Перейти к содержанию

Просмотр событий

В секции События Консоли управления Валарм доступна информация об обнаруженных атаках, инцидентах и уязвимостях. Для поиска событий вы можете использовать строку поиска, как описано по ссылке, или настроить фильтры поиска вручную.

Атаки

Просмотр атак

  • Дата: дата и время получения вредоносного запроса (хита)

    • Запросы с одинаковым типом атаки, отправленные в разное время, группируются в одну атаку. Тогда в столбце указывается дата и время выполнения первой атаки и продолжительность атаки.
    • Если атака выполняется прямо сейчас, под датой отображается соответствующий индикатор.
  • Запросы: количество вредоносных запросов (хитов) в атаке

  • Векторы: тип атаки и количество уникальных векторов атаки

  • Топ IP / Источник: IP‑адрес, с которого был отправлен вредоносный запрос (хит). Если атака велась с нескольких IP‑адресов, отображается только тот адрес, с которого пришло наибольшее количество запросов. Для адреса дополнительно отображаются следующие данные:

    • Общее количество IP‑адресов, с которых были отправлены атаки данного типа
    • Страна, в которой зарегистрирован IP‑адрес (если удалось найти в базе Валарм)
    • Дата‑центры, к которым принадлежит один или несколько IP‑адресов: AWS для Amazon, GCP для Google, Azure для Microsoft, DC для других дата‑центров (если удалось найти в базе Валарм)
    • Тег Tor, если атака целиком или частично выполнена с узлов Tor (если удалось найти в базе Валарм)
    • Тег VPN, если IP‑адрес принадлежит сети VPN (если удалось найти в базе Валарм)
    • Тег Public proxy или Web proxy, если запрос отправлен с публичного прокси‑сервера или веб‑сервера (если удалось найти в базе Валарм)
  • Домен / Путь: домен и путь, на который отправлен вредононосный запрос

  • Статус: ответ защищаемого ресурса на вредоносный запрос. Если ответов несколько, отображается наиболее частый ответ и количество разных ответов

  • Параметр: параметры вредоносного запроса и теги парсеров, примененных к запросу

  • Проверка: статус перепроверки атаки. Если атака отмечена как ложное срабатывание, в столбце отображается соответствующая отметка FP и перепроверка атаки не выполняется. Чтобы найти атаки по типу срабатывания, используйте фильтр ниже или строку поиска, как описано по ссылке

    Поиск по ложному срабатыванию

Чтобы отстортировать атаки по времени получения последнего запроса, используйте переключатель Сортировать по последнему запросу.

Инциденты

Просмотр инцидентов

Для инцидентов отображаются те же данные, как и для атак, за исключением последнего столбца. Вместо столбца Проверка отображается столбец Уязвимости с названием уязвимости, которую эксплуатирует атака.

При нажатии на уязвимость вы будете перенаправлены на подробное описание уязвимости и инструкции по ее исправлению.

Чтобы отстортировать инциденты по времени получения последнего запроса, используйте переключатель Сортировать по последнему запросу.

Уязвимости

Просмотр уязвимостей

  • Дата: дата и время обнаружения уязвимости

  • Риск: уровень опасности обнаруженной уязвимости

  • Цель: сторона, которой будет нанесен ущерб в случае эксплуатации уязвимости (клиент, сервер)

  • Тип: тип атаки, который эксплуатирует эту уязвимость

  • Домен: домен, на котором обнаружена уязвимость

  • ID: уникальный идентификатор уязвимости в системе Валарм

  • Заголовок: заголовок уязвимости

События в настоящий момент

Вы можете отслеживать события в режиме реального времени. Если ресурсы вашей компании в настоящий момент получают вредоносные запросы, в Консоли управления Валарм появляются следующие элементы:

  • Счетчик событий рядом с секцией События и внутри секции указывает на количество событий, которые произошли за последние 5 минут

  • Специальный индикатор отображается под датой события в таблице с атаками или инцидентами.

Вы также можете добавить ключевое слово now в поисковую строку, чтобы отображать только события, происходящие сейчас:

  • attacks now: отобразить атаки, происходящие в настоящий момент

  • incidents now: отобразить инциденты, происходящие в настоящий момент

  • attacks incidents now: отобразить атаки и инциденты, происходящие в настоящий момент

Атаки, происходящие в настоящий момент

Демо‑видео