Amazon S3¶

Amazon S3, veya Amazon Simple Storage Service, Amazon Web Services (AWS) tarafından sunulan ölçeklenebilir bir bulut depolama hizmetidir. Veri yedeklemesi, veri arşivlemesi, içerik dağıtımı, web sitesi barındırma ve uygulama veri depolama gibi çeşitli amaçlar için kullanılır. Wallarm'ı, algılanan hit'ler hakkında bilgilerin bulunduğu dosyaları Amazon S3 bucket'ınıza gönderecek şekilde ayarlayabilirsiniz. Bilgiler, her 10 dakikada bir JSON formatındaki dosyalar halinde gönderilecektir.

Her hit için veri alanları:

time - hit tespit tarih ve saati Unix Timestamp formatında
request_id
ip - saldırganın IP'si
Hit kaynağı türü: datacenter, tor, remote_country
application_id
domain
method
uri
protocol
status_code
attack_type
block_status
payload
point
tags

Dosyalar, wallarm_hits_{timestamp}.json veya wallarm_hits_{timestamp}.jsonl adlandırma kuralları kullanılarak S3 bucket'ınıza kaydedilecektir. Format, JSON Array veya New Line Delimited JSON (NDJSON) seçeneklerinden entegrasyon kurulumu sırasında tercihinize bağlı olacaktır.

Entegrasyonu Ayarlama¶

Amazon S3 ile entegrasyonu kurarken, kullanacağınız yetkilendirme yöntemine karar vermeniz gerekir:

Via role ARN (recommended) - dış ID seçeneğine sahip roller kullanarak kaynaklara erişim izni vermek, AWS tarafından recommended yöntemi olarak tavsiye edilir; bu yöntem, güvenliği artırır ve "confused deputy" saldırılarını önler. Wallarm, organizasyon hesabınıza özel benzersiz bir ID sağlar.
Via secret access key - daha yaygın, daha basit bir yöntem olup, AWS IAM kullanıcınızın paylaşılan access key gerektirir. Bu yöntemi seçtiğinizde, entegrasyonda kullanılan S3 bucket'a yalnızca yazma iznine sahip ayrı bir IAM kullanıcısının access key'ini kullanmanız tavsiye edilir.

Bir Amazon S3 entegrasyonu ayarlamak için:

Wallarm için bir Amazon S3 bucket'ı, talimatları izleyerek oluşturun.
Seçtiğiniz yetkilendirme yöntemine bağlı olarak farklı adımları takip edin.
Role ARNSecret access key
1. AWS UI'da, S3 → bucket'ınızı → Properties sekmesine gidin ve bucket'ınızın AWS Region ve Amazon Resource Name (ARN) kodunu kopyalayın.
  
  Örneğin, bölge olarak us-west-1 ve ARN olarak arn:aws:s3:::test-bucket-json.
2. Wallarm Console UI'da, Integrations bölümünü açın.
3. AWS S3 bloğuna tıklayın veya Add integration butonuna tıklayıp AWS S3'ü seçin.
4. Bir entegrasyon adı girin.
5. Daha önce kopyaladığınız S3 bucket'ınızın AWS bölge kodunu girin.
6. S3 bucket adınızı girin.
7. Sağlanan Wallarm hesap kimliğini kopyalayın.
8. Sağlanan dış ID'yi kopyalayın.
9. AWS UI'da, IAM → Access Management → Roles altında yeni rol oluşturmayı başlatın.
10. Güvenilen varlık türü olarak AWS account → Another AWS Account'ı seçin.
11. Wallarm Account ID'sini yapıştırın.
12. Require external ID seçeneğini seçin ve Wallarm tarafından sağlanan dış ID'yi yapıştırın.
13. Next butonuna tıklayın ve rolünüz için aşağıdaki policy'i oluşturun:
  
  { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "s3:PutObject", "Resource": "<YOUR_S3_BUCKET_ARN>/*" } ] }
14. Rol oluşturmayı tamamlayın ve rolün ARN'sini kopyalayın.
15. Wallarm Console UI'daki entegrasyon oluşturma diyaloğunda, Role ARN sekmesinde rolünüzün ARN'sini yapıştırın.
1. AWS UI'da, S3 → bucket'ınızı → Properties sekmesine gidin ve bucket'ınızın AWS Region kodunu kopyalayın, örneğin us-west-1.
2. IAM → Dashboard → Manage access keys → Access keys bölümüne gidin.
3. Depoladığınız veya yeni oluşturduğunuz/kaybolan anahtarı geri yüklediğiniz access key ID'sini alın; her durumda, aktif anahtarınıza ve anahtar ID'nize ihtiyacınız olacak.
4. Wallarm Console UI'da, Integrations bölümünü açın.
5. AWS S3 bloğuna tıklayın veya Add integration butonuna tıklayıp AWS S3'ü seçin.
6. Bir entegrasyon adı girin.
7. Daha önce kopyaladığınız S3 bucket'ınızın AWS bölge kodunu girin.
8. S3 bucket adınızı girin.
9. Secret access key sekmesinde, access key ID ve anahtarın kendisini girin.
Wallarm verileri için JSON Array veya New Line Delimited JSON (NDJSON) formatından birini seçin.
Regular notifications bölümünde, son 10 dakikadaki hit'lerin gönderilmek üzere seçili olduğundan emin olun. Seçilmezse, veriler S3 bucket'ınıza gönderilmeyecektir.

