Атаки. Мониторинг и анализ инцидентов безопасности

Что такое Атаки

Раздел Атаки — это централизованный журнал безопасности, где собирается и систематизируется информация обо всех зафиксированных инцидентах и подозрительной активности, направленной на ваши веб-ресурсы. Каждая запись в журнале представляет собой событие безопасности, которое было обнаружено и проанализировано системой защиты.

WAF автоматически группирует отдельные события в записи, если у них совпадают одновременно три ключевых параметра: тип триггера (угрозы), IP-адрес или источник атаки, а также целевой ресурс. Такая группировка позволяет эффективно анализировать масштабные атаки и выявлять закономерности в действиях злоумышленников. Как выглядит журнал атак:

Система фильтрации событий

Воспользуйтесь фильтрами: они позволяют гибко управлять отображаемыми записями, облегчая навигацию и анализ инцидентов.

Триггеры — основная классификация типов угроз, включающая широкий спектр векторов атак:

• Инъекции: SQLi (SQL-инъекции), NoSQL (инъекции в NoSQL базы), LFI Injection (локальные файловые инъекции), RFI (удалённые файловые инъекции), SSTI (инъекции в серверные шаблоны)
• Веб-уязвимости: XSS (межсайтовый скриптинг), RCE (удалённое выполнение кода), UFU (неограниченная загрузка файлов)
• Анализ и разведка: Scanner (сканеры уязвимостей), Source code disc. (раскрытие исходного кода), Susp. access (подозрительный доступ)
• Атаки на доступность: Flood (флуд-атаки), DDoS Analysis (анализ DDoS-активности), Brute-force (атаки перебора)
• Обход защиты: Evasion (техники обхода), WAF bypass (обход WAF), UWA (нежелательная активность пользователей)
• Автоматизированная активность: Bot (ботнеты), AI Antibot (ML-модуль для защиты от ботов и анализа API)
• Системные угрозы: Virus (вирусная активность), Antivirus (антивирусные срабатывания), Archive access (доступ к архивам)
• Специализированные: OSCI (инъекции команд ОС), API Firewall (защита API), User-defined (пользовательские правила)
• Прочие: Other (прочие угрозы), Internal error (внутренние ошибки), Blocked IP (заблокированные IP)

Страны — географическая фильтрация по происхождению атак, позволяющая выявить региональные угрозы и применить геоблокировку при необходимости.

IP-адреса — фильтрация по конкретным адресам или диапазонам, что особенно полезно для отслеживания повторяющихся атак от одних и тех же источников.

Ресурсы — фильтрация по целевым доменам и путям, помогающая выявить наиболее атакуемые части инфраструктуры.

Временные интервалы — система двойной фильтрации времени:

• Предустановленные периоды: последняя неделя, последние 48 часов, последние 24 часа, последние 8 часов, последние 4 часа, последний час
• Календарный интерфейс с возможностью точного выбора даты и времени начала и окончания периода анализа

Фильтры работают в связке: при изменении календарного интервала вручную предустановленный период автоматически переключается на "Свой интервал".

Структура журнала атак

Журнал представлен в виде списка в табличном формате.

В этом списке отображены следующие столбцы:

Дата — временная метка первого события в группе, позволяющая хронологически отследить развитие угроз.

Хиты — количественный показатель интенсивности атак, отображающий число отдельных запросов, сгруппированных в данное событие. Высокие значения могут указывать на автоматизированные атаки или DDoS-активность.

Триггер — тип обнаруженной угрозы согласно классификации системы безопасности.

Источник / IP — информация об атакующей стороне. При множественных источниках отображается наиболее активный.

Антибот — результат анализа на предмет автоматизированной активности, помогающий отличить человеческие действия от ботов.

Путь / Ресурс — целевой путь или домен, на который направлена атака, что позволяет выявить наиболее уязвимые точки инфраструктуры.

