Работа с триггерами¶

Что такое триггеры?¶

Триггеры — инструмент для кастомизации уведомлений и реакций на события в системе. С помощью триггеров вы можете:

• Получать сообщения о важных событиях в корпоративные мессенджеры, системы управления инцидентами и SIEM‑системы

• Блокировать IP‑адреса, с которых отправлено большое количество запросов или векторов атак

• Идентифицировать поведенческие атаки по количеству запросов на конкретные эндпоинты

• Оптимизировать список событий путем группировки хитов с одинаковыми IP‑адресами источника в одну атаку

Вы можете самостоятельно настроить все компоненты триггера:

• Условие: событие в системе, для которого настраивается реакция. Например: получение определенного количества атак, блокировка IP‑адреса или добавление нового пользователя в аккаунт.

• Фильтры: детали условия. Например: тип атаки.

• Реакция: действие, которое необходимо выполнить при соблюдении условия и фильтров. Например: отправка уведомления в Telegram или другую систему из интеграций, блокировка IP‑адреса или отметка о брутфорсе.

Триггеры настраиваются в Консоли управления Вебмониторэкс в секции Триггеры. Секция доступна только пользователям с ролью Администратор.

Вебмониторэкс преднастраивает несколько триггеров для оптимальных обработки трафика и выгрузки атак.

Создание триггера¶

Для создания триггера:

1. Нажмите кнопку Создать триггер.

2. Выберите условия.

3. Выберите фильтры.

4. Добавьте реакции.

5. Сохраните триггер.

Шаг 1: Выбор условия¶

Условие — событие в системе, для которого выполняется настройка реакции. Для настройки доступны следующие условия:

• Brute force

• Forced browsing

• BOLA

• Слабый JWT

• Количество векторов атак (вредоносных пэйлоадов) (без учета экспериментальных векторов, обнаруженных на основе регулярных выражений)

• Количество атак (без учета экспериментальных атак, обнаруженных на основе регулярных выражений)

• Количество хитов, за исключением:

  • Экспериментальных хитов, обнаруженных на основе регулярных выражений. Хиты без метки Экспериментально учитываются.
  • Хитов, не включенных в выборку при семплировании.

• Количество инцидентов

• IP‑адрес заблокирован

• Хиты с одного IP, за исключением хитов следующих типов: Brute force, Forced browsing, BOLA, Resource overlimit, Data bomb и Virtual patch

• Пользователь добавлен

Выберите условие в интерфейсе Консоли управления Вебмониторэкс и установите значение нижнего порога для реакции, если настройка доступна.

Шаг 2: Выбор фильтров¶

Фильтры используются для более явного определения условия. Например, вы можете настроить реакцию на атаки с определенным типом: брутфорс, SQL‑инъекция и другие.

Для настройки доступны следующие фильтры:

• URI (только для условий Brute force, Forced browsing и BOLA): URI, на который отправлен запрос. URI можно задать с помощью конструктора URI или расширенной формы редактирования URI.

• Тип: тип атаки в запросе или уязвимости, на которую был направлен запрос.

• Приложение: приложение, которое получило запрос или в котором был обнаружен инцидент.

• IP: IP‑адрес, с которого был отправлен запрос.

• Домен: домен, на который был отправлен запрос или на котором был обнаружен инцидент.

• Статус ответа сервера: код ответа на полученный запрос.

• Цель: часть архитектуры приложения, на которую была направлена атака или в которой обнаружен инцидент. Может принимать значения: Сервер, Клиент, База данных.

• Роль пользователя: роль пользователя, который был добавлен в аккаунт. Может принимать значения: Деплой, Аналитик, Админ.

Выберите один или несколько фильтров в интерфейсе Консоли управления Вебмониторэкс и установите для них значения. Пример фильтров для условия Количество атак:

Шаг 3: Добавление реакций¶

Реакция — это действие, которое необходимо выполнить, если указанные условие и фильтр соблюдены. Набор доступных реакций зависит от выбранного условия. Реакции могут быть следующих типов:

• Отметка о брутфорсе/принудительном просмотре ресурсов (forced browsing). При этом проставляется только отметка об атаке и запросы отображаются в списке событий с соответствующим типом атаки. Для блокировки запросов вы можете добавить дополнительную реакцию: добавление IP в черный список.

