Использование поиска

Поиск возможен практически по любым атрибутам атак, инцидентов и уязвимостей. Валарм автоматически определяет, к каким атрибутам относятся значения в поисковой строке.

В Валарм реализован язык поиска, приближенный к естественному человеческому языку, поэтому запрос можно набрать почти интуитивно. Имеется возможность сделать уточнения с помощью специальных модификаторов-префиксов, о которых рассказано ниже.

Если в поисковой строке указаны значения для разных параметров, результат будет удовлетворять всем условиям. Если указаны несколько значений для одного параметра, ищется результат, удовлетворяющий любому из них.

Чтобы осуществить поиск в пределах одного веб-приложения, укажите в строке поиска pool:<название приложения>, где <название приложения> установлено при добавлении приложения во вкладке Приложения в разделе Настройки.

Примеры поисковых запросов:

  • attacks xss — поиск всех XSS-атак (межсайтовый скриптинг);
  • attacks today — поиск любых атак за сегодня;
  • vulns sqli: поиск уязвимостей к атакам типа внедрение SQL-кода;
  • vulns 01/01/2019 - 01/10/2019 — поиск уязвимостей за указанный период;
  • xss 14/01/2019 — поиск всех уязвимостей, подозрений, атак и инцидентов межсайтового скриптинга на 14 января 2019 года;
  • p:xss 14/01/2019 — поиск всех уязвимостей, подозрений, атак и инцидентов типа межсайтовый скриптинг за 14 января 2019 года;
  • attacks 2-9/2018 — поиск всех атак с февраля по сентябрь 2018 года;
  • rce /catalog/import.php: поиск всех RCE-атак, инцидентов и уязвимостей по скрипту /catalog/import.php за последний день.

Помимо строки поиска, найти данные помогают также фильтры. Подробнее — на странице «Использование фильтров». Параметры из поисковой строки дублируются в системе фильтров и наоборот.

Сохранить как шаблон

Любой поисковый запрос или комбинацию фильтров можно сохранить нажатием кнопки Сохранить как шаблон, чтобы в дальнейшем вызывать его оперативно.

Поисковые атрибуты

Ниже рассказано о поиске по каждому типу атрибута.

Поиск по типу объекта

Укажите в строке поиска:

  • attack, attacks — чтобы искать только атаки, которые не направлены на известные уязвимости;
  • incident, incidents — чтобы искать только инциденты (атаки, эксплуатирующие известную уязвимость);
  • vuln, vulns, vulnerability, vulnerabilities — чтобы искать только уязвимости;

Поиск по типу атаки или уязвимости

Укажите в строке поиска:

Название уязвимости может быть указано как строчными, так и заглавными буквами. Т.е. SQLI, sqli и SQLi будут восприняты одинаково.

Поиск по цели атаки или уязвимости

Укажите в строке поиска:

  • client — чтобы искать атаки/уязвимости пользовательских данных;
  • database — чтобы искать атаки/уязвимости базы данных;
  • server — чтобы искать атаки/уязвимости сервера приложений.

Поиск по уровню опасности

Укажите в строке поиска:

  • low — низкий уровень опасности;
  • medium — средний уровень опасности;
  • high — высокий уровень опасности.

Поиск уязвимостей по идентификатору

Для поиска уязвимостей по идентификатору можно указывать его в одном из двух вариантов:

  • полностью: WLRM-ABCD-X0123;
  • сокращенно: X0123.

Поиск по статусу уязвимости

Укажите в строке поиска:

  • open — актуальная уязвимость;
  • closed — исправленная уязвимость;
  • falsepositive — ложное срабатывание.

Поиск по времени события

Задайте в строке поиска временной интервал. Используемый формат даты — ДД/ММ/ГГГГ (например, 14/01/2019). Если год не указан, используется текущий: запись 14.01 эквивалентна записи 14.01.2019. По умолчанию ищутся события за последние сутки.

В поисковой строке часто удобно использовать строковые алиасы:

  • yesterday — всегда равняется вчерашней дате;
  • today — всегда равняется сегодняшней дате.

