Pular para conteúdo

Trabalhando com falsos ataques

Falso positivo ocorre quando sinais de ataque são detectados em uma solicitação legítima. Após analisar um ataque, você pode concluir que todas ou algumas solicitações neste ataque são falsos positivos. Para evitar que o nó de filtragem reconheça essas solicitações como ataques nas futuras análises de tráfego, você pode marcar várias solicitações ou todo o ataque como falso positivo.

Como funciona a marca de falso positivo?

  • Se uma marca de falso positivo for adicionada ao ataque de um tipo diferente de Exposição de Informações, a regra que desativa a análise das mesmas solicitações para sinais de ataque detectados (tokens) é automaticamente criada.

  • Se uma marca de falso positivo for adicionada ao incidente com o tipo de ataque Exposição de Informações, a regra que desativa a análise das mesmas solicitações para sinais de vulnerabilidade detectados é automaticamente criada.

A regra criada é aplicada ao analisar as solicitações ao aplicativo protegido. Essa regra não é exibida no Console da Wallarm e só pode ser alterada ou removida por meio de uma solicitação enviada ao suporte técnico da Wallarm.

Marcar um hit como um falso positivo

Para marcar uma solicitação (hit) como falso positivo:

  1. No Console da Wallarm → Events, expanda a lista de solicitações no ataque considerado um falso positivo.

    Para reduzir o tempo de análise da solicitação, você pode ocultar as solicitações que são precisamente maliciosas usando a tag !known.

  2. Defina uma solicitação válida e clique em Falso na coluna Actions.

    Hit Falso

Marcar um ataque como falso positivo

Para marcar todas as solicitações (hits) no ataque como falsos positivos:

  1. No Console da Wallarm → Events, selecione um ataque com solicitações válidas.

    Para reduzir o tempo de análise da solicitação, você pode ocultar as solicitações que são precisamente maliciosas usando a tag !known.

  2. Clique em Marcar como positivo falso.

    False attack

Se um ataque for hits agrupados por IPs

Se um ataque consistir em hits agrupados por endereços IP, o botão Marcar como falso positivo não estará disponível. Você pode marcar certos hits como positivos falsos.

Se todas as solicitações do ataque forem marcadas como positivas falsas, as informações sobre esse ataque serão assim:

Todo o ataque é marcado como falso

Remover uma marca de falso positivo

Para remover uma marca de falso positivo do hit ou ataque, envie uma solicitação ao suporte técnico da Wallarm. Além disso, você pode desfazer uma marca positiva falsa na caixa de diálogo no Console Wallarm em poucos segundos após a aplicação da marca.

Exibindo falsos positivos na lista de ataques

O Console da Wallarm permite controlar a exibição de falsos positivos na lista de ataques por meio de um filtro separado. Existem as seguintes opções de filtro:

  • Visualização padrão: apenas ataques reais

  • Com falsos positivos: ataques reais e falsos positivos

  • Somente falsos positivos

Filtro positivo falso