تحليل الأحداث¶

يمكنك فحص الأحداث في أقسام الهجمات والحوادث من وحدة تحكم Wallarm.

تحليل حدث¶

يمكنك الحصول على معلومات حول حدث من نوع معين (هجوم أو حادث) عن طريق التحري في جميع الأعمدة الموجودة في الجدول كما هو موضح في فحص الهجمات و فحص الحوادث.

تحليل الطلبات في حدث¶

1. حدد الهجوم أو الحادث الذي يهمك.

2. انقر على الرقم الموجود في عمود الطلبات.

عند النقر على الرقم، ستتوسع جميع الطلبات الموجودة في الحدث المحدد.

يعرض كل طلب المعلومات المرتبطة في الأعمدة التالية:

• التاريخ: تاريخ ووقت الطلب.

• البيانات المحملة: الحمولة الخبيثة. عند النقر على القيمة الموجودة في عمود البيانات المحملة، يتم عرض معلومات الإشارة على نوع الهجوم.

• المصدر: عنوان IP الذي أصدر الطلب. عند النقر على عنوان الـ IP، يتم إضافة قيمة عنوان الـ IP إلى حقل البحث. يتم عرض المعلومات التالية أيضًا إذا تم العثور عليها في قاعدة البيانات IP2Location أو ما شابه:

  • البلد / المنطقة التي تم تسجيل عنوان الـ IP فيها.
  • نوع المصدر، مثل البروكسي، Tor أو منصة السحابة التي تم تسجيل الـ IP فيها، وما إلى ذلك.
  • ستظهر علامة الـ IPs الخبيثة إذا كان يعرف أن عنوان الـ IP هذا يتم استخدامه للأنشطة الخبيثة. وهذا يعتمد على السجلات العامة والتحقق الخبير.

• الحالة: حالة حجب الطلب (تعتمد على وضع ترشيح الحركة).

• الرمز: رمز حالة الرد من خادم الويب للطلب. إذا كان العقدة الفاصلة قد حجبت الطلب، سيكون الرمز 403 أو قيمة مخصصة أخرى.

• الحجم: حجم الرد من خادم الويب.

• الوقت: زمن الرد من خادم الويب.

إذا كان الهجوم يحدث في اللحظة الحالية، يتم عرض العلامة "الآن" تحت الرسم البياني للطلب.

توفر عرض الطلب الخيارات التالية لتعديل سلوك Wallarm:

• وضع علامة كإيجابي زائف وخاطئ للإبلاغ عن الطلبات المشروعة المعلمة كهجمات.

• تعطيل base64 للإشارة إلى أن البازر base64 تم تطبيقه بشكل غير صحيح على عنصر الطلب.

  يفتح الزر نموذجًا مملوءًا مسبقًا لإعداد القاعدة التي تعطل البازر.

• القاعدة لإنشاء أي قاعدة فردية لمعالجة بعض الطلبات.

  يفتح الزر نموذجًا لإعداد القاعدة مملوءًا مسبقًا ببيانات الطلب.

• يتم عرض قسم اكتشاف بواسطة القواعد المخصصة إذا تم اكتشاف الهجوم بواسطة قاعدة العميل الأساسية على التوالي. يحتوي القسم على الرابط إلى القاعدة المقابلة (يمكن أن يكون هناك أكثر من واحد) - انقر على الرابط للوصول إلى تفاصيل القاعدة وتعديلها إذا كان ذلك ضروريًا.

  

  تعرف على كيفية البحث عن هذه الهجمات →

تحليل الطلب بتنسيق الخام¶

تنسيق الخام للطلب هو أقصى مستوى ممكن من التفصيل. يتيح عرض التنسيق الخام في وحدة تحكم Wallarm أيضًا نسخ الطلب بتنسيق cURL.

لعرض طلب بتنسيق الخام، قم بتوسيع الهجوم المطلوب وبعد ذلك الطلب داخله.

تحليل الطلبات من الأيبيهات في القائمة السوداء¶

تثبت القائمة السوداء أنها تدبير دفاعي فعال ضد الهجمات عالية الحجم من أنواع مختلفة. يتم تحقيق ذلك عن طريق حظر الطلبات في أقرب مرحلة من المعالجة. في الوقت نفسه، من المهم جدًا جمع معلومات شاملة حول جميع الطلبات المحظورة للتحليل اللاحق.

