«InfoWatch Web Application Firewall»

Работа с атаками и инцидентами

Просмотр атак и инцидентов

На вкладке Атаки веб-интерфейса размещается информация об атаках и инцидентах. По умолчанию выводятся данные за последний день.

Вы можете воспользоваться поиском или выбрать период вручную.

InfoWatch WAF автоматически группирует связанные между собой вредоносные запросы в единую сущность – атаки. Например, InfoWatch WAF видит ряд запросов на один домен с атакой на один и тот же параметр. Такие запросы объединяются в одну сущность, и на самом высоком уровне в окне Атаки показаны именно они.

Группируются запросы со следующими совпадающими полями: тип атаки, домен, путь, параметр, кроме случаев атак в заголовках, cookies и атак типа дирбаст, для которых путь не учитывается.

Вкладка Атаки выводит информацию по следующим столбцам:

    Риск – степень риска зафиксированных атак. Атаки - количество связанных между собой вредоносных запросов. Отображаемое число показывает количество связанных между собой вредоносных запросов за указанный период. Дата – дата и время начала и окончания проведения атаки. Цель – тип атакуемого ресурса. IP-адрес – источник атаки, с которого пришел вредоносный запрос. Если запросы пришли с нескольких IP-адресов, то показывается IP-адрес, с которого пришло наибольшее количество запросов. Тип – тип вредоносного кода. Метод – метод атаки. Параметр – параметры вредоносного запроса. Домен – домен, на который направлен вредоносный запрос.

Использование фильтров

Вы можете делать выборку данных по атакам с помощью фильтров. Доступные для таблицы фильтры показаны над самой таблицей и описаны ниже.

Выборка атак для просмотра

Система позволяет осуществлять выборку атак по следующим параметрам:

    степень риска; вектор атаки (цель); IP-адрес; тип атаки; домен; номер ошибки (статус).

Ранжировать атаки по степени риска можно по следующим уровням:

    Низкий; Средний; Высокий;

Вектор атаки может принимать следующие значения:

    Клиент; Сервер; Database.

Для организации выборки доступны следующие типы атак:

    SQLi; XSS; RCE; XXE; Brute; Dirbust; WARN; INFO; Path Traversal; CRLF; REDIR; NoSQLI.

Атаку можно найти по номеру ошибки уже заданному в системе или задать свой номер ошибки.

Анализ атак

InfoWatch WAF позволяет в режиме реального времени просматривать информацию о запросах, идентифицированных модулем WAF как атаки.

Чтобы просмотреть информацию об обнаруженных атаках, в главном окне (раздел Сайты) выберите необходимый сайт, нажав на его адрес, либо на виджет Web Application Firewall. Отобразится вкладка «Атаки на сайт».

Под диаграммой «Атаки на сайт» отображается таблица с подробной информацией о хакерских атаках: дата, IP-адреса, с которых проводилась атака, цель атаки, тип, метод и другие. Выбрав отдельную строку, вы можете получить подробную информацию об отдельных запросах, а при выборе отдельного запроса – его код.

Если при просмотре запроса Вы сделаете вывод о том, что он был ошибочно определен Системой как атака – нажмите «Отметить как ошибку». Данные об этой атаке будут удалены.

Чтобы заблокировать IP-адрес атакующего ресурса, нажмите «Заблокировать по IP». Будут заблокированы IP-адреса из текущей группы атак. Длительность блокировки указывается в меню Настройки -> WAF. Значение по умолчанию - одни сутки.