Перейти к содержанию

Управление набором парсеров запросов

С помощью правила Выключить/Включить парсеры запросов вы можете управлять набором парсеров, которые нода Валарм применяет к запросу при анализе.

По умолчанию нода последовательно применяет к каждой части запроса все подходящие парсеры. Однако в некоторых случаях нода может ошибочно применить парсер и распознать атаку в декодированном значении.

Например: нода может ошибочно применить парсер base64 к незакодированному значению элемента запроса, так как символы алфавита Base64 часто встречаются в обычном тексте, токенах, UUID и т.д. Если нода обнаружит признаки атаки в декодированном значении, запрос будет считаться атакой. Однако обнаружение атаки в данном случае — ложное срабатывание.

Чтобы исключить обнаружение признаков атак в подобных случаях, вы можете выключить парсеры для определенных элементов запроса с помощью правила Выключить/Включить парсеры запросов.

Создание и применение правила

Вы можете создать и применить правило как в секции События в Консоли управления, так и в секции Правила:

  • В секции События правила создаются с предзаполненным описанием приложения или части приложения, к которой они применяются. Описание соответствует запросу, рядом с которым вы нажали кнопку Правило при анализе запроса.

    Чтобы завершить создание правила, достаточно настроить тип действия правила и убедиться, что все части правила описаны корректно.

    Для выключения парсера base64 вы можете использовать отдельную кнопку Выключить парсер base64 при анализе атак. Кнопка доступна, только если для обнаружения вредоносного пэйлоада нода применила парсер base64.

  • В секции Правила все части правила необходимо заполнить вручную.

Чтобы создать и применить правило в секции Правила:

  1. Создайте правило Выключить/Включить парсеры запросов в секции Правила в Консоли управления Валарм.

    Правило состоит из следующих частей:

    • Условие описывает приложение или часть приложения, к которой необходимо применить правило.
    • Парсеры, которые необходимо выключить / включить для указанного элемента запроса.
    • Часть запроса определяет элемент исходного запроса, для которого необходимо выключить / включить выбранные парсеры.
  2. Дождитесь, пока завершится компиляция индивидуального набора правил.

Пример правила

Допустим, в запросах к https://example.com/users/ необходимо передавать заголовок X-AUTHTOKEN с токеном для аутентификации. В токене могут использоваться комбинации, которые Валарм декодирует с помощью парсера base64 и определит как вредоносные (например, = в конце значения параметра).

Чтобы избежать ложных срабатываний на пэйлоады в значении X-AUTHTOKEN, вы можете настроить правило Выключить/Включить парсеры запросов следующим образом:

Пример правила "Выключить/Включить парсеры запросов"