Amazon S3¶

Amazon S3, veya Amazon Simple Storage Service, Amazon Web Services (AWS) tarafından sunulan ölçeklenebilir bir bulut depolama hizmetidir. Veri yedekleme, arşivleme, içerik dağıtımı, web sitesi barındırma ve uygulama veri depolama gibi çeşitli amaçlar için kullanılır. Wallarm’ı, tespit edilen hits hakkında bilgileri Amazon S3 bucket’ınıza gönderecek şekilde yapılandırabilirsiniz. Bilgiler, her 10 dakikada bir JSON formatındaki dosyalar halinde gönderilecektir.

Her hit için veri alanları:

• time - Unix Timestamp biçiminde hit tespit tarih ve saati

• request_id

• ip - saldırganın IP’si

• Hit kaynak türü: datacenter, tor, remote_country

• application_id

• domain

• method

• uri

• protocol

• status_code

• attack_type

• block_status

• payload

• point

• tags

Dosyalar, S3 bucket’ınıza wallarm_hits_{timestamp}.json veya wallarm_hits_{timestamp}.jsonl adlandırma kuralı kullanılarak kaydedilecektir. Biçim, entegrasyon kurulumu sırasında seçiminize bağlı olarak JSON Dizisi veya Yeni Satırla Ayrılmış JSON (NDJSON) olacaktır.

Entegrasyonu yapılandırma¶

Amazon S3 ile entegrasyonu yapılandırırken hangi yetkilendirme yöntemini kullanacağınıza karar vermelisiniz:

• Rol ARN’si aracılığıyla (önerilir) - kaynaklara erişim vermek için harici kimlik (external ID) seçeneğine sahip rollerin kullanılması, güvenliği artıran ve "confused deputy" saldırılarını önleyen bir yöntem olarak AWS tarafından önerilir. Wallarm, kuruluş hesabınız için benzersiz bir kimlik sağlar.

• Gizli erişim anahtarı ile - daha yaygın ve daha basit bir yöntem olup AWS IAM kullanıcınızın paylaşılan erişim anahtarını gerektirir. Bu yöntemi seçerseniz, entegrasyonda kullanılan S3 bucket’ına yalnızca yazma iznine sahip ayrı bir IAM kullanıcısının erişim anahtarını kullanmanız önerilir.

Bir Amazon S3 entegrasyonu kurmak için:

1. Wallarm için bir Amazon S3 bucket’ı oluşturmak üzere talimatları izleyin.

2. Seçilen yetkilendirme yöntemine bağlı olarak farklı adımları uygulayın.

   Rol ARN’siGizli erişim anahtarı

   1. AWS UI’da, S3 → bucket’ınız → Properties sekmesine gidin ve bucket’ınızın AWS Region kodunu ve Amazon Resource Name (ARN) değerini kopyalayın.

      Örneğin, bölge olarak us-west-1 ve ARN olarak arn:aws:s3:::test-bucket-json.

   2. Wallarm Console UI’da, Integrations bölümünü açın.

   3. AWS S3 bloğuna tıklayın veya Add integration düğmesine tıklayıp AWS S3’ü seçin.
   4. Bir entegrasyon adı girin.
   5. S3 bucket’ınızın daha önce kopyaladığınız AWS bölge kodunu girin.
   6. S3 bucket adınızı girin.
   7. Sağlanan Wallarm account ID’yi kopyalayın.
   8. Sağlanan external ID’yi kopyalayın.
   9. AWS UI’da, IAM → Access Management → Roles altında new role oluşturmayı başlatın.
   10. Trusted entity type olarak AWS account → Another AWS Account seçin.
   11. Wallarm Account ID’sini yapıştırın.
   12. Require external ID seçeneğini işaretleyin ve Wallarm tarafından sağlanan external ID’yi yapıştırın.

   13. Next’e tıklayın ve rolünüz için ilke (policy) oluşturun:

       {
           "Version": "2012-10-17",
           "Statement": [
               {
                   "Sid": "VisualEditor0",
                   "Effect": "Allow",
                   "Action": "s3:PutObject",
                   "Resource": "<YOUR_S3_BUCKET_ARN>/*"
               }
           ]
       }
       

   14. Rol oluşturmayı tamamlayın ve rolün ARN’sini kopyalayın.

   15. Wallarm Console UI’da, entegrasyon oluşturma iletişim kutunuzda, Role ARN sekmesinde rolünüzün ARN’sini yapıştırın.

       

   1. AWS UI’da, S3 → bucket’ınız → Properties sekmesine gidin ve bucket’ınızın AWS Region kodunu kopyalayın; örneğin us-west-1.
   2. IAM → Dashboard → Manage access keys → Access keys bölümüne gidin.
   3. Bir yerde sakladığınız erişim anahtarının kimliğini (ID) alın veya burada açıklandığı gibi yeni bir anahtar oluşturun/kaybolan anahtarı geri yükleyin. Her durumda, etkin anahtarınıza ve onun ID’sine ihtiyacınız olacaktır.
   4. Wallarm Console UI’da, Integrations bölümünü açın.
   5. AWS S3 bloğuna tıklayın veya Add integration düğmesine tıklayıp AWS S3’ü seçin.
   6. Bir entegrasyon adı girin.
   7. S3 bucket’ınızın daha önce kopyaladığınız AWS bölge kodunu girin.
   8. S3 bucket adınızı girin.
   9. Secret access key sekmesinde, erişim anahtarı ID’sini ve anahtarın kendisini girin.

