События. Таблица атак

Таблица атак открывается на начальном экране, а также, если в левом вертикальном меню перейти в раздел «События» – «Таблица атак». (На рисунке ниже поля для фильтрации и сортировки приведены частично.)

../_images/user_guide_333ta.png

Кластер - выбор кластера, для которого отображается таблица атак.

Режим просмотра:

  • Таблица (по умолчанию),

  • Поток.

../_images/user_guide_502ta.png

Время обновления: - время обновления событий в режиме потока.

lk_ta_pause - постановка потока событий на паузу и запуск его снова.

lk_eye - детализация события безопасности.

Фактор риска - уровень критичности событий безопасности:

  • Высокий,

  • Средний,

  • Низкий.

IP - IP-адрес атакующего.

Домен - защищаемый веб-ресурс (сервер кластера).

URI - URI запроса.

User Agent - сервис запроса.

Действие - запрос заблокирован или пропущен.

Событиям безопасности по их значимости присваиваются уровни фиксации, как показано в таблице ниже.

Код уровня фиксации

Уровень фиксации событий безопасности

Фактор риска

0

Emergency

Высокий

1

Alert

Высокий

2

Critical

Высокий

3

Error

Средний

4

Warning

Средний

5

Notice

Низкий

6

Info

Низкий

7

Debug

Низкий

Если атака состоит из событий безопасности разных факторов риска (например, высоких и средних), то в таблице эта атака фигурирует с максимальным фактором (в данном примере высоким). При фильтрации атак по фактору риска учитывается только максимальное значение фактора риска.

Детализация события безопасности доступна по lk_eye и содержит данные о произведенной кибератаке на защищаемый ресурс, показанные на рисунке ниже.

../_images/user_guide_554ta.png

lk_teg - один из тегов классификации атаки. Нажатие на тег позволяет фильтровать таблицу атак по тегам.

lk_identif - ID правила, обнаружившего атаку. Нажатием на идентификатор таблица атак фильтруется по ID правила.

lk_ta_eye - просмотр правила ModSecurity, соответствующего ID.

Тег и ID правила, участвующие в фильтрации, выделяются в детализации события, как показано на рисунке ниже.

../_images/user_guide_555ta.png

Режим работы - переключатель состояния правила между значениями «Блокировка» / «Обучение» для запросов, вызывающих данное событие безопасности:

  • в режиме Блокировка атаки фиксируются и блокируются;

  • в режиме Обучение атаки фиксируются, но не блокируются.

../_images/Weblock_Logos_small.png