Работа с ложным срабатыванием: Атаки¶
Что такое ложное срабатывание?¶
Ложное срабатывание — обнаружение признаков атаки в легитимном запросе.
Проанализировав атаку, вы можете прийти к выводу, что все запросы в атаке или часть из них являются ложным срабатыванием. Чтобы WAF‑нода не распознавала такие запросы как атаки при дальнейшем анализе трафика, вы можете отметить несколько запросов или атаку полностью как ложное срабатывание.
Как работает отметка о ложном срабатывании?¶
-
При добавлении отметки о ложном срабатывании к атаке любого типа, кроме Раскрытие информации, в системе автоматически создается правило, которое отключает анализ таких же запросов на обнаруженные признаки атаки (токены).
-
При добавлении отметки о ложном срабатывании к инциденту с типом атаки Раскрытие информации, в системе автоматически создается правило, которое отключает анализ ответов на обнаруженные признаки уязвимости для таких же запросов.
Созданное правило будет применяться при анализе запросов к защищаемым приложениям. Правило не отображается в Консоли управления Вебмониторэкс, для удаления или изменения правила необходимо написать в техническую поддержку Вебмониторэкс.
Отметка ложного хита¶
Чтобы отметить отдельный хит как ложное срабатывание:
-
Перейдите в секцию События, выберите атаку и разверните список запросов в атаке.
Чтобы сократить время анализа запросов, вы можете исключить из списка те запросы, которые однозначно являются вредоносными. Для этого отфильтруйте запросы по тегу
!known
. -
Определите легитимный запрос и нажмите Ошибка в столбце Действия.
Отметка ложной атаки¶
Чтобы отметить все хиты в атаке как ложное срабатывание:
-
Перейдите в секцию События и определите атаку с легитимными запросами.
Чтобы сократить время анализа атак, вы можете исключить из списка те атаки, которые не могут быть ложными срабатываниями. Для этого отфильтруйте атаки по тегу
!known
. -
Нажмите Отметить атаку как ложную.
Доступность кнопки для хитов, сгруппированных по IP
Если атака состоит из хитов, сгруппированных по IP-адресам, кнопка Отметить атаку как ложную недоступна. Вы можете проставлять соответствующую отметку для отдельных хитов.
Если все запросы в атаке будут помечены ложными, то информация об атаке будет выглядеть следующим образом:
Отмена отметки о ложном срабатывании¶
Чтобы отменить отметку о ложном срабатывании хита или атаки, пожалуйста, напишите в техническую поддержку Вебмониторэкс. Также, вы можете отменить действие через диалоговое окно в Консоли управления в течение нескольких секунд после отметки.
Отображение ложных срабатываний в списке атак¶
Вы можете управлять отображением ложных срабатываний в списке атак с помощью отдельного фильтра в Консоли управления. В фильтре доступны следующие опции:
-
Стандартный вид (по умолчанию): только реальные атаки
-
С ложными срабатываниями: реальные атаки и ложные срабатывания
- Только ложные срабатывания