Перейти к содержанию

Примеры триггеров

Блокировка IP при 4 и более векторах атак за 1 час (триггер по умолчанию)

Для всех клиентов по умолчанию создан триггер Block IPs with high count of attack vectors. Если за 1 час на защищенный ресурс отправлены 4 или более разных вектора атак с одного IP‑адреса, IP‑адрес блокируется на 1 час.

Триггер по умолчанию

Вы можете выполнить все доступные действия с триггером: изменить, отключить, удалить или скопировать.

Чтобы протестировать триггер:

  1. Отправьте на защищенный ресурс запросы:

    curl http://localhost/instructions.php/etc/passwd
    curl http://localhost/?id='or+1=1--a-<script>prompt(1)</script>'
    

    Запросы содержат 3 вектора атаки: SQLi, XSS и Path Traversal.

  2. Перейдите в Консоль управления Вебмониторэкс → секция Черный список и убедитесь, что IP‑адрес, с которого были отправлены запросы, заблокирован на 1 час.

  3. Откройте секцию События и убедитесь, что запросы отображаются в списке как атаки типа SQLi, XSS и Path Traversal:

    Три разных вектора атаки в интерфейсе

    При поиске вы можете использовать фильтры, например: sqli для атак типа SQLi, xss для атак типа XSS, ptrav для атак типа Path Traversal. Описание всех фильтров доступно в инструкции по использованию поиска.

Отметка о брутфорсе при 31 и более запросе за 30 секунд

Чтобы отметить атаку как брутфорс, необходимо настроить триггер с условием Brute force.

Если за 30 секунд на ресурс https://example.com/api/v1/login отправлен 31 запрос или больше, проставляется отметка о брутфорсе и блокируется IP‑адрес, с которого были отправлены запросы.

Триггер брутфорс

Подробнее о настройке защиты от брутфорса и тестировании триггера →

Отметка об атаке типа forced browsing, если код ответа 404 вернулся 31 и более раз за 30 секунд

Чтобы отметить атаку как принудительный просмотр ресурсов (forced browsing), необходимо настроить триггер с условием Forced browsing.

Если за 30 секунд в ответ на запросы к https://example.com/**.** 31 раз или более вернулся код 404, проставляется отметка о forced browsing и блокируется IP‑адрес, с которого были отправлены запросы.

Примеры эндпоинтов: https://example.com/config.json, https://example.com/password.txt.

Триггер forced browsing

Подробнее о настройке защиты от брутфорса и тестировании триггера →

Отправка данных в Opsgenie при 2 и более инцидентах за секунду

Если за секунду обнаружено хотя бы 2 инцидента с сервером или базой данных, отправляются данные в Opsgenie.

Пример триггера с уведомлением в Opsgenie

Чтобы протестировать триггер, необходимо отправить на защищенный ресурс атаку, которая эксплуатирует активную уязвимость. В Консоли управления Вебмониторэкс → Уязвимости отображаются активные уязвимости ваших приложений и примеры атак, которые могут эксплуатировать уязвимости.

При отправке примера атаки на защищенный ресурс, Вебмониторэкс зарегистрирует инцидент. При 2 и более зарегистрированных инцидентах, в Opsgenie будет отправлено уведомление:

[Вебмониторэкс] Триггер: Количество обнаруженных инцидентов превысило установленный порог

Тип события: incidents_exceeded

Количество обнаруженных инцидентов превысило 1 за 1 минуту.
Это уведомление отправлено, так как сработал триггер "Уведомление об инцидентах".

Дополнительные условия срабатывания триггера:
Цель: сервер, база даннных.

Открыть список событий:
https://my.wallarm.ru/search?q=incidents&time_from=XXXXXXXXXX&time_to=XXXXXXXXXX

Клиент: TestCompany
Вычислительный кластер: RU
  • Уведомление об инцидентах — название триггера

  • TestCompany — название аккаунта вашей компании в Консоли управления Вебмониторэкс

  • RU — Вычислительный кластер Вебмониторэкс, в котором зарегистрирован аккаунт компании

Защита от эксплуатации активных уязвимостей

Чтобы защитить ресурс от эксплуатации активной уязвимости, мы рекомендуем своевременно исправлять уязвимость. Если уязвимость не может быть исправлена, создайте виртуальный патч для блокировки атак, направленных на активную уязвимость.

Отправка вебхука при добавлении IP‑адреса в черный список

Если в черный список добавлен IP‑адрес, на Webhook URL отправляется вебхук.

Пример триггера с вебхуком, если заблокирован IP

Чтобы протестировать триггер:

  1. Перейдите в Консоль управления Вебмониторэкс → Черный список и добавьте IP‑адрес в черный список. Например:

    Добавление IP в ЧС

  2. Убедитесь, что на Webhook URL пришел вебхук:

    [
        {
            "summary": "[Вебмониторэкс] Триггер: В черный список добавлен новый IP-адрес",
            "description": "Тип события: ip_blocked\n\nIP-адрес 1.1.1.1 был добавлен в черный список до 2021-06-10 13:21:49 +0300 по причине Отправка разных типов атак. Вы можете посмотреть список заблокированных IP-адресов в секции \"Черный список\" в Консоли управления Вебмониторэкс. IP заблокирован для приложения Application #8.\nЭто уведомление отправлено, так как сработал триггер \"Уведомление о заблокированном IP\".\n\nКлиент: TestCompany\nВычислительный кластер: RU\n",
            "details": {
            "client_name": "TestCompany",
            "cloud": "RU",
            "notification_type": "ip_blocked",
            "trigger_name": "Уведомление о заблокированном IP",
            "application": "Application #8",
            "reason": "Отправка разных типов атак",
            "expire_at": "2021-06-10 13:21:49 +0300",
            "ip": "1.1.1.1"
            }
        }
    ]
    
    • Уведомление о заблокированном IP — название триггера
    • TestCompany — название аккаунта вашей компании в Консоли управления Вебмониторэкс
    • RU — Вычислительный кластер Вебмониторэкс, в котором зарегистрирован аккаунт компании

Группировка хитов с одного IP‑адреса в атаку

Если за час обнаружено более 100 хитов, отправленных с одного IP‑адреса, следующие хиты с этого IP‑адреса будут сгруппированы в одну атаку в списке событий.

Пример триггера на группировку хитов по IP

Чтобы протестировать триггер, отправьте 101 или более хитов, удовлетворяющих всем следующим условиям:

  • Отправлены в течение 1 часа

  • Одинаковый IP‑адрес источника

  • Разные типы атак или параметры с вредоносными пэйлоадами или адреса отправки (чтобы хиты не попали под основные условия группировки в атаку)

  • Тип атаки отличается от Brute force, Forced browsing, Resource overlimit, Data bomb и Virtual patch

Например:

  • 10 хитов — на example.com

  • 50 хитов — на test.com

  • 60 хитов — на example-domain.com

Первые 100 хитов отобразятся в списке событий как отдельные хиты. Все следующие хиты будут сгруппированы в одну атаку, например:

Атака из хитов с одинаковым IP

Для атаки будут недоступны кнопка Отметить атаку как ложную и опция активной проверки.