Перейти к содержанию

Работа с триггерами

Что такое триггеры?

Триггеры — инструмент для кастомизации уведомлений и реакций на события в системе. С помощью триггеров вы можете:

  • Получать сообщения о важных событиях в корпоративные мессенджеры, системы управления инцидентами и SIEM‑системы

  • Блокировать IP‑адреса, с которых отправлено большое количество запросов или векторов атак

  • Идентифицировать брутфорс и дирбаст по количеству запросов на адреса приложений

Вы можете самостоятельно настроить все компоненты триггера:

  • Условие: событие в системе, для которого настраивается реакция. Например: получение определенного количества атак, блокировка IP‑адреса или добавление нового пользователя в аккаунт.

  • Фильтры: детали условия. Например: тип атаки.

  • Реакция: действие, которое необходимо выполнить при соблюдении условия и фильтров. Например: отправка уведомления в Slack или другую систему из интеграций, блокировка IP‑адреса или отметка о брутфорсе.

Триггеры настраиваются в Консоли управления Валарм в секции Триггеры. Секция доступна только пользователям с ролью Администратор.

Раздел для настройки триггеров

Триггер по умолчанию

Триггер Block IPs with high count of attack vectors создается для всех клиентов по умолчанию.

Подробнее о триггере по умолчанию и другие примеры триггеров →

Создание триггера

Для создания триггера:

  1. Нажмите кнопку Создать триггер.

  2. Выберите условия.

  3. Выберите фильтры.

  4. Добавьте реакции.

  5. Сохраните триггер.

Шаг 1: Выбор условия

Условие — событие в системе, для которого выполняется настройка реакции. Для настройки доступны следующие условия:

  • Количество запросов

  • Количество векторов атак

  • Количество атак

  • Количество хитов

  • Количество инцидентов

  • IP‑адрес заблокирован

  • Пользователь добавлен

Доступные условия

Выберите условие в интерфейсе Консоли управления Валарм и установите значение нижнего порога для реакции, если настройка доступна.

Шаг 2: Выбор фильтров

Фильтры используются для более явного определения условия. Например, вы можете настроить реакцию на атаки с определенным типом: брутфорс, SQL‑инъекция и другие.

Для настройки доступны следующие фильтры:

  • URL (только для количества запросов): полный URL, на который отправлен запрос. Фильтр используется, если защищемый ресурс принимает входящие запросы на любом порту, кроме 80 и 443. Если ресурс принимает запросы на порту 80 или 443, используйте фильтр Название счетчика.

    Формат: host:port/path. Схема должна быть опущена. port принимает любое значение, кроме 80 и 443.

    Например: example.com:8888/login или 255.255.255.255:8888/login.

    Совместимость с другими фильтрами

    Может использоваться со всеми доступными фильтрами, кроме Название счетчика.

  • Название счетчика (только для количества запросов): название счетчика, настроенное в правиле на определение счетчика. Подробности использовании фильтра описаны в примере триггера.

    Совместимость с другими фильтрами

    Может использоваться со всеми доступными фильтрами, кроме URL.

  • Тип: тип атаки в запросе или уязвимости, на которую был направлен запрос.

  • Приложение: приложение, которое получило запрос или в котором был обнаружен инцидент.

  • IP: IP‑адрес, с которого был отправлен запрос.

  • Домен: домен, на который был отправлен запрос или на котором был обнаружен инцидент.

  • Статус ответа сервера: код ответа на полученный запрос.

  • Цель: часть архитектуры приложения, на которую была направлена атака или в которой обнаружен инцидент. Может принимать значения: Сервер, Клиент, База данных.

  • Роль пользователя: роль пользователя, который был добавлен в аккаунт. Может принимать значения: Деплой, Аналитик, Админ.

Выберите один или несколько фильтров в интерфейсе Консоли управления Валарм и установите для них значения. Пример фильтров для условия Количество атак:

Доступные фильтры

Шаг 3: Добавление реакций

Реакция — это действие, которое необходимо выполнить, если указанные условие и фильтр соблюдены. Набор доступных реакций зависит от выбранного условия. Реакции могут быть следующих типов:

  • Отметка о брутфорсе/дирбасте. При этом проставляется только отметка об атаке и запросы отображаются в списке событий с соответствующим типом атаки. Для блокировки запросов вы можете добавить дополнительную реакцию: добавление IP в черный список.

  • Добавление IP в черный список.

  • Отправка уведомления в мессенджер, SIEM‑систему или на Webhook URL, настроенные в интеграциях.

Выберите одну или несколько реакций в интерфейсе Консоли управления Валарм. Пример реакций для условия Количество атак.

Выбор настроенной интеграции

Шаг 4: Сохранение триггера

  1. Нажмите кнопку Создать в окне создания триггера.

  2. Укажите название и описание триггера, если требуется, и нажмите кнопку Готово.

    Если название и описание не указаны, триггер создается с названием по умолчанию в формате New trigger by <username>, <creation_date> и пустым описанием.

Сохраненный триггер появится в общем списке триггеров в Консоли управления Валарм.

Отключение и удаление триггера

  • Отключение триггера останавливает отправку уведомлений и реакций на события до повторного включения триггера. Отключенный триггер сохранится в общем списке и отобразится на вкладке Отключено. Для повторного включения уведомлений и реакции на события используйте опцию Включить.

  • Удаление триггера навсегда останавливает отправку уведомлений и реакцию на события. Удаление триггера невозможно отменить. Триггер исчезнет из общего списка навсегда.

Чтобы отключить или удалить триггер, выберите соответствующую опцию из меню триггера и подтвердите действие если требуется.

Отключение и удаление триггера

Демо‑видео