Мониторинг атак

«Weblock.» отслеживает события безопасности и сообщает пользователю о появлении новых событий безопасности пиктограммой lk_red_ben в правом верхнем углу окна, рядом с пиктограммой профиля пользователя.

Для отслеживания кибератак и мониторинга событий безопасности предоставляется два функционала:

  • таблица атак,

  • графики атак.

Таблица атак

Таблица атак открывается на начальном экране, а также, если в левом вертикальном меню перейти в раздел «Таблица атак».

../_images/user_guide_194ta.png

В таблице отображаются события совершенных атак по каждому кластеру. Выбор кластера доступен над таблицей в поле Кластер.

Рядом расположено поле Режим просмотра. Мониторинг атак доступен в двух режимах:

  • Таблица,

  • Поток.

По умолчанию открыт режим таблицы. В режиме потока можно задать время обновления событий, а также поставить поток событий на паузу и запустить его снова.

../_images/user_guide_195ta.png

В любом режиме просмотра таблицы атак ее можно отсортировать по дате и отфильтровать по фактору риска, IP-адресу атакующего, защищаемому домену, сервису запроса, URI запроса, идентификатору. Сортировка и фильтрация задаются в шапке таблицы, а также, если в таблице кликнуть по конкретному значению фактора риска, IP-адреса, домена. Можно выбрать по одному фильтру из каждой категории. Данные для фильтрации показываются в блоке фильтров над шапкой таблицы.

Сортировка по дате предусматривает задание диапазона дат, от одного дня до периода. Сортировка по дате регулируется в шапке таблицы пиктограммой lk_list – можно упорядочить события по времени: сначала новые или сначала старые.

Сортировка по фактору риска задается в шапке таблицы в столбце Фактор риска. Предусмотрено 3 значения факторов риска:

  • Высокий,

  • Средний,

  • Низкий.

Событиям безопасности по их значимости присваиваются уровни логирования. Для удобства оценки безопасности «Weblock.» распределяет события безопасности по трем факторам риска, как показано в таблице ниже.

Код уровня логирования

Уровень логирования событий безопасности

Фактор риска

0

emergency

Высокий

1

alert

Высокий

2

critical

Высокий

3

error

Средний

4

warning

Средний

5

notice

Низкий

6

info

Низкий

7

debug

Низкий

Детализация события безопасности доступна нажатием на пиктограмму lk_eye либо двойным кликом по строке события, что можно видеть на скрине выше. Детализация события безопасности содержит данные о произведенной кибератаке на защищаемый ресурс, показанные на скрине ниже.

../_images/user_guide_207ta.png

Окно детализации события позволяет задать дополнительные атрибуты для фильтрации таблицы атак. Таблицу атак можно отфильтровать по тегам классификации атаки и по ID правила. Для этого следует в детализации события кликнуть мышью по тегу или по ID правила. Атрибут, участвующий в фильтрации, выделяется в детализации события. На скрине ниже показан фрагмент окна детализации события с атрибутами фильтрации.

../_images/user_guide_205ta.png

В таблице атак можно регулировать количество событий, отображаемых на странице, и перемещаться по страницам.

Графики атак

В разделе «Графики атак» (переход в левом вертикальном меню) отображается информация о совершенных атаках с возможностью получения выборки в Таблице атак.

Информация дана по каждому кластеру и за заданный период. Выбор кластера доступен над таблицей в поле Кластер. Рядом можно задать интересующий период: день, неделю, месяц, пользовательский (произвольный).

../_images/user_guide_235ta.png

График «Количество» по источникам показывает количество атак по:

  • фактору риска,

  • активным тегам,

  • активным IP-адресам,

  • активным агентам.

в линейной и квадратичной форме. Наведя курсор на узел или столбик конкретного дня, показывается количество атак в данный день по заданному источнику.

График «Количество» общее показывает количество атак за период. Наведя курсор на столбик конкретного дня, показывается количество атак в данный день.

График «Типы» показывает распределение атак по типам в количественном и процентном соотношении.

График «Критичность» показывает распределение атак по фактору риска. Если подвести курсор на столбик, показывается количество атак данного фактора риска.

График «Источники» показывает процентное соотношение атак по источникам трафика, IP-адреса и страны источников трафика.

../_images/Weblock_Logos_small.png