Просмотр событий

На вкладке веб-интерфейса События размещается информация об атаках, инцидентах и уязвимостях. Данные на странице События отображаются в следующих вкладках:

  • Вкладка Атаки содержит все группы связанных между собой вредоносных запросов;
  • Вкладка Инциденты содержит все вредоносные запросы, нацеленные на использование существующих уязвимостей;
  • Вкладка Уязвимости содержит все обнаруженные ошибки, допущенные при проектировании, разработке или внедрении вашего веб-приложения, которые могут привести к реализации риска информационной безопасности.

Вы можете воспользоваться поиском или выбрать период для отображения вручную.

Вкладка Атаки

Просмотр атак

Таблица во вкладке Атаки содержит следующие столбцы:

  • Дата — дата и время получения вредоносного запроса;
    • Если запросов одного типа пришло несколько и в разное время, то они группируются в одну атаку, и под датой указывается ее продолжительность. Продолжительностью считается время от первого до последнего запроса в атаке;
    • Если атака производится прямо сейчас, под датой мелким красным шрифтом указывается надпись «сейчас»;
  • Запросы — количество вредоносных запросов в группе за указанный период;
  • Векторы — количество запросов наиболее частого типа вредоносного кода в группе запросов за указанный период и название этого типа;
    • Мелким шрифтом под основным числом указывается общее количество запросов этого типа в группе за все время;
  • Источник атаки — IP-адрес, с которого пришел вредоносный запрос. Если атака велась с нескольких IP-адресов, то отображается только тот, с которого пришло наибольшее количество запросов;
    • Мелким черным шрифтом под IP-адресом указывается общее количество IP-адресов, с которых пришли запросы данного типа;
    • Мелким серым шрифтом указывается общее число IP-адресов за все время, с которых пришли вредоносные запросы соответствующей атаки;
    • Если удалось определить дата-центры, к которым принадлежит один или несколько IP-адресов из атаки, то в столбце «Источник атаки» будут отображены соответствующие теги: «AWS» для Amazon, «GCP» для Google, «Azure» для Microsoft.
    • Если атака целиком или частично идет из сети Tor, то в столбце «Источник атаки» будет отображен тег «Tor».
  • Домен — домен, на который направлен вредононосный запрос;
    • Мелким шрифтом под доменом указывается путь, на который направлен вредоносный запрос;
  • Статус — ответ защищаемого ресурса на вредоносный запрос. Если ответов несколько, то показывается наиболее частый ответ;
    • Мелким шрифтом под статусом указывается общее количество разных ответов защищаемого ресурса на данную атаку в указанный период времени;
  • Параметр — параметры вредоносного запроса;
  • Проверка — статус перепроверки атаки.

Вы можете нажать на переключатель «Сортировать по последнему запросу», чтобы сортировать атаки по времени получения последнего запроса от самого нового до самого давнего.

Вкладка Инциденты

Таблица во вкладке Инциденты содержит такие же столбцы, что и таблица во вкладке Атаки, за исключением последнего столбца. В таблице инцидентов вместо столбца Проверка содержится столбец Уязвимости.

В колонке Уязвимости для каждого инцидента указана уязвимость, на использование которой нацелен вредоносный запрос.

Просмотр инцидентов

Нажав на уязвимость, вы можете быстро перейти на ее подробное описание и инструкции по ее исправлению.

Вы можете нажать на переключатель «Сортировать по последнему запросу», чтобы сортировать инциденты по времени получения последнего запроса от самого нового до самого давнего.

Вкладка Уязвимости

Просмотр уязвимостей

Таблица во вкладке Уязвимости содержит следующие столбцы:

  • Дата — дата и время обнаружения уязвимости;
  • Риск — уровень опасности обнаруженной уязвимости;
  • Цель — сторона, которой будет нанесен ущерб в случае эксплуатации уязвимости;
  • Тип — тип вредоносного кода, который эксплуатирует эту уязвимость;
  • Домен — домен, на котором обнаружена уязвимость;
  • ID — уникальный идентификатор уязвимости в системе Валарм;
  • Заголовок — заголовок уязвимости.

События, происходящие в настоящий момент

Вы можете отслеживать события в режиме реального времени. Если ресурсы вашей компании в настоящий момент получают вредоносные запросы, в интерфейсе Валарм появляются следующие элементы:

  • Счетчик событий рядом со вкладкой События указывает на количество событий, которые произошли за последние 5 минут.
  • Надпись «сейчас» отображается под датой события в таблице с атаками или инцидентами.

Вы также можете добавить ключевое слово now в поисковую строку, чтобы отображать только события, происходящие сейчас:

  • attacks now — отобразить только атаки, происходящие в настоящий момент.
  • incidents now — отобразить только инциденты, происходящие в настоящий момент.
  • attacks incidents now — отобразить только атаки и инциденты, происходящие в настоящий момент.

Атаки, происходящие в настоящий момент

results matching ""

    No results matching ""