UserGate WAF с настроенными WAF-правилами анализирует HTTP- и HTTPS-трафик на прикладном уровне, чтобы защитить веб-приложения от атак. Под атаками понимаются несанкционированные воздействия на информационную инфраструктуру организации, способные нарушить ее работу или создать угрозу безопасности обрабатываемой в ней информации. Продукт обнаруживает атаки и другие угрозы безопасности с помощью правил в WAF-профилях.
Страница атак
При срабатывании WAF-правила UserGate WAF записывает информацию об обнаружении атаки или другого события ИБ. Эти сведения доступны для просмотра и анализа в разделе Атаки.
В таблице атак вы можете:
-
изменять набор столбцов в контекстном меню Столбцы, доступном по нажатию справа от заголовка столбца;
-
изменять ширину столбцов;
-
изменять порядок следования столбцов, перемещая заголовок столбца;
-
сортировать данные по нажатию на заголовки столбцов (не все столбцы поддерживают функцию сортировки);
-
настраивать обновление данных;
-
отображать данные за выбранный период времени.
Вы также можете фильтровать данные в таблице с помощью специальных запросов на языке фильтрации продукта. Для ввода запросов используется строка фильтрации. По нажатию на значение параметра срабатывания в строку фильтрации добавляется запрос с этим параметром (например, name = "(PSM) alert"). Действие доступно только для тех параметров, значения которых в таблице отображаются в виде ссылок.
Кроме того, вы можете сохранять примененные фильтры по кнопке Сохранить как. Список сохраненных фильтров доступен по кнопке Популярные фильтры. Также для дальнейшего анализа вы можете скачать отфильтрованные данные таблицы в виде CSV-файла по кнопке Экспортировать в CSV.
Для каждого срабатывания в списке отображается следующая информация.
|
Параметр |
Описание |
|---|---|
|
Время |
Время срабатывания WAF-правила |
|
Уровень угрозы |
Уровень опасности угрозы согласно срабатыванию WAF-правила |
|
WAF-профиль |
Профиль, к которому относится сработавшее WAF-правило. |
|
WAF-слой |
Слой, к которому относится сработавшее WAF-правило. |
|
ID правила |
Идентификатор сработавшего WAF-правила |
|
Название |
Название сработавшего WAF-правила |
|
IP источника |
IP-адрес источника HTTP-запроса |
|
IP назначения |
IP-адрес назначения HTTP-запроса |
|
Реальный IP |
Реальный IP-адрес источника HTTP-запроса |
|
Действие |
Действие, выполненное в результате срабатывания WAF-правила |
|
HTTP метод |
Метод HTTP-запроса |
|
HTTP версия |
Версия HTTP-протокола |
|
HTTP хост |
Адрес узла, которому направлен HTTP-запрос |
|
Код ответа HTTP |
Код HTTP-ответа |
|
URI |
URI в HTTP-запросе |
|
Useragent |
Информация о клиенте в HTTP-запросе |
|
Реферер |
Ссылка на предыдущую страницу в HTTP-запросе |
|
Профиль ответа |
Название профиля ответа, который возвращается клиенту, если его HTTP-запрос был заблокирован WAF-правилом |
|
Идентификатор запроса |
Уникальный идентификатор HTTP-запроса |
Карточка атаки
По нажатию на строку срабатывания открывается карточка с подробной информацией о сработавшем WAF-правиле: источнике и назначении запроса, пакете экспертизы, в состав которого входит сработавшее WAF-правило, и другими сведениями.
В карточке атаки представлена информация, позволяющая анализировать причину срабатывания WAF-правила и облегчающая поиск ложных срабатываний. В секции Причина срабатывания отображаются подсвеченные значения или фрагменты запроса, на которых сработало WAF-правило. В ряде случаев подсветка не применяется. Например, если WAF-правило сработало при обращении к определенной библиотеке, в секции указывается общая причина блокировки.
В секции Данные содержатся сведения о запросе и/или ответе, на которых сработало WAF-правило. На вкладке Оригинальный запрос отображается запрос к защищаемому веб-ресурсу, поступивший в UserGate WAF. Вкладка Оригинальный ответ содержит заголовки и оригинальное тело ответа от защищаемого веб-ресурса и становится доступной, если WAF-правило сработало на этом ответе. Если WAF-правило с блокирующим действием сработало на запросе, эта вкладка не будет доступна. Если в UserGate WAF ответ был модифицирован (например, из него была удалена чувствительная информация), на вкладке Ответ отобразится измененный вариант, а на вкладке Оригинальный ответ — ответ до его модификации в UserGate WAF.