Примеры триггеров¶
Блокировка IP при 4 и более векторах атак за 3 часа (триггер по умолчанию)¶
Для всех клиентов по умолчанию создан триггер Block IPs with high count of attack vectors. Если за 3 часа на защищенный ресурс отправлены 4 или более разных вектора атак с одного IP‑адреса, IP‑адрес блокируется на 1 час.
Вы можете выполнить все доступные действия с триггером: изменить, отключить, удалить или скопировать.
Отметка о брутфорсе или дирбасте при 31 и более запросе за 30 секунд¶
Фильтр по названию счетчика¶
Если за 30 секунд на ресурс https://example.com/api/frontend/login
отправлен 31 запрос или больше, проставляется отметка о брутфорсе и блокируется IP‑адрес, с которого были отправлены запросы.
При этом путь запросов https://example.com/api/frontend/login
описан в правиле Определить счетчик атак перебора.
Чтобы отметить атаку как дирбаст (forced browsing), необходимо использовать правило Определить счетчик атак forced browsing.
Подробнее о настройке защиты от брутфорса →
Фильтр по URL¶
Если за 30 секунд на ресурс example.com:8888/api/frontend/login
отправлен 31 запрос или больше:
-
Проставляется отметка о брутфорсе (brute‑force) и блокируется IP‑адрес, с которого были отправлены запросы.
-
Если в ответ на все запросы вернулся код 404, проставляется отметка о дирбасте (forced browsing) и блокируется IP‑адрес, с которого были отправлены запросы.
Формат значения URL
Значение фильтра URL должно соответствовать формату host:port/path
. Схема должна быть опущена. port
принимает любое значение, кроме 80 и 443.
Подробнее о настройке защиты от брутфорса →
Уведомление в Slack при 2 и более хитах SQLi за 1 минуту¶
Если за 1 минуту на защищенный ресурс отправлено 2 или более хита типа SQLi, отправляется уведомление в Slack.
Уведомление в Slack от пользователя wallarm:
Обратите внимание! Сработал триггер Уведомление о хитах SQLi: Количество хитов с типом sqli за 1 минуту превысило 1
Уведомление о хитах SQLi
— название триггера
Уведомления на email и в Slack при добавлении пользователя¶
Если в аккаунт добавлен пользователь с ролью Аналитик или Администратор, отправляется уведомление по email и в Slack.
-
Уведомление по email:
-
Уведомление в Slack от пользователя wallarm:
Обратите внимание! Сработал триггер Добавление нового пользователя: Новый пользователь user@example.com с правами Администратор был добавлен Иван Иванов для вашего проекта.
Добавление нового пользователя
— название триггераuser@example.com
— email добавленного пользователяАдминистратор
— роль добавленного пользователяИван Иванов
— имя пользователя, который добавил нового пользователя
Отправка данных в OpsGenie при 2 и более инцидентах за секунду¶
Если за секунду обнаружено хотя бы 2 инцидента с сервером или базой данных, отправляются данные в OpsGenie.
Уведомление в OpsGenie:
Обратите внимание! Сработал триггер Уведомление об инцидентах: Количество инцидентов на сервере, базе данных за 1 секунду превысило 1
Уведомление об инцидентах
— название триггера
Отправка вебхука при добавлении IP‑адреса в черный список¶
Если в черный список добавлен IP‑адрес, на Webhook URL отправляется вебхук.
Вебхук:
{
"summary": "Обратите внимание! Сработал триггер Уведомление о заблокированном IP: IP 1.1.1.1 был заблокирован до 2020-11-10 11:48:22 +0300"
}
Уведомление о заблокированном IP
— название триггера