Ana içeriğe geç

API Sessions'ların Keşfi

Wallarm'un API Sessions, uygulamalarınızla ilişkili kullanıcı oturumlarını belirledikten sonra, bunları Wallarm Console'un API Sessions bölümünde inceleyebilirsiniz. Bu makaleden keşfedilen verileri nasıl gözden geçireceğinizi öğrenin.

Tehdit Aktörünün Faaliyetlerinin Tam Bağlamı

Once the malicious request is detected by Wallarm and displayed in the Attacks or Incidents section as the part of some attack, you have an ability to know the full context of this request: to which user session it belongs and what the full sequence of requests in this session is. This allows investigating all activity of the threat actor to understand attack vectors and what resources can be compromised.

To perform this analysis, in Wallarm Console → Attacks or Incidents, access the attack, and then specific request details. In request details, click Explore in API Sessions. Wallarm will open the API Session section filtered: the session, the initial request belongs to is displayed, only the initial request is displayed within this session.

Remove the filter by request ID to see all other requests in the session: now you have the full picture of what was going on within the session the malicious request belongs to.

Belirli Zaman Aralığındaki Faaliyetler

Belirtilen zaman aralığında neler olduğunu araştırabilirsiniz. Bunun için tarih/saat filtresini ayarlayın. Yalnızca belirtilen zamanda gerçekleşen isteklere sahip oturumlar görüntülenecektir - her oturum içinde yalnızca bu zaman aralığındaki istekler gösterilecektir.

!API Sessions - activities within specific time

İpucu: kendi tarayıcınızda oturumunuza bağlantıyı kullanın ve sonra yalnızca seçilen oturumdaki, seçilen zaman dilimindeki istekleri görmek için zaman aralığını ayarlayın.

Oturum İçindeki Belirli Faaliyetler

Oturum, farklı türde (POST, GET, vb.) çok sayıda istek, farklı yanıt kodları, farklı IP adreslerinden gelen yasal ve kötü niyetli, çeşitli saldırı türleri içeren istekler barındırabilir.

Oturum detaylarında, isteklerin farklı kriterlere göre dağılımını gösteren kapsamlı istatistikleri görebilirsiniz. Sadece belirli istekleri görmek için oturum içi filtreleri (bir veya birkaç) uygulayabilirsiniz.

!API Sessions - filters inside session

Oturum içi filtrelerin, API Sessions bölümündeki genel filtrelerle iletişim kurduğunu unutmayın:

  • Genel filtreler uygulandıktan sonra açılan herhangi bir oturum bu filtreleri paylaşacaktır (oturum içerisinde, bunu iptal etmek için Tüm istekleri göster seçeneğine tıklayabilirsiniz).

  • Mevcut oturumunuzda genel filtreleri uygulamak için Filtreleri Uygula düğmesini kullanın.

Etkilenen Uç Noktaların İncelenmesi

Oturum istek detaylarındaki API Discovery insights özelliğini kullanarak etkilenen uç noktaları inceleyin. Uç noktanın risk altında olup olmadığını, bu riskin uç noktanın rogue (özellikle, gölge veya zombi API'leri) olarak tanımlanmasından mı kaynaklandığını ve ne ölçüde ve hangi önlemlerle korunduğunu hemen öğrenebilirsiniz.

!API Sessions - APID endpoint insights

API Discovery bölümündeki uç nokta bilgilerine geçmek için API Discovery'da Keşfet seçeneğine tıklayın.

Performans Sorunlarının Belirlenmesi

Oturum istek detaylarındaki Time,ms ve Size,bytes sütunlarını kullanarak sunulan verileri beklenen ortalama değerlerle karşılaştırın. Belirgin şekilde aşılmış değerler, olası performans sorunları ve darboğazlara işaret eder; ayrıca kullanıcı deneyimini optimize etme olasılığını gösterir.

Hassas İş Akışları

API Discovery bölümünde, hassas iş akışı özelliği (NGINX Node 5.2.11 veya native Node 0.10.1 veya daha üstü gerektirir), otomatik ve manuel olarak kimlik doğrulama, hesap yönetimi, faturalandırma ve benzeri kritik işlevler için önemli olan uç noktaların belirlenmesini sağlar.

