Создание триггера¶

Триггеры создаются в Консоли управления Вебмониторэкс в разделе Триггеры. Раздел доступен только пользователям с ролью Администратор.

Основные шаги для создания триггера:

Нажмите кнопку Создать триггер.
Выберите условия.
Укажите наименование для триггера и добавьте описание.
Выберите фильтры.
Добавьте реакции.
Сохраните триггер.

Шаг 1: Выбор типа триггера¶

Условие — событие в системе, для которого выполняется настройка реакции. Для настройки доступны следующие условия:

Brute force Подробнее о триггере, параметрах, принципе работы и тестировании
Forced browsing Подробнее о триггере, параметрах, принципе работы и тестировании
BOLA
Слабый JWT
Контроль безопасности cookie
Количество векторов атак (вредоносных пэйлоадов) (без учета экспериментальных векторов, обнаруженных на основе регулярных выражений)
Количество атак (без учета экспериментальных атак, обнаруженных на основе регулярных выражений)
Количество хитов, за исключением:
- Экспериментальных хитов, обнаруженных на основе регулярных выражений. Хиты без метки Экспериментально учитываются.
- Хитов, не включенных в выборку при семплировании.
Количество инцидентов
IP‑адрес заблокирован
Хиты с одного IP, за исключением хитов следующих типов: Brute force, Forced browsing, BOLA, Resource overlimit, Data bomb и Virtual patch
Пользователь добавлен

Выберите условие в интерфейсе Консоли управления Вебмониторэкс и установите значение нижнего порога для реакции, если настройка доступна.

Шаг 2: Наименование и описание¶

Название и описание помогут быстро ориентироваться в списке триггеров в разделе Триггеры.

Наименование и описание

Если название и описание не указаны, триггер создается с названием по умолчанию в формате New trigger by <username>, <creation_date> и пустым описанием.

Шаг 3: Выбор фильтров¶

Фильтры используются для более явного определения условия. Например, вы можете настроить реакцию на атаки с определенным типом: брутфорс, SQL‑инъекция и другие.

Доступны следующие фильтры:

URI (только для условий Brute force, Forced browsing и BOLA): URI, на который отправлен запрос. URI можно задать с помощью конструктора URI или расширенной формы редактирования URI.
Тип: тип атаки в запросе или уязвимости, на которую был направлен запрос.
Приложение: приложение, которое получило запрос или в котором был обнаружен инцидент.
IP: IP‑адрес, с которого был отправлен запрос.
Домен: домен, на который был отправлен запрос или на котором был обнаружен инцидент.
Статус ответа сервера: код ответа на полученный запрос.
Цель: часть архитектуры приложения, на которую была направлена атака или в которой обнаружен инцидент. Может принимать значения: Сервер, Клиент, База данных.
Роль пользователя: роль пользователя, который был добавлен в аккаунт. Может принимать значения: Деплой, Аналитик, Админ.

Выберите один или несколько фильтров и установите для них значения. Пример фильтров для условия Количество атак:

Шаг 4: Добавление реакций¶

Реакция — это действие, которое необходимо выполнить, если указанные условие и фильтр соблюдены. Набор доступных реакций зависит от выбранного условия. Реакции могут быть следующих типов:

Отметка о брутфорсе/принудительном просмотре ресурсов (forced browsing). При этом проставляется только отметка об атаке и запросы отображаются в списке событий с соответствующим типом атаки. Для блокировки запросов вы можете добавить дополнительную реакцию: добавление IP в черный список.
Отметка об атаке типа BOLA. При этом проставляется только отметка об атаке и запросы отображаются в списке событий с соответствующим типом атаки. Для блокировки запросов вы можете добавить дополнительную реакцию: добавление IP в черный список.
Зарегистрировать уязвимость (для cookie).
Зарегистрировать уязвимость JWT.
Добавление IP в черный список.
Добавление IP в серый список.
Отправка уведомления в SIEM‑систему и на Webhook URL, настроенные в интеграциях.
Отправка уведомления в мессенджер, настроенный в интеграциях.

Уведомление о заблокированном IP в мессенджер

Триггеры позволяют отправлять уведомления о заблокированных IP‑адресах только в SIEM‑системы и на Webhook URL. Если выбрано условие IP‑адрес заблокирован, мессенджеры отсутствуют в списке реакций.
Группировать следующие хиты в одну атаку, если условие триггера — Хиты с одного IP.

Для такой атаки будут недоступны кнопка Отметить атаку как ложную и опция активной проверки.

Выберите одну или несколько реакций в интерфейсе Консоли управления Вебмониторэкс. Пример реакций для условия Количество атак:

Шаг 4: Сохранение триггера¶

Нажмите кнопку Создать в окне создания триггера и дождитесь синхронизации Вычислительного кластера и ноды Вебмониторэкс (обычно 2-4 минуты).

Сохраненный триггер появится в общем списке триггеров в Консоли управления Вебмониторэкс.