Yapılandırma doğruluğunu, Wallarm Cloud erişilebilirliğini ve bildirim formatını kontrol etmek için Test integration butonuna tıklayın.

Amazon S3 için, entegrasyon testi verilerin bulunduğu JSON dosyasını bucket'ınıza gönderir. İşte son 10 dakikada tespit edilen hit'lere ait verilerin bulunduğu JSON dosyasının örneği:

JSON ArrayNew Line Delimited JSON (NDJSON)

[
{
    "time":"1687241470",
    "request_id":"d2a900a6efac7a7c893a00903205071a",
    "ip":"127.0.0.1",
    "datacenter":"unknown",
    "tor":"none",
    "remote_country":null,
    "application_id":[
        -1
    ],
    "domain":"localhost",
    "method":"GET",
    "uri":"/etc/passwd",
    "protocol":"none",
    "status_code":499,
    "attack_type":"ptrav",
    "block_status":"monitored",
    "payload":[
        "/etc/passwd"
    ],
    "point":[
        "uri"
    ],
    "tags":{
        "lom_id":7,
        "libproton_version":"4.4.11",
        "brute_counter":"c188cd2baa2cefb3f3688cb4008a649e",
        "wallarm_mode":"monitoring",
        "final_wallarm_mode":"monitoring"
    }
},
{
    "time":"1687241475",
    "request_id":"b457fccec9c66cdb07eab7228b34eca6",
    "ip":"127.0.0.1",
    "datacenter":"unknown",
    "tor":"none",
    "remote_country":null,
    "application_id":[
        -1
    ],
    "domain":"localhost",
    "method":"GET",
    "uri":"/etc/passwd",
    "protocol":"none",
    "status_code":499,
    "attack_type":"ptrav",
    "block_status":"monitored",
    "payload":[
        "/etc/passwd"
    ],
    "point":[
        "uri"
    ],
    "tags":{
        "lom_id":7,
        "libproton_version":"4.4.11",
        "brute_counter":"c188cd2baa2cefb3f3688cb4008a649e",
        "wallarm_mode":"monitoring",
        "final_wallarm_mode":"monitoring"
    }
}
]

{"time":"1687241470","request_id":"d2a900a6efac7a7c893a00903205071a","ip":"127.0.0.1","datacenter":"unknown","tor":"none","remote_country":null,"application_id":[-1],"domain":"localhost","method":"GET","uri":"/etc/passwd","protocol":"none","status_code":499,"attack_type":"ptrav","block_status":"monitored","payload":["/etc/passwd"],"point":["uri"],"tags":{"lom_id":7,"libproton_version":"4.4.11","brute_counter":"c188cd2baa2cefb3f3688cb4008a649e","wallarm_mode":"monitoring","final_wallarm_mode":"monitoring"}}
{"time":"1687241475","request_id":"b457fccec9c66cdb07eab7228b34eca6","ip":"127.0.0.1","datacenter":"unknown","tor":"none","remote_country":null,"application_id":[-1],"domain":"localhost","method":"GET","uri":"/etc/passwd","protocol":"none","status_code":499,"attack_type":"ptrav","block_status":"monitored","payload":["/etc/passwd"],"point":["uri"],"tags":{"lom_id":7,"libproton_version":"4.4.11","brute_counter":"c188cd2baa2cefb3f3688cb4008a649e","wallarm_mode":"monitoring","final_wallarm_mode":"monitoring"}}

Add integration butonuna tıklayın.

Wallarm Cloud IP addresses

To provide Wallarm Cloud access to your system, you may need a list of its public IP addresses:

US CloudEU Cloud

35.235.66.155
34.102.90.100
34.94.156.115
35.235.115.105
34.94.85.217
34.94.51.234
34.102.59.122
34.94.238.72

34.141.230.156
34.91.138.113
34.90.114.134
35.204.127.78

Saklanan veri miktarını kontrol altında tutmak için, Amazon S3 bucket'ınızdaki eski nesnelerin otomatik olarak silinmesini ayarlamanız burada tarif edildiği şekilde tavsiye edilir.

Bir Entegrasyonu Devre Dışı Bırakma ve Silme¶

You can delete or temporarily disable the integration. While deleting stops sending notificatioins and completely deletes all configuration, disabling just stops sending notifications which you can at any moment re-enable with the same settings.

If for the integration the System related events are selected to trigger notifications, Wallarm will notify about both of these actions.

Sistem Kesintisi ve Yanlış Entegrasyon Parametreleri¶

Notifications to the system are sent via requests. If the system is unavailable or integration parameters are configured incorrectly, the error code is returned in the response to the request.

If the system responds to Wallarm request with any code other than 2xx, Wallarm resends the request with the interval until the 2xx code is received:

The first cycle intervals: 1, 3, 5, 10, 10 seconds
The second cycle intervals: 0, 1, 3, 5, 30 seconds
The third cycle intervals: 1, 1, 3, 5, 10, 30 minutes

If the percentage of unsuccessful requests reaches 60% in 12 hours, the integration is automatically disabled. If you receive system notifications, you will get a message about automatically disabled integration.