Триггеры. Настроить уведомления и реакции для WAF

Что такое Триггеры

Триггеры — это инструмент, позволяющий настраивать уведомления и реакции на события, которые WAF по умолчанию игнорирует (напр., поведенческие атаки).

Каждый триггер состоит из трёх компонентов:

• Условия — события, для которого настраивается реакция.

• Фильтра — детализации условия (напр., тип атаки).

• Реакции — действия, которое выполнит WAF при соблюдении условий и фильтров.

Например, вы хотите получать уведомления на почту при выявлении более 20 000 XSS-атак в день. Тогда вам нужно создать триггер с такими компонентами:

• Условие: «Количество атак» более чем «20000» за «день»

• Фильтр: «Тип» атаки = XSS

• Реакция: «Отправить email»

Так выглядит вкладка с активными триггерами:

Как создать триггер

1. Перейдите в раздел Триггеры и нажмите на кнопку +Создать триггер.

Откроется новое окно — остальные действия выполняйте в нём.

2. Выберите подходящее условие из списка справа.

Доступны десять условий:

1) Brute force. К атакам brute force относятся, например, систематический перебор паролей и ID сессий, а также подмена данных или spoofing. Признаком такой атаки являются множественные запросы к одному и тому же эндпоинту в определённый промежуток времени.

2) Принудительный просмотр. Это поведенческая атака, в процессе которой атакующий пытается найти информацию о компонентах и конфигурации приложения в директориях и файлах. Выявить такую атаку можно по многочисленным запросам к разным эндпоинтам, на которые приложение отвечает 404 кодом.

3) BOLA. BOLA (Broken Object Level Authorization) — атака, которая позволяет злоумышленнику обойти авторизацию и с помощью API-запроса получить или изменить компонент приложения.

По умолчанию WAF не защищает приложения от атак brute force, принудительного просмотра или BOLA. Так, при выборе условий 1, 2, или 3, вы укажете WAF на признаки атаки и определите, как файрвол будет на них реагировать.

4) Количество вредоносных полезных нагрузок. Вредоносной нагрузкой считается часть запроса с указаниями о том, какие действия должны совершаться над приложением. С помощью триггера вы можете указать на какое количество запросов с такой нагрузкой должен ответить WAF.

5–7) Количество атак/попаданий/инцидентов. Выбирая одно из условий 5-7, вы определяете, о каком количестве атак, попаданий или инцидентов WAF предупредит вас в email-уведомлении.

8) IP-адрес запрещенного списка. Условие определяет, какие IP-адреса будут заблокированы.

9) Попадания с одного IP. Укажите число попаданий с одного IP-адреса, после которого они будут считаться атакой и попадут в раздел События.

10) Пользователь добавлен. С помощью этого условия, вы попросите WAF отправлять email-уведомления, когда какой-либо пользователь добавляется в ваш WAF-аккаунт.

3. (опционально) После выбора условия добавьте фильтры. Используйте их, чтобы конкретизировать условия.

Список доступных фильтров зависит от выбранного условия. В примере ниже в колонке справа показаны фильтры для условия «Количество атак».

Например, мы добавили фильтр «Тип» и выбрали типы xss, sqli и rce, чтобы определить, о каких типах атак мы хотим получать уведомления.

Нажмите на фильтр, чтобы добавить его в триггер. Затем вы сможете добавить значение фильтра.

Доступны восемь фильтров:

• URI (только для условий Brute force, Принудительного просмотра и BOLA) — это эндпоинт, на который отправляются запросы.

• Тип — тип атаки в запросе или уязвимости, на которую направлен запрос.

• Приложение — приложение, которое приняло запрос или в котором он был найден.

• IP — IP-адрес, с которого был отправлен запрос.

• Домен — домен приложения, на который был отправлен запрос или на котором запрос был найден.

• Статус ответа — код ответа, которым приложение ответило на запрос.

• Цель — часть приложения (database, server или client), на которую была направлена атака, или в которой она была найдена.

• Пользовательская роль — роль пользователя, добавленного в аккаунт. Может принимать значения: deploy, analytic, admin, superadmin, partner_admin, auditor, partner_auditor, partner_analytic.

4. Установите реакцию. Она определяет, как будет действовать WAF, если соблюдены условия и фильтры. Набор предлагаемых реакций также зависит от выбранного условия.

На примере ниже показаны реакции на условие Brute force.

Нажмите на кнопку Добавить реакцию, выберите одну из предлагаемых в списке справа и настройте её, если необходимо.

Какие реакции доступны:

• Отметить как brute force/принудительный просмотр/BOLA. WAF покажет атаки с типом brute force, принудительный просмотр или BOLA в разделе События, но не заблокирует их.

• Черный список IP-адресов. WAF заблокирует атаку и добавит IP-адрес в чёрный список.

• Отправить email. WAF отправит уведомление на указанный email-адрес. Чтобы установить эту реакцию, в разделе Настройки заранее создайте интеграцию и добавьте в неё email-адрес.

• Сгруппируйте следующие удары в одну атаку. WAF сгруппирует удары с одного IP и покажет их в рамках одной атаки в разделе События.

5. Введите название и описание триггера (если необходимо).

Как отключить или удалить триггер

Перейдите в раздел Триггеры, нажмите на иконку ··· напротив триггера и нажмите на желаемое действие: Отключить или Удалить.

• Если вы удалите триггер, он будет остановлен и удалён навсегда.

• При отключении триггера, его реакции будут остановлены, пока вы не возобновите работу триггера. Отключенные триггеры отображаются в общем списке. Чтобы включить их, выберите Включить.