Tetikleyicilerle Çalışma¶

Tetikleyiciler, Wallarm'ın farklı olaylara vereceği yanıtı ayarlamak için kullanılan araçlardır. Tetikleyiciler, sistemin tepki verebileceği çok sayıda olayı, uygulanabilecek çeşitli tepkilerle birleştirir. Bu yapılandırıcıya benzer süreç, şirketinizin benzersiz güvenlik ihtiyaçlarına uyan karmaşık davranışları yapılandırmanıza olanak tanır.

Tetikleyiciler, Triggers bölümünde US veya EU Cloud içinde yapılandırılır.

Nasıl çalışır¶

Her tetikleyici, yapılandırabileceğiniz aşağıdaki bileşenlerden oluşur:

• Condition: Wallarm'ın tepki vermesi gereken olay. Örneğin: belirli sayıda saldırı alınması, denylist'e alınmış IP adresi ve hesaba yeni kullanıcı eklenmesi.

• Filters: koşulun ayrıntıları. Örneğin: koşul "Günde 10.000'den fazla saldırı" ise, Type filtresini "SQLi" ve Response status değerini "200" olarak ayarlayın; bu tetikleyici için anlamı "Günde 10.000'den fazla 200 yanıtı alan SQLi saldırısı varsa harekete geç" olur.

• Reaction: belirtilen koşul ve filtreler karşılandığında gerçekleştirilmesi gereken eylem. Örneğin: Slack'e veya entegrasyon olarak yapılandırılmış başka bir sisteme bildirim göndermek, IP adresini engellemek veya istekleri brute‑force saldırısı olarak işaretlemek.

Tetikleyicilerle neler yapabilirsiniz¶

Tetikleyicileri kullanarak şunları yapabilirsiniz:

• Uygulamalarınız ve API'leriniz için aşağıdaki koruma önlemlerini sağlayın:

  • Çoklu saldırı faillerine karşı koruma
  • Brute force koruması
  • Forced browsing koruması
  • BOLA koruması

• Farklı entegrasyonlar için gelişmiş uyarılar ayarlayın.

• hit gruplandırma ile saldırı ve olayların gösterimini optimize edin.

Filtreleri anlama¶

Filtreler, koşulu detaylandırmak için kullanılır. Örneğin, brute-force, SQL injection ve diğerleri gibi belirli türdeki saldırılara yönelik tepkiler ayarlayabilirsiniz. Wallarm Console arayüzünde bir veya daha fazla filtre ekleyebilir ve bunlar için değerler belirleyebilirsiniz.

Aşağıdaki filtreler mevcuttur:

• URI (yalnızca Brute force, Forced browsing ve BOLA koşulları için): isteğin gönderildiği tam URI. URI, URI constructor veya advanced edit form aracılığıyla yapılandırılabilir.

• Type, istekte tespit edilen bir saldırının türü veya isteğin yöneldiği bir güvenlik açığı türüdür.

• Application, isteği alan uygulamadır.

• IP, isteğin gönderildiği IP adresidir.

  Bu filtre yalnızca tekil IP'leri kabul eder; alt ağlar, konumlar ve kaynak türlerine izin verilmez.

• Domain, isteği alan domaindir.

• Response status, isteğe döndürülen yanıt kodudur.

• Target, saldırının yöneltildiği veya olayın tespit edildiği uygulama mimarisi parçasıdır. Şu değerleri alabilir: Server, Client, Database.

• User's role, eklenen kullanıcının rolüdür. Şu değerleri alabilir: Deploy, Analyst, Administrator, Read only, API developer ve multitenancy özelliği etkinse Global Administrator, Global Analyst, Global Read Only.

Varsayılan tetikleyiciler¶

Yeni şirket hesapları aşağıdaki varsayılan (önceden yapılandırılmış) tetikleyicilerle gelir:

• Aynı IP'den gelen hit'leri tek bir saldırıda grupla

  Tetikleyici, aynı IP adresinden gönderilen tüm hit'leri olay listesinde tek bir saldırı halinde gruplar. Bu, olay listesini optimize eder ve daha hızlı saldırı analizini sağlar.

  Bu tetikleyici, tek bir IP adresi 15 dakika içinde 50'den fazla hit ürettiğinde tetiklenir. Yalnızca eşik aşıldıktan sonra gönderilen hit'ler saldırı içine gruplandırılır.

