События. Таблица атак¶
Таблица атак открывается на начальном экране, а также, если в левом вертикальном меню перейти в раздел «События» – «Таблица атак».
В таблице отображаются события совершенных атак по каждому кластеру. Выбор кластера доступен над таблицей в поле Кластер.
Рядом расположено поле Режим просмотра. Мониторинг атак доступен в двух режимах:
Таблица,
Поток.
По умолчанию открыт режим таблицы. В режиме потока можно задать время обновления событий, а также поставить поток событий на паузу и запустить его снова.
В любом режиме просмотра таблицы атак ее можно отсортировать по дате и отфильтровать по фактору риска, IP-адресу атакующего, защищаемому домену, URI запроса, сервису запроса, идентификатору, а также по действиям (заблокировано/пропущено). Сортировка и фильтрация задаются в заголовке таблицы, а также, если в таблице кликнуть по конкретному значению фактора риска, IP-адреса, домена. Можно выбрать по одному фильтру из каждой категории. Данные для фильтрации показываются в блоке фильтров над заголовком таблицы.
Сортировка по дате предусматривает задание диапазона дат, от одного дня до периода. Сортировка по дате регулируется в заголовке таблицы пиктограммой – можно упорядочить события по времени: сначала новые или сначала старые.
Сортировка по фактору риска задается в заголовке таблицы в столбце Фактор риска. Предусмотрено 3 значения факторов риска:
Высокий,
Средний,
Низкий.
Событиям безопасности по их значимости присваиваются уровни фиксации. Для удобства оценки безопасности «Weblock.» распределяет события безопасности по трем факторам риска, как показано в таблице ниже.
Код уровня фиксации |
Уровень фиксации событий безопасности |
Фактор риска |
---|---|---|
0 |
Emergency |
Высокий |
1 |
Alert |
Высокий |
2 |
Critical |
Высокий |
3 |
Error |
Средний |
4 |
Warning |
Средний |
5 |
Notice |
Низкий |
6 |
Info |
Низкий |
7 |
Debug |
Низкий |
Если атака состоит из событий безопасности разных факторов риска (например, высоких и средних), то в таблице эта атака фигурирует с максимальным фактором (в данном примере высоким). При фильтрации атак по фактору риска учитывается только максимальное значение фактора риска.
Детализация события безопасности доступна нажатием на пиктограмму либо двойным кликом по строке события, что можно видеть на рисунке выше. Детализация события безопасности содержит данные о произведенной кибератаке на защищаемый ресурс, показанные на рисунке ниже.
Окно детализации события позволяет задать дополнительные атрибуты для фильтрации таблицы атак. Таблицу атак можно отфильтровать по тегам классификации атаки и по ID правила. Для этого следует в детализации события кликнуть мышью по тегу или по ID правила. Атрибут, участвующий в фильтрации, выделяется в детализации события. На рисунке ниже показан фрагмент окна детализации события с атрибутами фильтрации.
По пиктограмме открывается соответствующее правило ModSecurity.
Поле Режим работы позволяет переключать состояние правила между значениями «Блокировка» / «Обучение» для соответственно блокировки / разблокировки запросов, вызывающих данное событие безопасности.
В режиме блокировки атаки фиксируются и блокируются. В режиме обучения атаки фиксируются, но не блокируются.