Для поиска также можно использовать интервалы:

  • по дате: 10/01/2019 - 14/01/2019;
  • по времени (всегда без секунд): 10/01/2019 11:11, 11:30-12:22, 10/01/2019 11:12 - 14/01/2019 12:14;
  • относительно определенного момента, например: >10/01/19.

Поиск по IP-адресу или диапазону адресов

Чтобы искать по IP-адресу или диапазону адресов, укажите в строке префикс ip:. Можно осуществлять поиск по следующим критериям:

  • подсети: 192.168/16, 192.168.0.1/24;
  • интервалы: 192.168.0.1-200, 192.168.1-10, 192.168.1-10.*.

Также есть возможность искать по общему числу IP-адресов, связанных с инцидентом (только для атак и инцидентов).

Примеры:

  • xss ip:100+ — выполнит поиск всех инцидентов и атак межсайтового скриптинга. Если меньше 100 разных IP-адресов было зарегистрировано как атакующие с этим типом атаки, результат поиска будет пустым;
  • xss p:id ip:100+ — выполнит поиск всех атак и инцидентов типа XSS для параметра id (?id=aaa) и вернет результат, только если число разных IP-адресов превышает 100.

Поиск по статусу ответа сервера

Для поиска по статусу ответа сервера укажите префикс statuscode:.

Статус для поиска может быть задан в виде:

  • числа от 100 до 999;
  • диапазона «N−M», где N и M — это числа от 100 до 999;
  • диапазона «N+» и «N-», где N — это число от 100 до 999.

Поиск по размеру ответа сервера

Для поиска по размеру ответа сервера укажите в строке поиска префикс s: или size:.

В качестве параметра поиска можно указать любое целое число. Числа больше 999 могут задаваться без префикса. Можно указывать диапазоны «N-M», «N+» и «N-». Если в диапазоне числа больше 999, то префикс также можно не указывать.

Поиск по методу HTTP-запроса

Для поиска по методу HTTP-запроса укажите префикс method:.

GET, POST, PUT, DELETE и OPTIONS в качестве параметра поиска с учетом регистра могут быть указаны без префикса. Для указания всех остальных значений необходимо использовать префикс.

Поиск по домену

Для поиска по домену укажите префиксы d: или domain:.

Без префикса обрабатывается любая строка, которая может быть доменом второго и более уровня. С префиксом может быть указана любая строка.

В домене можно использовать маски. Символ * заменяет любое количество символов, символ ? заменяет любой один символ.

Поиск по пути

Для поиска по пути укажите префикс u: или url:.

Без префикса обрабатываются строки, которые начинаются с /. С префиксом может быть указана любая строка.

Поиск по параметру

Для поиска по параметру укажите префикс p:, param: или parameter:, а также суффикс =.

Например, если необходимо найти атаки на параметр xss, а не xss-атаки (например, найти атаку типа SQL-injection в GET-параметре xss), то в поисковой строке следует ввести attacks p:xss.

Строка, которая начинается не с / и заканчивается на = расссматривается как параметр (при этом завершающий = в значение не входит). С префиксом может быть указана любая строка.

Поиск аномалий в атаках

Для поиска аномалий в атаках укажите префикс a: или anomaly:.

Поддерживаемые параметры для поиска аномалий:

  • size;
  • statuscode;
  • time;
  • stamps;
  • impression;
  • vector.

Пример:

Поиск attacks sqli a:size найдет все атаки вида SQL-инъекция, где в запросах были аномалии размера ответа.

Поиск по идентификатору запроса

Для поиска атак и инцидентов по идентификатору запроса укажите префикс request_id. Параметр request_id имеет значение вида a79199bcea606040cc79f913325401fb. Далее в примерах используется условное обозначение <requestId>.

Примеры использования:

  • attacks incidents request_id:<requestId> – поиск атаки или инцидента с request_id равному <requestId>;
  • attacks incidents !request_id:<requestId> – поиск атак или инцидентов с request_id не равному <requestId>;
  • attacks incidents request_id – поиск атак или инцидентов с любым request_id;
  • attacks incidents !request_id – поиск атак или инцидентов с отсутствующим request_id.

Смотрите также

results matching ""

    No results matching ""