Перейти к содержанию

Использование поиска

Поиск возможен практически по любым атрибутам атак, инцидентов и уязвимостей. Валарм автоматически определяет, к каким атрибутам относятся значения в поисковой строке.

В Валарм реализован язык поиска, приближенный к естественному человеческому языку, поэтому запрос можно набрать почти интуитивно. Имеется возможность сделать уточнения с помощью специальных модификаторов-префиксов, о которых рассказано ниже.

Если в поисковой строке указаны значения для разных параметров, результат будет удовлетворять всем условиям. Если указаны несколько значений для одного параметра, ищется результат, удовлетворяющий любому из них.

Чтобы осуществить поиск в пределах одного веб‑приложения, укажите в строке поиска pool:<название приложения>, где <название приложения> установлено при добавлении приложения во вкладке Приложения в разделе Настройки.

Примеры поисковых запросов:

  • attacks xss — поиск всех XSS-атак (межсайтовый скриптинг);

  • attacks today — поиск любых атак за сегодня;

  • vulns sqli: поиск уязвимостей к атакам типа внедрение SQL‑кода;

  • vulns 01/01/2019 - 01/10/2019 — поиск уязвимостей за указанный период;

  • xss 14/01/2019 — поиск всех уязвимостей, подозрений, атак и инцидентов межсайтового скриптинга на 14 января 2019 года;

  • p:xss 14/01/2019 — поиск всех уязвимостей, подозрений, атак и инцидентов типа межсайтовый скриптинг за 14 января 2019 года;

  • attacks 2-9/2018 — поиск всех атак с февраля по сентябрь 2018 года;

  • rce /catalog/import.php: поиск всех RCE-атак, инцидентов и уязвимостей по скрипту /catalog/import.php за последний день.

Помимо строки поиска, найти данные помогают также фильтры. Подробнее — на странице «Использование фильтров». Параметры из поисковой строки дублируются в системе фильтров и наоборот.

Сохранить как шаблон

Любой поисковый запрос или комбинацию фильтров можно сохранить нажатием кнопки Сохранить как шаблон, чтобы в дальнейшем вызывать его оперативно.

Поисковые атрибуты

Ниже рассказано о поиске по каждому типу атрибута.

Поиск по типу объекта

Укажите в строке поиска:

  • attack, attacks — чтобы искать только атаки, которые
    не направлены на известные уязвимости;

  • incident, incidents — чтобы искать только инциденты
    (атаки, эксплуатирующие известную уязвимость);

  • vuln, vulns, vulnerability,
    vulnerabilities — чтобы искать только уязвимости;

Поиск по типу атаки или уязвимости

Укажите в строке поиска:

Название уязвимости может быть указано как строчными, так и заглавными буквами.
Т.е. SQLI, sqli и SQLi будут восприняты одинаково.

Поиск по цели атаки или уязвимости

Укажите в строке поиска:

  • client — чтобы искать атаки/уязвимости пользовательских данных;

  • database — чтобы искать атаки/уязвимости базы данных;

  • server — чтобы искать атаки/уязвимости сервера приложений.

Поиск по типу срабатывания на атаку

Укажите в строке поиска:

  • falsepositive — чтобы искать ложные атаки;

  • !falsepositive — чтобы искать атаки с реальными угрозами.

Поиск по уровню опасности

Укажите в строке поиска:

  • low — низкий уровень опасности;

  • medium — средний уровень опасности;

  • high — высокий уровень опасности.

Поиск уязвимостей по идентификатору

Для поиска уязвимостей по идентификатору можно указывать его в одном из двух вариантов:

  • полностью: WLRM-ABCD-X0123;

  • сокращенно: X0123.

Поиск по статусу уязвимости

Укажите в строке поиска:

  • open — актуальная уязвимость;

  • closed — исправленная уязвимость;

  • falsepositive — ложное срабатывание.

Поиск по времени события

Задайте в строке поиска временной интервал. Если временной интервал не задан, отображаются события за последние сутки.

Вы можете использовать несколько способов, чтобы задать временной интервал:

  • Дата: 10/01/2019 - 14/01/2019

  • Дата и время (всегда без секунд): 10/01/2019 11:11, 11:30-12:22, 10/01/2019 11:12 - 14/01/2019 12:14

  • Дата и время относительно определенного момента времени, например: >10/01/19

  • Строковые алиасы: yesterday для вчерашней даты и today для сегодняшней даты

Дата указывается в формате ДД/ММ/ГГГГ, где ММ — полный или сокращенный номер месяца: 10/01/2019 или 10/1/2019. Если ГГГГ не указан в дате, используется текущий год. Время указывается в 24‑часовом формате, например: 13:00.

Поиск по IP‑адресу

Для поиска по IP‑адресу используется префикс ip:, после которого вы можете задать:

  • Конкретный IP‑адрес, например 192.168.0.1 — в этом случае будут найдены все атаки и инциденты, для которых адрес источника атаки соответствует этому IP‑адресу.

  • Выражение, описывающее диапазон IP‑адресов, для которого необходимо произвести поиск.

  • Общее число IP‑адресов, относящихся к атаке или инциденту.

