Примеры триггеров¶

Блокировка IP при 4 и более векторах атак за 3 часа (триггер по умолчанию)¶

Для всех клиентов по умолчанию создан триггер Block IPs with high count of attack vectors. Если за 3 часа на защищенный ресурс отправлены 4 или более разных вектора атак с одного IP‑адреса, IP‑адрес блокируется на 1 час.

Вы можете выполнить все доступные действия с триггером: изменить, отключить, удалить или скопировать.

Чтобы протестировать триггер:

Отправьте на защищенный ресурс запросы:
```
curl http://localhost/instructions.php/etc/passwd
curl http://localhost/?id='or+1=1--a-<script>prompt(1)</script>'
```
Запросы содержат 3 вектора атаки: SQLi, XSS и Path Traversal.
Перейдите в Консоль управления Валарм → секция Черный список и убедитесь, что IP‑адрес, с которого были отправлены запросы, заблокирован на 1 час.
Откройте секцию События и убедитесь, что запросы отображаются в списке как атаки типа SQLi, XSS и Path Traversal:

Про поиске вы можете использовать фильтры, например: sqli для атак типа SQLi, xss для атак типа XSS, ptrav для атак типа Path Traversal. Описание всех фильтров доступно в инструкции по использованию поиска.

Отметка о брутфорсе или дирбасте при 31 и более запросе за 30 секунд¶

Фильтр по названию счетчика¶

Если за 30 секунд на ресурс https://example.com/api/frontend/login отправлен 31 запрос или больше, проставляется отметка о брутфорсе и блокируется IP‑адрес, с которого были отправлены запросы.

При этом путь запросов https://example.com/api/frontend/login описан в правиле Определить счетчик атак перебора.

Чтобы отметить атаку как дирбаст (forced browsing), необходимо использовать правило Определить счетчик атак forced browsing.

Подробнее о настройке защиты от брутфорса и тестировании триггера →

Фильтр по URL¶

Если за 30 секунд на ресурс example.com:8888/api/frontend/login отправлен 31 запрос или больше:

Проставляется отметка о брутфорсе (brute‑force) и блокируется IP‑адрес, с которого были отправлены запросы.
Если в ответ на все запросы вернулся код 404, проставляется отметка о дирбасте (forced browsing) и блокируется IP‑адрес, с которого были отправлены запросы.

Формат значения URL

Значение фильтра URL должно соответствовать формату host:port/path. Схема должна быть опущена. В значении port должен быть передан нестандартный порт (для стандартных портов 80 и 443 необходимо использовать фильтр Название счетчика).

Подробнее о настройке защиты от брутфорса и тестировании триггера →

Уведомление в Slack при 2 и более хитах SQLi за 1 минуту¶

Если за 1 минуту на защищенный ресурс отправлено 2 или более хита типа SQLi, отправляется уведомление в Slack.

Чтобы протестировать триггер:

Отправьте на защищенный ресурс запросы:

curl http://localhost/data/UNION%20SELECT
curl http://localhost/?id=or+1=1--a-

Перейдите в Консоль управления Валарм → События и убедитесь, что в списке отображаются 3 атаки типа SQLi. Во втором запросе были обнаружены 2 атаки: до и после применения парсера percent.
Откройте канал Slack и убедитесь, что вы получили уведомление от пользователя wallarm:
```
Обратите внимание! Сработал триггер Уведомление о хитах SQLi: Количество хитов с типом sqli за 1 минуту превысило 1
```
- Уведомление о хитах SQLi — название триггера

Уведомления на email и в Slack при добавлении пользователя¶

Если в аккаунт добавлен пользователь с ролью Аналитик или Администратор, отправляется уведомление по email и в Slack.

Пример триггера с уведомлением по email и в Slack

Чтобы протестировать триггер:

Перейдите в Консоль управления Валарм → Настройки → Пользователи и добавьте нового пользователя. Например:
Перейдите к email и убедитесь, что вы получили письмо:
Откройте канал Slack и убедитесь, что вы получили уведомление от пользователя wallarm:
```
Обратите внимание! Сработал триггер Добавление нового пользователя: Новый пользователь johnsmith@example.com с правами Аналитик был добавлен Петр Петров для вашего проекта.
```
- Добавление нового пользователя — название триггера
- johnsmith@example.com — email добавленного пользователя
- Аналитик — роль добавленного пользователя
- Петр Петров — имя пользователя, который добавил нового пользователя

Отправка данных в Opsgenie при 2 и более инцидентах за секунду¶

Если за секунду обнаружено хотя бы 2 инцидента с сервером или базой данных, отправляются данные в Opsgenie.

Пример триггера с уведомлением в Opsgenie

Чтобы протестировать триггер, необходимо отправить на защищенный ресурс атаку, которая эксплуатирует активную уязвимость. В Консоли управления Валарм → Уязвимости отображаются активные уязвимости ваших приложений и примеры атак, которые могут эксплуатировать уязвимости.

При отправке примера атаки на защищенный ресурс, Валарм зарегистрирует инцидент. При 2 и более зарегистрированных инцидентах, в Opsgenie будет отправлено уведомление:

Обратите внимание! Сработал триггер Уведомление об инцидентах: Количество инцидентов на сервере, базе данных за 1 секунду превысило 1

Уведомление об инцидентах — название триггера

Защита от эксплуатации активных уязвимостей

Чтобы защитить ресурс от эксплуатации активной уязвимости, мы рекомендуем своевременно исправлять уязвимость. Если уязвимость не может быть исправлена, создайте виртуальный патч для блокировки атак, направленных на активную уязвимость.

Отправка вебхука при добавлении IP‑адреса в черный список¶

Если в черный список добавлен IP‑адрес, на Webhook URL отправляется вебхук.

Пример триггера с вебхуком, если заблокирован IP

Чтобы протестировать триггер:

Перейдите в Консоль управления Валарм → Черный список и добавьте IP‑адрес в черный список. Например:

Убедитесь, что на Webhook URL пришел вебхук:

{
    "summary": "Обратите внимание! Сработал триггер Уведомление о заблокированном IP: IP 1.1.1.1 был заблокирован до 2020-11-10 11:48:22 +0300"
}

Уведомление о заблокированном IP — название триггера