Детальный анализ событий

Каждая групповая запись может быть развёрнута для просмотра составляющих её отдельных атак:

Разверните отдельные события, чтобы получить максимально подробную информацию и полную техническую картину:

Идентификационные данные:

• ID события — уникальный идентификатор в системе
• ID запроса — техническая метка для сопоставления с логами
• ID сигнатуры — ссылка на правило обнаружения (для сигнатурного анализа)
• ID блокировки — идентификатор применённой меры противодействия

Техническая информация о запросе:

• HTTP-метод (GET, POST, PUT, DELETE и др.)
• Полный путь запроса с параметрами
• User-Agent браузера или инструмента атаки
• Заголовки HTTP-запроса
• Параметры запроса (Query String)
• Тело запроса (для POST/PUT запросов)
• Cookie данные
• Referer — источник перехода

Описание — человекочитаемое название типа обнаруженной угрозы.

Зона запроса — конкретная часть HTTP-запроса, в которой была обнаружена вредоносная активность (URL, User-Agent, заголовки, тело запроса и т.д.).

Создание правил безопасности

Для событий, относящихся к сигнатурному анализу, доступна функция быстрого создания правил непосредственно из контекста атаки. К сигнатурному анализу относятся следующие типы триггеров: SQLi, NoSQL, XSS, RCE, LFI Injection, RFI, SSTI, Scanner, OSCI, а также некоторые типы из категорий Evasion и WAF bypass:

Нажмите кнопку Создать правило в развёрнутом описании события, и система автоматически предзаполнит форму создания правила:

Автоматически заполняемые поля:

• ID сигнатуры — извлекается из контекста события
• Ресурс — целевой путь атаки

Настраиваемые параметры:

• Алиас — дополнительный домен, внесённый в настройках ресурса.
• Зона применения — выбор из 10 доступных вариантов: Path, ARGS, HEADERS, Cookie, User-agent, Content-Type, X-Forward-For, Range, Referer, noMLA.
• Дополнительные условия — система уточняющих фильтров с поддержкой регулярных выражений.

Система дополнительных условий позволяет создавать сложные правила с множественными критериями. Каждое дополнительное условие включает зону уточнения (BODY, Path, ARGS, HEADERS) и правило уточнения с опциональной поддержкой регулярных выражений (Regex). Количество дополнительных условий не ограничено.

Подробнее о создании Правил вы можете узнать в статье.

Обработка ложных срабатываний

Специфика AI Antibot триггеров

Для событий, классифицированных как "AI Antibot", доступна специальная функция коррекции ложных срабатываний. Когда система машинного обучения ошибочно классифицирует легитимную активность пользователя как ботнет или автоматизированную угрозу, вы можете исправить эту ошибку непосредственно из интерфейса журнала атак.

Процесс создания исключения

1. Нажмите на кнопку Ложное срабатывание в развёрнутом описании события с триггером "AI Antibot":

2. Появится окно Создать ложное срабатывание с автоматически заполненным полем Url из контекста события:

3. Нажмите Добавить.

После нажатия кнопки система:

• • сохранит информацию о ложном срабатывании;
  • передаст данные в модуль машинного обучения для корректировки алгоритмов;
  • автоматически добавит запись во вкладку Ложные срабатывания раздела Настройки.

Эффект на систему обучения

После обработки информации о ложном срабатывании:

• ML-модуль анализирует характеристики запроса, который был ошибочно заблокирован
• Алгоритмы обнаружения корректируются для предотвращения аналогичных ошибок в будущем
• Система запоминает паттерны легитимной активности для данного ресурса

Поробнее о Ложных срабатываниях можно узнать в статье  «Настройки. Управление правилами и исключениями WAF».

Период хранения данных

Система автоматически ведет журнал всех зафиксированных событий безопасности с ограниченным периодом хранения. Общее время хранения записей атак составляет 30 дней с момента их первоначального обнаружения. По истечении этого срока записи автоматически удаляются из системы для оптимизации производительности и соблюдения политик управления данными.

Практическое применение

Раздел Атаки служит основой для:

Оперативного реагирования — быстрое выявление активных угроз и принятие мер по их нейтрализации.

Аналитики безопасности — выявление паттернов атак, источников угроз и наиболее уязвимых компонентов инфраструктуры.

Настройки защиты — создание целевых правил безопасности на основе реальных инцидентов.

Соответствия требованиям — ведение журнала инцидентов безопасности для аудита и соответствия нормативным требованиям.