Поиск по диапазону IP‑адресов

Чтобы задать требуемый диапазон IP‑адресов, вы можете использовать:

  • Явный диапазон значений IP‑адресов:

    • 192.168.0.0-192.168.63.255;
    • 10.0.0.0-10.255.255.255.
  • Часть IP‑адреса:

    • 192.168. — эквивалентно 192.168.0.0-192.168.255.255. Допускается избыточный формат записи с модификатором *192.168.*.
    • 192.168.0. — эквивалентно 192.168.0.0-192.168.0.255.
  • IP‑адрес или его часть с диапазоном значений внутри последнего октета в выражении:

    • 192.168.1.0-255 — эквивалентно 192.168.1.0-192.168.1.255;
    • 192.168.0-255 — эквивалентно 192.168.0.0-192.168.255.255.
      !!! warning "Важно"
      При использовании диапазона значений внутри октета точка в конце не ставится.
  • Префиксы подсетей (CIDR-нотация):

    • 192.168.1.0/24 — эквивалентно 192.168.1.0-192.168.1.255;
    • 192.168.0.0/17 — эквивалентно 192.168.0.1-192.168.127.255.

Обратите внимание

Вы можете комбинировать перечисленные выше способы поиска по IP‑адресу. Для этого перечислите все необходимые диапазоны с префиксом ip: по отдельности.

Пример: ip:192.168.0.0/24 ip:10.10. ip:10.0.10.0-128

Поиск по числу IP‑адресов

Также есть возможность искать по общему числу IP‑адресов, связанных с атаками и инцидентами:

  • ip:1000+ last month — поиск атак и инцидентов за последний месяц, для которых число уникальных IP‑адресов более 1000
    (эквивалентно запросу attacks incidents ip:1000+ last month).

  • xss ip:100+ — поиск всех атак и инцидентов межсайтового скриптинга.
    Если меньше 100 разных IP‑адресов было зарегистрировано как атакующие с этим типом атаки, результат поиска будет пустым.

  • xss p:id ip:100+ — выполнит поиск всех атак и инцидентов типа XSS для HTTP‑параметра id(?id=aaa) и вернет результат,
    только если число разных IP‑адресов превышает 100.

Поиск по статусу ответа сервера

Для поиска по статусу ответа сервера укажите префикс statuscode:.

Статус для поиска может быть задан в виде:

  • числа от 100 до 999;

  • диапазона «N−M», где N и M — это числа от 100 до 999;

  • диапазона «N+» и «N-», где N — это число от 100 до 999.

Поиск по размеру ответа сервера

Для поиска по размеру ответа сервера укажите в строке поиска префикс
s: или size:.

В качестве параметра поиска можно указать любое целое число. Числа больше

999 могут задаваться без префикса. Можно указывать диапазоны «N-M», «N+» и «N-».
Если в диапазоне числа больше 999, то префикс также можно не указывать.

Поиск по методу HTTP‑запроса

Для поиска по методу HTTP‑запроса укажите префикс method:.

GET, POST, PUT, DELETE и OPTIONS в качестве параметра поиска с учетом регистра могут быть
указаны без префикса. Для указания всех остальных значений необходимо
использовать префикс.

Поиск по домену

Для поиска по домену укажите префиксы d: или domain:.

Без префикса обрабатывается любая строка, которая может быть доменом второго
и более уровня. С префиксом может быть указана любая строка.

В домене можно использовать маски. Символ * заменяет любое
количество символов, символ ? заменяет любой один символ.

Поиск по пути

Для поиска по пути укажите префикс u: или url:.

Без префикса обрабатываются строки, которые начинаются с /.
С префиксом может быть указана любая строка.

Поиск по параметру

Для поиска по параметру укажите префикс p:, param:
или parameter:, а также суффикс =.

Например, если необходимо найти атаки на параметр xss, а не
xss-атаки (например, найти атаку типа SQL‑injection в GET-параметре xss),
то в поисковой строке следует ввести attacks p:xss.

Строка, которая начинается не с / и заканчивается на =
расссматривается как параметр (при этом завершающий = в значение
не входит). С префиксом может быть указана любая строка.

Поиск аномалий в атаках

Для поиска аномалий в атаках укажите префикс a: или
anomaly:.

Поддерживаемые параметры для поиска аномалий:

  • size;

  • statuscode;

  • time;

  • stamps;

  • impression;

  • vector.

Пример:

Поиск attacks sqli a:size найдет все атаки вида SQL‑инъекция, где в запросах были аномалии размера ответа.

Поиск по идентификатору запроса

Для поиска атак и инцидентов по идентификатору запроса укажите префикс request_id.
Параметр request_id имеет значение вида a79199bcea606040cc79f913325401fb.
Далее в примерах используется условное обозначение <requestId>.

Примеры использования:

  • attacks incidents request_id:<requestId> – поиск атаки или инцидента с request_id равному <requestId>;

  • attacks incidents !request_id:<requestId> – поиск атак или инцидентов с request_id не равному <requestId>;

  • attacks incidents request_id – поиск атак или инцидентов с любым request_id;

  • attacks incidents !request_id – поиск атак или инцидентов с отсутствующим request_id.

Смотрите также

Использование фильтров