Eğer oturumlardaki istekler, API Discovery'de belirli hassas iş akışları için önemli olarak etiketlenen uç noktaları etkiliyorsa, bu oturumlar da otomatik olarak bu iş akışını etkileyen oturumlar olarak etiketlenir.

Oturumlar hassas iş akışı etiketleri ile ilişkilendirildikten sonra, belirli bir iş akışına göre filtrelenmeleri mümkün olur; bu da analiz için en önemli oturumların seçilmesini kolaylaştırır.

!API Sessions - sensitive business flows

Wallarm, iş akışlarını listeler ve toplam oturum istekleri içindeki ilgili isteklerin sayısını ve yüzdesini gösterir.

Oturumlar aşağıdaki hassas iş akışlarından biriyle ilişkilendirilebilir:

  • AI/LLM (artificial intelligence/large language models) flows - requests/endpoints/parameters related to the systems that use ML models, neural networks, chatbots or systems that in turn access some paid third-party AI services, such as OpenAI.

  • Acc create (account creation) and Acc mgmt (account management) flows - the key administrative flows relating to your applications.

  • Admin (administrative) flows - requests/endpoints/parameters related to applications' administrative functions and activities. Such requests/endpoints/parameters are usually targeted by attackers in order to access functionality intended for privileged users only (BFLA), escalate privileges and gaining control over the system.

  • Auth (authentication) flows - requests/endpoints/parameters critical to access control, as they verify user identity and manage permissions. As the entry point to the app, they are often the first target for attackers seeking to bypass security, gain unauthorized access, and take over accounts.

  • Billing flows - sensitive due to usage and possible breach of critical personal financial data and susceptible to fraud.

  • SMS GW (SMS gateway) flows - requests/endpoints/parameters sensitive because attackers can exploit them in SMS pumping attacks, flooding them with messages to inflate costs. Since these requests/endpoints/parameters are connected to API gateways and payment systems, this can lead to financial loss and system overload.

Belirli iş akışlarını etkileyen tüm oturumları hızlıca analiz etmek için Business flow filtresini kullanın.

Kullanıcılar ve Roller Bazında Oturumlar

Eğer API Sessions'ı, kullanıcılar ve roller hakkında bilgi almak üzere ayarlandıysanız, oturumları kullanıcılar ve rollere göre filtreleyebilirsiniz.

!API Sessions - user and user role display

API Kötüye Kullanımı Tespitinin Doğruluğunu Doğrulama

Once the malicious bot activity is detected by Wallarm's API Abuse Prevention and displayed in the Attacks section, you have an ability to know the full context of this attack's requests: to which user session they belong and what the full sequence of requests in this session is. This allows investigating all activity of the actor to verify whether the decision to mark this actor as malicious bot was correct.

To perform this analysis, in Wallarm Console → Attacks, access the bot attack details, then click Explore in API Sessions. Wallarm will open the API Session section filtered: the session(s) related to this bot activities will be displayed.

!API Sessions section - monitored sessions

Saldırı Tespitinin Ayarlanması

Oturumun kötü niyetli isteği üzerinden doğrudan Wallarm'un saldırı tespitiyle ilgili davranışlarını ayarlayabilirsiniz:

  • Saldırı, yanlış pozitif olarak işaretlenebilir - bu durumda filtreleme düğümü, gelecekte bu tür istekleri saldırı olarak tanımayacaktır.

  • Kural oluşturulabilir - aktif hale geldiğinde, kural isteklerin analizinde ve sonraki işleminde Wallarm'un varsayılan davranışını değiştirecektir.

!API Sessions - request details - available actions

Oturum Bilgilerinin Paylaşılması

Oturumda şüpheli bir davranış fark ettiyseniz ve elde ettiğiniz bilgileri meslektaşlarınızla paylaşmak ya da oturumu daha fazla analiz için saklamak istiyorsanız, oturum detaylarındaki Bağlantıyı Kopyala veya CSV İndir seçeneklerini kullanın.

!API Sessions - sharing session information