  Hit'ler farklı saldırı türlerine, kötü amaçlı payload'lara ve URL'lere sahip olabilir. Bu saldırı parametreleri olay listesinde [multiple] etiketiyle işaretlenecektir.

  Gruplandırılan hit'lerin farklı parametre değerleri nedeniyle, tüm saldırı için Mark as false positive düğmesi kullanılamaz, ancak belirli hit'leri yanlış pozitif olarak işaretleyebilirsiniz. Saldırının aktif doğrulanması da kullanılamayacaktır.

  Brute force, Forced browsing, Resource overlimit, Data bomb veya Virtual patch saldırı türlerine sahip hit'ler bu tetikleyicide dikkate alınmaz.

• 1 saat içinde 3'ten fazla farklı kötü amaçlı payload üretirse IP'yi 1 saatliğine Graylist'e al

  Graylist, node tarafından şu şekilde işlenen şüpheli IP adreslerinin bir listesidir: Graylist'teki IP kötü amaçlı istekler üretirse, node bunları engeller; meşru istekler ise izin alır. Graylist'in aksine, denylist uygulamalarınıza hiç ulaşmasına izin verilmeyen IP adreslerini işaret eder - node denylist'teki kaynakların ürettiği meşru trafiği bile engeller. IP Graylist'e alma, false positives azaltmayı amaçlayan seçeneklerden biridir.

  Tetikleyici, node'un herhangi bir filtreleme modunda tetiklenir; böylece node modu ne olursa olsun IP'leri Graylist'e alır.

  Ancak node, Graylist'i yalnızca safe blocking modunda analiz eder. Graylist'teki IP'lerden gelen kötü amaçlı istekleri engellemek için, önce özelliklerini öğrenerek node modunu safe blocking olarak değiştirin.

  Brute force, Forced browsing, Resource overlimit, Data bomb veya Virtual patch saldırı türlerine sahip hit'ler bu tetikleyicide dikkate alınmaz.

Herhangi bir varsayılan tetikleyiciyi geçici olarak devre dışı bırakabilirsiniz. Varsayılan tetikleyicinin sağladığı davranışı da değiştirebilirsiniz - bunun için aynı türden özel tetikleyiciler oluşturun. Herhangi bir özel tetikleyici oluşturmak varsayılanı siler; tüm özel tetikleyicilerinizi silerseniz varsayılan geri yüklenir.

Tetikleyici işleme öncelikleri¶

Aynı koşullara (örneğin, Brute force, Forced browsing, BOLA) sahip birden fazla tetikleyici olduğunda ve bunlardan bazıları URI'da daha düşük iç içelik düzeyiyle filtrelenmişse, daha düşük iç içelik düzeyi URI'sine yönelik istekler yalnızca daha düşük iç içelik düzeyi URI filtresine sahip tetikleyicide sayılır.

URI filtresi olmayan tetikleyiciler daha yüksek iç içelik düzeyi olarak kabul edilir.

Örnek:

• Aynı koşula sahip ilk tetikleyici, URI'ya göre filtre içermez (herhangi bir uygulamaya veya onun herhangi bir bölümüne yönelik istekler bu tetikleyici tarafından sayılır).

• Aynı koşula sahip ikinci tetikleyici, example.com/api URI'sına göre filtreye sahiptir.

example.com/api adresine yönelik istekler yalnızca example.com/api filtresine sahip ikinci tetikleyici tarafından sayılır.

Tetikleyicileri devre dışı bırakma ve silme¶

• Bildirim ve tepkileri olaylara göndermeyi geçici olarak durdurmak için tetikleyiciyi devre dışı bırakabilirsiniz. Devre dışı bir tetikleyici, All ve Disabled tetikleyici listelerinde görüntülenir. Olaylara bildirim ve tepkileri yeniden göndermek için Enable seçeneği kullanılır.

• Bildirim ve tepkileri olaylara kalıcı olarak durdurmak için tetikleyiciyi silebilirsiniz. Bir tetikleyiciyi silme işlemi geri alınamaz. Tetikleyici, tetikleyici listesinden kalıcı olarak kaldırılır.

Tetikleyiciyi devre dışı bırakmak veya silmek için, lütfen tetikleyici menüsünden uygun seçeneği seçin ve gerekirse işlemi onaylayın.

Was this page helpful?

How can we improve this article? (Optional)

Information is unclear or confusing

Insufficient information

Outdated or incorrect information

0/240

Send