تقدم Wallarm القدرة على جمع وعرض إحصائيات بشأن الطلبات المحظورة من أيبيهات مصدر في القائمة السوداء. وهذا يمكنك من تقييم قوة الهجمات القادمة من أي بيهات القائمة السوداء، وإجراء تحليل دقيق للطلبات من هذه الأي بيهات، واستكشاف مختلف العوامل.

في Wallarm، هناك عدة طرق للـ IP للدخول إلى القائمة السوداء. اعتمادًا على الطريقة المستخدمة، ستحتاج إلى البحث عن الأحداث المرتبطة باستخدام وسم/مرشح مختلف:

• تضيفه يدويا (في قسم الهجمات، استخدم البحث blocked_source أو مرشح Blocked Source)

• يقوم بهجوم سلوكي ويتم إدراجه تلقائيا في:

  • وحدة Prevention Abuse API (api_abuse البحث، فلتر API Abuse)
  • محفز Brute force (brute, Brute force)
  • محفز Forced browsing (dirbust, Forced browsing)
  • محفز BOLA (bola, BOLA)
  • محفز Number of malicious payloads (multiple_payloads, Multiple payloads)

يمكن اكتشاف الهجمات السلوكية المذكورة فقط بعد تراكم بعض الإحصائيات التي يعتمد عليها عتبة المحفز المقابل. وبالتالي، في المرحلة الأولى، قبل الإدراج في القائمة السوداء، يجمع Wallarm هذه المعلومات ولكن جميع الطلبات يتم تمريرها وعرضها ضمن أحداث Monitoring.

بمجرد تجاوز عتبات المحفز، يعتبر النشاط الخبيث مكتشفًا، ويضع Wallarm الـ IP في القائمة السوداء، وتبدأ العقدة في حظر جميع الطلبات القادمة منها على الفور.

بمجرد تمكين إرسال المعلومات حول الطلبات من أي بيهات القائمة السوداء، سترى الطلبات Blocked من هذه الأي بيهات في قائمة الحدث. تنطبق هذه الطريقة أيضًا على أي بيهات القائمة السوداء التي تم إدراجها يدويا.

لاحظ أن البحث/المرشحات سيعرضان كلا من أحداث Monitoring و - إذا تم تمكين إرسال المعلومات - أحداث Blocked لكل نوع من الهجمات. لا يوجد أبدًا حدث Monitoring لأي بيهات القائمة السوداء المضافة يدويا.

ضمن الأحداث Blocked، استخدم الوسم للتبديل إلى سبب الإدراج في القائمة السوداء - إعدادات BOLA، API Abuse Prevention، المحفز أو القيمة السبب في القائمة السوداء.

الضبط الدقيق للأحداث¶

تجميع الضربات¶

يمكنك تحسين قوائم الهجمات والحوادث عن طريق تجميع الضربات المرسلة من نفس عنوان IP في هجوم واحد.

التجميع ممكن بشكل افتراضي في Wallarm Console → المحفزات مع المحفز الافتراضي الضربات من نفس الـ IP الذي يتنشط عندما يتم إصدار أكثر من 50 ضربة من عنوان IP واحد خلال 15 دقيقة.

إذا كانت الضربات المجمعة لها أنواع هجمات مختلفة وحمولات خبيثة وعناوين URL، سيتم وضع علامة على بارامترات الهجوم بوسم [multiple] في قائمة الهجمات.

لا يتم اعتبار الضربات المع النوع الهجوم Brute force، Forced browsing، Resource overlimit، Data bomb، أو Virtual patch في هذا المحفز.

يمكنك تعطيل المحفز الافتراضي مؤقتًا. يمكنك أيضًا تعديل السلوك المقدم من قبل المحفز الافتراضي - للقيام بذلك، أنشئ محفزات مخصصة من نوع الضربات من نفس الـ IP. إنشاء أي محفز مخصص يحذف الافتراضي، إذا حذفت جميع محفزاتك المخصصة، يتم استعادة الافتراضي.

اختيار الضربات¶

نظرة عامة¶

عادةً ما تتكون الحركة الخبيثة من الضربات المتشابهة والمتطابقة. يؤدي تخزين جميع الضربات إلى إدخالات مكررة في قائمة الأحداث والتي تزيد من كل من وقت تحليل الحدث والحمولة على Wallarm Cloud.

