Olay Analizi¶

Wallarm Console'da, Olaylar bölümünde tespit edilen olayları analiz edebilirsiniz. Gerekli verileri bulmak için lütfen burada açıklanan arama alanını kullanın veya gerekli arama filtrelerini elle ayarlayın.

Olayları Kontrol Etme¶

• Tarih: Zararlı isteğin gerçekleştiği tarih ve saat.

  • Kısa aralıklarla aynı tipten birkaç istek tespit edildiyse, saldırı süresi tarihin altında görünür. Süre, belirli zaman aralığında belli bir tipteki ilk istekle aynı tipteki son istek arasındaki zaman dilimidir.
  • Eğer saldırı şu anda gerçekleşiyorsa, uygun bir etiket görüntülenir.

• Payloads: Saldırı türü ve benzersiz malicious payload sayısı.

• Hits: Belirtilen zaman diliminde saldırıdaki isteklerin (hitlerin) sayısı.

• Top IP / Kaynak: Zararlı isteklerin geldiği IP adresi. Zararlı istekler birkaç IP adresinden geliyorsa, arayüz en çok isteğe neden olan IP adresini gösterir. IP adresi için ayrıca şu veriler de görüntülenir:

  • Belirtilen zaman diliminde aynı saldırı kapsamında isteklerin geldiği IP adreslerinin toplam sayısı.
  • IP adresinin kayıtlı olduğu ülke/bölge (IP2Location veya benzeri veri tabanlarında bulunması durumunda)
  • Kaynak türü, örneğin Public proxy, Web proxy, Tor veya IP'nin kayıtlı olduğu cloud platformu vb. (IP2Location veya benzeri veri tabanlarında bulunması durumunda)
  • IP adresi kötü niyetli aktiviteler için biliniyorsa Malicious IPs etiketi görüntülenecektir. Bu, kamuya açık kayıtlar ve uzman doğrulamaları temel alınarak sağlanır.

• Domain / Path: İsteğin hedef aldığı domain, path ve application ID.

• Status: Saldırı engelleme durumu (ayrıca traffic filtration mode'a bağlı):

  • Blocked: Saldırının tüm hitleri filtreleme düğümü tarafından engellendi.
  • Partially blocked: Saldırının bazı hitleri engellenirken bazıları sadece kaydedildi.
  • Monitoring: Saldırının tüm hitleri kaydedildi fakat engellenmedi.

• Parameter: Zararlı isteğin parametreleri ve isteğe uygulanan parsers etiketleri.

• Vulnerabilities: Olayın faydalandığı güvenlik açığı. Güvenlik açığına tıkladığınızda detaylı açıklaması ve nasıl düzeltileceğine dair talimatlar görüntülenir.

En son istek zamanına göre olayları sıralamak için Sort by latest hit anahtarını kullanabilirsiniz.

Tehdit Aktörünün Tüm Faaliyetlerinin Tam Bağlamı¶

Once the malicious request is detected by Wallarm and displayed in the Attacks or Incidents section as the part of some attack, you have an ability to know the full context of this request: to which user session it belongs and what the full sequence of requests in this session is. This allows investigating all activity of the threat actor to understand attack vectors and what resources can be compromised.

To perform this analysis, in Wallarm Console → Attacks or Incidents, access the attack, and then specific request details. In request details, click Explore in API Sessions. Wallarm will open the API Session section filtered: the session, the initial request belongs to is displayed, only the initial request is displayed within this session.

Remove the filter by request ID to see all other requests in the session: now you have the full picture of what was going on within the session the malicious request belongs to.

Olaylara Yanıt Verme¶

Olaylar, tespit edilmiş bir güvenlik açığına yönelik saldırılardır.

Olay Olaylar bölümünde göründükten sonra:

1. Opsiyonel olarak (önerilir), olayın zararlı isteklerinin tam bağlamını araştırın: bu isteklerin hangi kullanıcı oturumuna ait olduğu ve bu oturumdaki isteklerin tam dizisinin ne olduğu.

   Bu, tehdit aktörünün tüm aktivitesini ve mantığını görmenizi, saldırı vektörlerini anlamanızı ve hangi kaynakların tehlikeye girebileceğini belirlemenizi sağlar.

2. Güvenlik Açıkları sütunundaki bağlantıyı takip edin; bu, ilgili güvenlik açığı hakkında ayrıntılı bilgi, nasıl düzeltileceğine dair talimatlar ve ilgili olayların listesini sunar.

   

   Güvenlik açığını düzeltin ve ardından Wallarm'da kapalı olarak işaretleyin. Ayrıntılı bilgi için lütfen Güvenlik Açıklarını Yönetme makalesine bakın.

3. Listedeki olaya geri dönün, sistem tepkisini hangi mekanizmanın tetiklediğini inceleyin (saldırıların Blocked, Partially blocked ve Monitoring durumlarına dikkat edin), sistemin benzer isteklere gelecekte nasıl davranacağını ve gerekirse bu gelecekteki davranışı nasıl ayarlayacağınızı belirleyin.

   Olaylar için bu araştırma ve ayarlama, diğer saldırılar için aynı şekilde yapılmaktadır.

Olayları Almak için API Çağrıları¶

Olay detaylarını almak için Wallarm Console UI'nin yanı sıra Wallarm API'sını direkt olarak çağırabilirsiniz. Aşağıda, son 24 saatte tespit edilen ilk 50 olayı almak için API çağrısının örneği verilmiştir.

İstek, saldırıların listesini almak için kullanılan isteğe benzer; "!vulnid": null ifadesi olayları talep etmek amacıyla eklenmiştir. Bu ifade, API'ya belirli bir vulnerability ID'si olmayan tüm saldırıları göz ardı etmesini söyler ve sistemin saldırılar ile olaylar arasındaki ayrımı yapma biçimidir.

Lütfen TIMESTAMP değerini, 24 saat öncesinin Unix Timestamp formatına dönüştürülmüş tarihiyle değiştirin.

curl -v -X POST "https://us1.api.wallarm.com/v1/objects/attack" -H "X-WallarmApi-Token: <YOUR_TOKEN>" -H "accept: application/json"  -H "Content-Type: application/json" -d "{ \"filter\": { \"clientid\": [YOUR_CLIENT_ID], \"\!vulnid\": null, \"time\": [[TIMESTAMP, null]] }, \"offset\": 0, \"limit\": 50, \"order_by\": \"last_time\", \"order_desc\": true}"

curl -v -X POST "https://api.wallarm.com/v1/objects/attack" -H "X-WallarmApi-Token: <YOUR_TOKEN>" -H "accept: application/json" -H "Content-Type: application/json" -d "{ \"filter\": { \"clientid\": [YOUR_CLIENT_ID], \"\!vulnid\": null, \"time\": [[TIMESTAMP, null]] }, \"offset\": 0, \"limit\": 50, \"order_by\": \"last_time\", \"order_desc\": true}"

Was this page helpful?

How can we improve this article? (Optional)

Information is unclear or confusing

Insufficient information

Outdated or incorrect information

0/240

Send