Примеры триггеров¶

Добавление IP в серый список при 4 и более векторах атак за 1 час¶

Если за 1 час на защищенный ресурс отправлены 4 или более разных вектора атак с одного IP‑адреса, IP‑адрес добавляется в серый список на 1 час. Это триггер сработает, только если WAF-нода работает в режиме мягкой блокировки.

Если аккаунт в Консоли управления Валарм был создан недавно, этот триггер доступен по умолчанию. Вы можете выполнить все доступные действия с триггером: изменить, отключить, удалить или скопировать.

Чтобы протестировать триггер:

Убедитесь, что WAF-нода работает в режиме мягкой блокировки.
Отправьте на защищенный ресурс запросы:
```
curl http://localhost/instructions.php/etc/passwd
curl http://localhost/?id='or+1=1--a-<script>prompt(1)</script>'
```
Запросы содержат 3 вектора атаки: SQLi, XSS и Path Traversal.
Перейдите в Консоль управления Валарм → секция Списки IP-адресов → Серый список и убедитесь, что IP‑адрес, с которого были отправлены запросы, добавлен в список на 1 час.
Откройте секцию События и убедитесь, что запросы отображаются в списке как атаки типа SQLi, XSS и Path Traversal:

При поиске вы можете использовать фильтры, например: sqli для атак типа SQLi, xss для атак типа XSS, ptrav для атак типа Path Traversal. Описание всех фильтров доступно в инструкции по использованию поиска.

Блокировка IP при 4 и более векторах атак за 1 час¶

Если за 1 час на защищенный ресурс отправлены 4 или более разных вектора атак с одного IP‑адреса, IP‑адрес блокируется на 1 час.

Чтобы протестировать триггер:

Отправьте на защищенный ресурс запросы:
```
curl http://localhost/instructions.php/etc/passwd
curl http://localhost/?id='or+1=1--a-<script>prompt(1)</script>'
```
Запросы содержат 3 вектора атаки: SQLi, XSS и Path Traversal.
Перейдите в Консоль управления Валарм → секция Списки IP‑адресов → Черный список и убедитесь, что IP‑адрес, с которого были отправлены запросы, заблокирован на 1 час.
Откройте секцию События и убедитесь, что запросы отображаются в списке как атаки типа SQLi, XSS и Path Traversal:

При поиске вы можете использовать фильтры, например: sqli для атак типа SQLi, xss для атак типа XSS, ptrav для атак типа Path Traversal. Описание всех фильтров доступно в инструкции по использованию поиска.

При срабатывании этого триггера все запросы, отправленные с заблокированного IP-адреса будут блокироваться, включая запросы без признаков атак. Чтобы блокировать запросы только с признаками атак, вы можете использовать триггер на добавление IP-адреса в серый список.

Отметка о брутфорсе при 31 и более запросе за 30 секунд¶

Чтобы отметить атаку как брутфорс, необходимо настроить триггер с условием Brute force.

Если за 30 секунд на ресурс https://example.com/api/v1/login отправлен 31 запрос или больше, проставляется отметка о брутфорсе и блокируется IP‑адрес, с которого были отправлены запросы.

Подробнее о настройке защиты от брутфорса и тестировании триггера →

Отметка об атаке типа forced browsing, если код ответа 404 вернулся 31 и более раз за 30 секунд¶

Чтобы отметить атаку как принудительный просмотр ресурсов (forced browsing), необходимо настроить триггер с условием Forced browsing.

Если за 30 секунд в ответ на запросы к https://example.com/**.** 31 раз или более вернулся код 404, проставляется отметка о forced browsing и блокируется IP‑адрес, с которого были отправлены запросы.

Примеры эндпоинтов: https://example.com/config.json, https://example.com/password.txt.

Подробнее о настройке защиты от брутфорса и тестировании триггера →

Уведомление в Slack при 2 и более хитах SQLi за 1 минуту¶

Если за 1 минуту на защищенный ресурс отправлено 2 или более хита типа SQLi, отправляется уведомление в Slack.

Чтобы протестировать триггер:

Отправьте на защищенный ресурс запросы:

curl http://localhost/data/UNION%20SELECT
curl http://localhost/?id=or+1=1--a-

Перейдите в Консоль управления Валарм → События и убедитесь, что в списке отображаются 3 атаки типа SQLi. Во втором запросе были обнаружены 2 атаки: до и после применения парсера percent.

Откройте канал Slack и убедитесь, что вы получили уведомление от пользователя wallarm:

[Wallarm] Триггер: Количество обнаруженных хитов превысило установленный порог

Тип события: attacks_exceeded

Количество обнаруженных хитов превысило 1 за 1 минуту.
Это уведомление отправлено, так как сработал триггер "Уведомление о хитах SQLi".

Дополнительные условия срабатывания триггера:
Тип атаки: SQLi.

Открыть список событий:
https://my.wallarm.com/search?q=attacks&time_from=XXXXXXXXXX&time_to=XXXXXXXXXX

Клиент: TestCompany
Облако: EU

Уведомление о хитах SQLi — название триггера
TestCompany — название аккаунта вашей компании в Консоли управления Валарм
EU — Облако Валарм, в котором зарегистрирован аккаунт компании

Уведомления на email и в Slack при добавлении пользователя¶

Если в аккаунт добавлен пользователь с ролью Аналитик или Администратор, отправляется уведомление по email и в Slack.

