Работа с триггерами¶
Что такое триггеры?¶
Триггеры — инструмент для кастомизации уведомлений и реакций на события в системе. С помощью триггеров вы можете:
-
Получать сообщения о важных событиях в корпоративные мессенджеры, системы управления инцидентами и SIEM‑системы
-
Блокировать IP‑адреса, с которых отправлено большое количество запросов или векторов атак
-
Идентифицировать брутфорс по количеству запросов на адреса приложений
-
Оптимизировать список событий путем группировки хитов с одинаковыми IP‑адресами источника в одну атаку
Вы можете самостоятельно настроить все компоненты триггера:
-
Условие: событие в системе, для которого настраивается реакция. Например: получение определенного количества атак, блокировка IP‑адреса или добавление нового пользователя в аккаунт.
-
Фильтры: детали условия. Например: тип атаки.
-
Реакция: действие, которое необходимо выполнить при соблюдении условия и фильтров. Например: отправка уведомления в Telegram или другую систему из интеграций, блокировка IP‑адреса или отметка о брутфорсе.
Триггеры настраиваются в Консоли управления Вебмониторэкс в секции Триггеры. Секция доступна только пользователям с ролью Администратор.
Триггер по умолчанию
Триггер Block IPs with high count of attack vectors создается для всех клиентов по умолчанию.
Подробнее о триггере по умолчанию и другие примеры триггеров →
Создание триггера¶
Для создания триггера:
-
Нажмите кнопку Создать триггер.
-
Выберите условия.
-
Выберите фильтры.
-
Добавьте реакции.
-
Сохраните триггер.
Шаг 1: Выбор условия¶
Условие — событие в системе, для которого выполняется настройка реакции. Для настройки доступны следующие условия:
-
Количество векторов атак (вредоносных пэйлоадов) (без учета экспериментальных векторов, обнаруженных на основе регулярных выражений)
-
Количество атак (без учета экспериментальных атак, обнаруженных на основе регулярных выражений)
-
Количество хитов, за исключением:
- Экспериментальных хитов, обнаруженных на основе регулярных выражений. Хиты без метки Экспериментально учитываются.
- Хитов, не включенных в выборку при семплировании.
-
Количество инцидентов
-
IP‑адрес заблокирован
-
Хиты с одного IP, за исключением хитов следующих типов: Brute force, Forced browsing, Resource overlimit, Data bomb и Virtual patch
-
Пользователь добавлен
Выберите условие в интерфейсе Консоли управления Вебмониторэкс и установите значение нижнего порога для реакции, если настройка доступна.
Шаг 2: Выбор фильтров¶
Фильтры используются для более явного определения условия. Например, вы можете настроить реакцию на атаки с определенным типом: брутфорс, SQL‑инъекция и другие.
Для настройки доступны следующие фильтры:
-
URI (только для условий Brute force и Forced browsing): URI, на который отправлен запрос. URI можно задать с помощью конструктора URI или расширенной формы редактирования URI. Тип*: тип атаки в запросе или уязвимости, на которую был направлен запрос.
-
Приложение: приложение, которое получило запрос или в котором был обнаружен инцидент.
-
IP: IP‑адрес, с которого был отправлен запрос.
-
Домен: домен, на который был отправлен запрос или на котором был обнаружен инцидент.
-
Статус ответа сервера: код ответа на полученный запрос.
-
Цель: часть архитектуры приложения, на которую была направлена атака или в которой обнаружен инцидент. Может принимать значения:
Сервер
,Клиент
,База данных
. -
Роль пользователя: роль пользователя, который был добавлен в аккаунт. Может принимать значения:
Деплой
,Аналитик
,Админ
.
Выберите один или несколько фильтров в интерфейсе Консоли управления Вебмониторэкс и установите для них значения. Пример фильтров для условия Количество атак:
Шаг 3: Добавление реакций¶
Реакция — это действие, которое необходимо выполнить, если указанные условие и фильтр соблюдены. Набор доступных реакций зависит от выбранного условия. Реакции могут быть следующих типов:
-
Отметка о брутфорсе/принудительном просмотре ресурсов (forced browsing). При этом проставляется только отметка об атаке и запросы отображаются в списке событий с соответствующим типом атаки. Для блокировки запросов вы можете добавить дополнительную реакцию: добавление IP в черный список.
-
Добавление IP в черный список.
-
Отправка уведомления в SIEM‑систему и на Webhook URL, настроенные в интеграциях.
-
Отправка уведомления в мессенджер, настроенный в интеграциях.
Уведомление о заблокированном IP в мессенджер
Триггеры позволяют отправлять уведомления о заблокированных IP‑адресах только в SIEM‑системы и на Webhook URL. Если выбрано условие IP‑адрес заблокирован, мессенджеры отсутствуют в списке реакций.
-
Группировать следующие хиты в одну атаку, если условие триггера — Хиты с одного IP.
Для такой атаки будут недоступны кнопка Отметить атаку как ложную и опция активной проверки.
Выберите одну или несколько реакций в интерфейсе Консоли управления Вебмониторэкс. Пример реакций для условия Количество атак:
Шаг 4: Сохранение триггера¶
-
Нажмите кнопку Создать в окне создания триггера.
-
Укажите название и описание триггера, если требуется, и нажмите кнопку Готово.
Если название и описание не указаны, триггер создается с названием по умолчанию в формате
New trigger by <username>, <creation_date>
и пустым описанием.
Сохраненный триггер появится в общем списке триггеров в Консоли управления Вебмониторэкс.
Отключение и удаление триггера¶
-
Отключение триггера останавливает отправку уведомлений и реакций на события до повторного включения триггера. Отключенный триггер сохранится в общем списке и отобразится на вкладке Отключено. Для повторного включения уведомлений и реакции на события используйте опцию Включить.
-
Удаление триггера навсегда останавливает отправку уведомлений и реакцию на события. Удаление триггера невозможно отменить. Триггер исчезнет из общего списка навсегда.
Чтобы отключить или удалить триггер, выберите соответствующую опцию из меню триггера и подтвердите действие, если требуется.