3. Wallarm verileri için biçimi seçin: JSON Dizisi veya Yeni Satırla Ayrılmış JSON (NDJSON).

4. Regular notifications bölümünde, son 10 dakikadaki hits öğelerinin gönderilmek üzere seçili olduğundan emin olun. Seçilmemişse, veriler S3 bucket’ına gönderilmeyecektir.

5. Yapılandırmanın doğruluğunu, Wallarm Cloud’a erişilebilirliği ve bildirim biçimini kontrol etmek için Test integration’a tıklayın.

   Amazon S3 için, entegrasyon testi verilerle birlikte JSON dosyasını bucket’ınıza gönderir. İşte son 10 dakikada tespit edilen hits verilerini içeren JSON dosyasına bir örnek:

   JSON DizisiYeni Satırla Ayrılmış JSON (NDJSON)

   [
   {
       "time":"1687241470",
       "request_id":"d2a900a6efac7a7c893a00903205071a",
       "ip":"127.0.0.1",
       "datacenter":"unknown",
       "tor":"none",
       "remote_country":null,
       "application_id":[
           -1
       ],
       "domain":"localhost",
       "method":"GET",
       "uri":"/etc/passwd",
       "protocol":"none",
       "status_code":499,
       "attack_type":"ptrav",
       "block_status":"monitored",
       "payload":[
           "/etc/passwd"
       ],
       "point":[
           "uri"
       ],
       "tags":{
           "lom_id":7,
           "libproton_version":"4.4.11",
           "brute_counter":"c188cd2baa2cefb3f3688cb4008a649e",
           "wallarm_mode":"monitoring",
           "final_wallarm_mode":"monitoring"
       }
   },
   {
       "time":"1687241475",
       "request_id":"b457fccec9c66cdb07eab7228b34eca6",
       "ip":"127.0.0.1",
       "datacenter":"unknown",
       "tor":"none",
       "remote_country":null,
       "application_id":[
           -1
       ],
       "domain":"localhost",
       "method":"GET",
       "uri":"/etc/passwd",
       "protocol":"none",
       "status_code":499,
       "attack_type":"ptrav",
       "block_status":"monitored",
       "payload":[
           "/etc/passwd"
       ],
       "point":[
           "uri"
       ],
       "tags":{
           "lom_id":7,
           "libproton_version":"4.4.11",
           "brute_counter":"c188cd2baa2cefb3f3688cb4008a649e",
           "wallarm_mode":"monitoring",
           "final_wallarm_mode":"monitoring"
       }
   }
   ]
   

   {"time":"1687241470","request_id":"d2a900a6efac7a7c893a00903205071a","ip":"127.0.0.1","datacenter":"unknown","tor":"none","remote_country":null,"application_id":[-1],"domain":"localhost","method":"GET","uri":"/etc/passwd","protocol":"none","status_code":499,"attack_type":"ptrav","block_status":"monitored","payload":["/etc/passwd"],"point":["uri"],"tags":{"lom_id":7,"libproton_version":"4.4.11","brute_counter":"c188cd2baa2cefb3f3688cb4008a649e","wallarm_mode":"monitoring","final_wallarm_mode":"monitoring"}}
   {"time":"1687241475","request_id":"b457fccec9c66cdb07eab7228b34eca6","ip":"127.0.0.1","datacenter":"unknown","tor":"none","remote_country":null,"application_id":[-1],"domain":"localhost","method":"GET","uri":"/etc/passwd","protocol":"none","status_code":499,"attack_type":"ptrav","block_status":"monitored","payload":["/etc/passwd"],"point":["uri"],"tags":{"lom_id":7,"libproton_version":"4.4.11","brute_counter":"c188cd2baa2cefb3f3688cb4008a649e","wallarm_mode":"monitoring","final_wallarm_mode":"monitoring"}}
   

6. Add integration’a tıklayın.

35.235.66.155
34.102.90.100
34.94.156.115
35.235.115.105
34.94.85.217
34.94.51.234
34.102.59.122
34.94.238.72
35.235.100.79
34.102.45.38
34.94.241.21
34.102.90.100
34.94.203.193
34.94.238.221
34.94.9.23

34.141.230.156
34.91.138.113
34.90.114.134
35.204.127.78
34.90.24.155

Saklanan veri miktarını kontrol etmek için, Amazon S3 bucket’ınızdan eski nesnelerin otomatik silinmesini burada açıklandığı şekilde yapılandırmanız önerilir.

Entegrasyonun devre dışı bırakılması ve silinmesi¶

You can delete or temporarily disable the integration. While deleting stops sending notificatioins and completely deletes all configuration, disabling just stops sending notifications which you can at any moment re-enable with the same settings.

If for the integration the System related events are selected to trigger notifications, Wallarm will notify about both of these actions.

Sistem kullanılamazlığı ve hatalı entegrasyon parametreleri¶

Notifications to the system are sent via requests. If the system is unavailable or integration parameters are configured incorrectly, the error code is returned in the response to the request.

If the system responds to Wallarm request with any code other than 2xx, Wallarm resends the request with the interval until the 2xx code is received:

• The first cycle intervals: 1, 3, 5, 10, 10 seconds

• The second cycle intervals: 0, 1, 3, 5, 30 seconds

• The third cycle intervals: 1, 1, 3, 5, 10, 30 minutes

If the percentage of unsuccessful requests reaches 60% in 12 hours, the integration is automatically disabled. If you receive system notifications, you will get a message about automatically disabled integration.

Was this page helpful?

How can we improve this article? (Optional)

Information is unclear or confusing

Insufficient information

Outdated or incorrect information

0/240

Send