Пример триггера с уведомлением по email и в Slack

Чтобы протестировать триггер:

Перейдите в Консоль управления Валарм → Настройки → Пользователи и добавьте нового пользователя. Например:
Перейдите к email и убедитесь, что вы получили письмо:
Откройте канал Slack и убедитесь, что вы получили уведомление от пользователя wallarm:
```
[Wallarm] Триггер: Новый пользователь добавлен в аккаунт компании

Тип события: create_user

Новый пользователь John Smith <johnsmith@example.com> с ролью Аналитик был добавлен в аккаунт компании пользователем John Doe <johndoe@example.com>.
Это уведомление отправлено, так как сработал триггер "Добавление нового пользователя".

Клиент: TestCompany
Облако: EU
```
- John Smith и johnsmith@example.com — данные добавленного пользователя
- Аналитик — роль добавленного пользователя
- John Doe и johndoe@example.com — данные о пользователе, который добавил нового пользователя
- Добавление нового пользователя — название триггера
- TestCompany — название аккаунта вашей компании в Консоли управления Валарм
- EU — Облако Валарм, в котором зарегистрирован аккаунт компании

Отправка данных в Opsgenie при 2 и более инцидентах за секунду¶

Если за секунду обнаружено хотя бы 2 инцидента с сервером или базой данных, отправляются данные в Opsgenie.

Пример триггера с уведомлением в Opsgenie

Чтобы протестировать триггер, необходимо отправить на защищенный ресурс атаку, которая эксплуатирует активную уязвимость. В Консоли управления Валарм → Уязвимости отображаются активные уязвимости ваших приложений и примеры атак, которые могут эксплуатировать уязвимости.

При отправке примера атаки на защищенный ресурс, Валарм зарегистрирует инцидент. При 2 и более зарегистрированных инцидентах, в Opsgenie будет отправлено уведомление:

[Wallarm] Триггер: Количество обнаруженных инцидентов превысило установленный порог

Тип события: incidents_exceeded

Количество обнаруженных инцидентов превысило 1 за 1 минуту.
Это уведомление отправлено, так как сработал триггер "Уведомление об инцидентах".

Дополнительные условия срабатывания триггера:
Цель: сервер, база даннных.

Открыть список событий:
https://my.wallarm.com/search?q=incidents&time_from=XXXXXXXXXX&time_to=XXXXXXXXXX

Клиент: TestCompany
Облако: EU

Уведомление об инцидентах — название триггера
TestCompany — название аккаунта вашей компании в Консоли управления Валарм
EU — Облако Валарм, в котором зарегистрирован аккаунт компании

Защита от эксплуатации активных уязвимостей

Чтобы защитить ресурс от эксплуатации активной уязвимости, мы рекомендуем своевременно исправлять уязвимость. Если уязвимость не может быть исправлена, создайте виртуальный патч для блокировки атак, направленных на активную уязвимость.

Отправка вебхука при добавлении IP‑адреса в черный список¶

Если в черный список добавлен IP‑адрес, на Webhook URL отправляется вебхук.

Пример триггера с вебхуком, если заблокирован IP

Чтобы протестировать триггер:

Перейдите в Консоль управления Валарм → секция Списки IP‑адресов → Черный список и добавьте IP‑адрес в черный список. Например:

Убедитесь, что на Webhook URL пришел вебхук:

[
    {
        "summary": "[Wallarm] Триггер: В черный список добавлен новый IP-адрес",
        "description": "Тип события: ip_blocked\n\nIP-адрес 1.1.1.1 был добавлен в черный список до 2021-06-10 13:21:49 +0300. Вы можете посмотреть список заблокированных IP-адресов в секции \"Черный список\" в Консоли управления Валарм.\nЭто уведомление отправлено, так как сработал триггер \"Уведомление о заблокированном IP\".\n\nКлиент: TestCompany\nОблако: EU\n",
        "details": {
        "client_name": "TestCompany",
        "cloud": "EU",
        "notification_type": "ip_blocked",
        "trigger_name": "Уведомление о заблокированном IP",
        "expire_at": "2021-06-10 13:21:49 +0300",
        "ip": "1.1.1.1"
        }
    }
]

Уведомление о заблокированном IP — название триггера
TestCompany — название аккаунта вашей компании в Консоли управления Валарм
EU — Облако Валарм, в котором зарегистрирован аккаунт компании

Группировка хитов с одного IP‑адреса в атаку¶

Если за час обнаружено более 100 хитов, отправленных с одного IP‑адреса, следующие хиты с этого же IP‑адреса будут сгруппированы в одну атаку в списке событий.

Пример триггера на группировку хитов по IP

Чтобы протестировать триггер, отправьте 101 или более хитов, удовлетворяющих всем следующим условиям:

Отправлены в течение 1 часа
Одинаковый IP‑адрес источника
Разные типы атак или параметры с вредоносными пэйлоадами или адреса отправки (чтобы хиты не попали под основные условия группировки в атаку)
Тип атаки отличается от Brute force, Forced browsing, Resource overlimit, Data bomb и Virtual patch

Например:

10 хитов — на example.com
50 хитов — на test.com
60 хитов — на example-domain.com

Первые 100 хитов отобразятся в списке событий как отдельные хиты. Все следующие хиты будут сгруппированы в одну атаку, например:

Для атаки будут недоступны кнопка Отметить атаку как ложную и опция активной проверки.