يعمل اختيار الضربات على تحسين تخزين البيانات والتحليل عن طريق إسقاط الضربات غير الفريدة من أجل تحميلها إلى Wallarm Cloud.

لا يؤثر اختيار الضربات على جودة كشف الهجمات ويساعد فقط على تجنب تباطؤها. تستمر العقدة Wallarm في كشف الهجمات و الحجب حتى مع تفعيل اختيار الضربات.

التمكين¶

• بالنسبة لهجمات التحقق من الدخول، اختيار الضربات معطل بشكل افتراضي. إذا كانت نسبة الهجمات في حركتك عالية، يتم أداء اختيار الضربات في مرحلتين متتاليتين: القصوى والعادية.

• بالنسبة لالهجمات السلوكية, هجمات Data bomb و Resource overlimiting: الخوارزمية العادية للأخذ عينة ممكّنة بشكل افتراضي. يبدأ أخذ العينة القصوى فقط إذا كانت نسبة الهجمات في حركتك عالية.

• بالنسبة لأحداث الأي بيهات في القائمة السوداء، يتم تكوين الأخذ عينة على جانب العقدة. يقوم فقط بتحميل أول 10 طلبات متطابقة إلى السحابة بينما يطبق خوارزمية الأخذ عينة على بقية الضربات.

عند تمكين خوارزمية الأخذ عينة، في قسم الهجمات، يتم عرض التنبيه تم تمكين أخذ عينة الضربات.

سيتم تعطيل الأخذ تلقائيا بمجرد انخفاض نسبة الهجمات في الحركة.

منطق الأساسي¶

يتم أداء أخذ العينة في مرحلتين متتاليتين: القصوى والعادية.

الخوارزمية العادية تعالج فقط الضربات المحفوظة بعد المرحلة القصوى، ما لم تكن الضربات من نوع سلوكي, أو Data bomb أو Resource overlimiting. إذا كان أخذ العينة القصوى معطل لضربات هذه الأنواع، تعالج الخوارزمية العادية مجموعة الضربة الأصلية.

أخذ العينة القصوى

لدى خوارزمية الأخذ عينة القصوى اللوجيك الأساسي التالي:

• إذا كانت ضربات التحقق من الدخول، فإن الخوارزمية تقوم بتحميل الضربات التي تحتوي على الحمولات الخبيثة الفريدة فقط إلى السحابة. إذا تم اكتشاف عدة ضربات بنفس الحمولة خلال ساعة، يتم فقط تحميل الأول منها إلى السحابة وإسقاط الباقي.

• إذا كانت ضربات سلوكية, أو Data bomb أو Resource overlimiting، تقوم الخوارزمية بتحميل فقط أول 10% منها التي تم اكتشافها خلال ساعة إلى السحابة.

أخذ العينة العادية

لدى الخوارزمية العادية للأخذ عينة اللوجيك الأساسي التالي:

1. تتم حفظ الخمسة ضربات المتطابقة الأولى لكل ساعة في العينة في Wallarm Cloud. الضربات المتبقية لا تتم حفظها في العينة، ولكن يتم تسجيل رقمها في بارامتر منفصل.

   تعتبر الضربات متطابقة إذا كانت جميع البارامترات التالية لديها نفس القيم:

   • نوع الهجوم
   • البارامتر مع الحمولة الخبيثة
   • عنوان الهدف
   • طريقة الطلب
   • رمز الرد
   • عنوان IP المصدر

2. تتم مجموعة عينات الضربة في هجمات في قائمة الأحداث.

تتم عرض الضربات المجمعة في قسم الهجمات أو الحوادث من وحدة تحكم Wallarm على النحو التالي:

لتصفية قائمة الأحداث بحيث تعرض الضربات المشتقة فقط، انقر على إشعار تم تمكين أخذ عينة الضربات. سيتم إضافة السمة sampled إلى حقل البحث، وستعرض قائمة الأحداث فقط الضربات المشتقة.

هل كانت هذه الصفحة مفيدة؟

كيف يمكننا تحسين هذه المقالة؟ (خياري)

المعلومات غير واضحة أو محيرة

معلومات غير كافية

معلومات قديمة أو غير صحيحة

0/240

يرسل