• Отметка об атаке типа BOLA. При этом проставляется только отметка об атаке и запросы отображаются в списке событий с соответствующим типом атаки. Для блокировки запросов вы можете добавить дополнительную реакцию: добавление IP в черный список.

• Зарегистрировать уязвимость JWT.

• Добавление IP в черный список.

• Добавление IP в серый список.

• Отправка уведомления в SIEM‑систему и на Webhook URL, настроенные в интеграциях.

• Отправка уведомления в мессенджер, настроенный в интеграциях.

  Уведомление о заблокированном IP в мессенджер

  Триггеры позволяют отправлять уведомления о заблокированных IP‑адресах только в SIEM‑системы и на Webhook URL. Если выбрано условие IP‑адрес заблокирован, мессенджеры отсутствуют в списке реакций.

• Группировать следующие хиты в одну атаку, если условие триггера — Хиты с одного IP.

  Для такой атаки будут недоступны кнопка Отметить атаку как ложную и опция активной проверки.

Выберите одну или несколько реакций в интерфейсе Консоли управления Вебмониторэкс. Пример реакций для условия Количество атак:

Шаг 4: Сохранение триггера¶

1. Нажмите кнопку Создать в окне создания триггера.

2. Укажите название и описание триггера, если требуется, и нажмите кнопку Готово.

   Если название и описание не указаны, триггер создается с названием по умолчанию в формате New trigger by <username>, <creation_date> и пустым описанием.

Сохраненный триггер появится в общем списке триггеров в Консоли управления Вебмониторэкс.

Преднастроенные триггеры (триггеры по умолчанию)¶

В новых аккаунтах компаний есть следующие преднастроенные триггеры (триггеры по умолчанию):

• Группировать в одну атаку хиты, отправленные с одного IP-адреса

  Триггер группирует все хиты с одинаковым IP-адресом источника в одну атаку в списке событий. Это оптимизирует список событий и может ускорить анализ атак.

  Триггер срабатывает, если с одного IP-адреса поступило более 50 хитов за 15 минут. В атаку группируются только хиты, отправленные после превышения порога.

  Хиты могут иметь разные типы атак, вредоносные пэйлоады и URL. Поэтому активная проверка атаки и возможность отметить атаку как ложную будут недоступны. Возможность отметить отдельный хит как ложный остается доступна.

  Параметры атаки с несколькими значениями будут отмечены в списке событий тегом [multiple]. Триггер не срабатывает на хиты с типами атак Brute force, Forced browsing, Resource overlimit, Data bomb или Virtual patch.

• Добавить IP в серый список на 1 час, если с IP отправлено более 3 разных вредоносных пэйлоадов за 1 час

  Серый список предназначен для "подозрительных" IP-адресов. В отличие от черного спсика, нода блокирует только вредоносные запросы с IP-адресов из серого списка, а легитимные пропускает. Использование серого спика позволяет снижать ложные срабатывания.

  Срабатывание триггера не зависит от режима ноды, поэтому IP-адреса будут добавляться в серый список в любом режиме.

  Однако, нода анализирует серый список только в одном режиме - мягкой блокировки. Чтобы блокировать атаки с IP-адресов из серого списка, необходимо переключить ноду в режим мягкой блокировки. Перед переключением режима внимательно изучите его поведение.

• Регистрировать слабые JWT как уязвимости

  JSON Web Token (JWT) — распространенный стандарт аутентификации для безопасного обмена данными между такими ресурсами, как API. Компрометация JWT — частая цель злоумышленников, так как взлом механизмов аутентификации предоставляет им полный доступ к веб-приложениям и API. Чем слабее JWT, тем выше вероятность его компрометации.

  Этот триггер включает поиск слабых JWT во входящих запросах. Если в значительном количестве входящих запросов обнаружены слабые JWT, Вебмониторэкс регистрирует соответствующую уязвимость.

Триггеры работают на всем трафике в рамках аккаунта компании, но вы можете изменять настройки.

Отключение и удаление триггера¶

• Отключение триггера останавливает отправку уведомлений и реакций на события до повторного включения триггера. Отключенный триггер сохранится в общем списке и отобразится на вкладке Отключено. Для повторного включения уведомлений и реакции на события используйте опцию Включить.

• Удаление триггера навсегда останавливает отправку уведомлений и реакцию на события. Удаление триггера невозможно отменить. Триггер исчезнет из общего списка навсегда.

Чтобы отключить или удалить триггер, выберите соответствующую опцию из меню триггера и подтвердите действие, если требуется.