑адреса, количество других хитов запишется в отдельную переменную (10).
-
Во время атаки было отправлено 10 хитов с разных IP‑адресов. В Облаке Валарм сохранится информация обо всех хитах.
Включение алгоритма семплирования
-
Для атак на проверку входных данных: алгоритм семплирования включается, если в вашем трафике обнаружен высокий процент атак.
При включении алгоритма семплирования, все пользователи аккаунта вашей компании с ролью Администратор и Глобальный администратор получат соответствующее письмо на email. Письма отправляются с интервалом в 8 часов, если алгоритм семплирования включается/отключается из‑за изменения процента атак в трафике.
-
Для всех поведенческих атак: алгоритм семплирования включен по умолчанию.
Если семплирование хитов включено для вашего трафика, в секции События в Консоли управления Валарм отображается соответствующий статус, сохраненная выборка из хитов и количество остальных хитов. Например: