Перейти к содержанию

Примеры триггеров

Блокировка IP при 4 и более векторах атак за 3 часа (триггер по умолчанию)

Для всех клиентов по умолчанию создан триггер Block IPs with high count of attack vectors. Если за 3 часа на защищенный ресурс отправлены 4 или более разных вектора атак с одного IP‑адреса, IP‑адрес блокируется на 1 час.

Триггер по умолчанию

Вы можете выполнить все доступные действия с триггером: изменить, отключить, удалить или скопировать.

Отметка о брутфорсе или дирбасте при 31 и более запросе за 30 секунд

Фильтр по названию счетчика

Если за 30 секунд на ресурс https://example.com/api/frontend/login отправлен 31 запрос или больше, проставляется отметка о брутфорсе и блокируется IP‑адрес, с которого были отправлены запросы.

При этом путь запросов https://example.com/api/frontend/login описан в правиле Определить счетчик атак перебора.

Триггер брутфорс со счетчиком

Чтобы отметить атаку как дирбаст (forced browsing), необходимо использовать правило Определить счетчик атак forced browsing.

Подробнее о настройке защиты от брутфорса →

Фильтр по URL

Если за 30 секунд на ресурс example.com:8888/api/frontend/login отправлен 31 запрос или больше:

  • Проставляется отметка о брутфорсе (brute‑force) и блокируется IP‑адрес, с которого были отправлены запросы.

  • Если в ответ на все запросы вернулся код 404, проставляется отметка о дирбасте (forced browsing) и блокируется IP‑адрес, с которого были отправлены запросы.

Формат значения URL

Значение фильтра URL должно соответствовать формату host:port/path. Схема должна быть опущена. port принимает любое значение, кроме 80 и 443.

Триггер брутфорс/дирбаст

Подробнее о настройке защиты от брутфорса →

Уведомление в Slack при 2 и более хитах SQLi за 1 минуту

Если за 1 минуту на защищенный ресурс отправлено 2 или более хита типа SQLi, отправляется уведомление в Slack.

Пример триггера с уведомлением в Slack

Уведомление в Slack от пользователя wallarm:

Обратите внимание! Сработал триггер Уведомление о хитах SQLi: Количество хитов с типом sqli за 1 минуту превысило 1
  • Уведомление о хитах SQLi — название триггера

Уведомления на email и в Slack при добавлении пользователя

Если в аккаунт добавлен пользователь с ролью Аналитик или Администратор, отправляется уведомление по email и в Slack.

Пример триггера с уведомлением по email и в Slack

  • Уведомление по email:

    Уведомление по email о триггере на пользователя

  • Уведомление в Slack от пользователя wallarm:

    Обратите внимание! Сработал триггер Добавление нового пользователя: Новый пользователь user@example.com с правами Администратор был добавлен Иван Иванов для вашего проекта.
    • Добавление нового пользователя — название триггера
    • user@example.com — email добавленного пользователя
    • Администратор — роль добавленного пользователя
    • Иван Иванов — имя пользователя, который добавил нового пользователя

Отправка данных в OpsGenie при 2 и более инцидентах за секунду

Если за секунду обнаружено хотя бы 2 инцидента с сервером или базой данных, отправляются данные в OpsGenie.

Пример триггера с уведомлением в Splunk

Уведомление в OpsGenie:

Обратите внимание! Сработал триггер Уведомление об инцидентах: Количество инцидентов на сервере, базе данных за 1 секунду превысило 1
  • Уведомление об инцидентах — название триггера

Отправка вебхука при добавлении IP‑адреса в черный список

Если в черный список добавлен IP‑адрес, на Webhook URL отправляется вебхук.

Пример триггера с вебхуком, если заблокирован IP

Вебхук:

{
    "summary": "Обратите внимание! Сработал триггер Уведомление о заблокированном IP: IP 1.1.1.1 был заблокирован до 2020-11-10 11:48:22 +0300"
}
  • Уведомление о заблокированном IP — название триггера