События. Таблица атак

Таблица атак открывается на начальном экране, а также, если в левом вертикальном меню перейти в раздел «События» – «Таблица атак».

../_images/user_guide_333ta.png

В таблице отображаются события совершенных атак по каждому кластеру. Выбор кластера доступен над таблицей в поле Кластер.

Рядом расположено поле Режим просмотра. Мониторинг атак доступен в двух режимах:

  • Таблица,

  • Поток.

По умолчанию открыт режим таблицы. В режиме потока можно задать время обновления событий, а также поставить поток событий на паузу и запустить его снова.

../_images/user_guide_502ta.png

В любом режиме просмотра таблицы атак ее можно отсортировать по дате и отфильтровать по фактору риска, IP-адресу атакующего, защищаемому домену, URI запроса, сервису запроса, идентификатору, а также по действиям (заблокировано/пропущено). Сортировка и фильтрация задаются в заголовке таблицы, а также, если в таблице кликнуть по конкретному значению фактора риска, IP-адреса, домена. Можно выбрать по одному фильтру из каждой категории. Данные для фильтрации показываются в блоке фильтров над заголовком таблицы.

Сортировка по дате предусматривает задание диапазона дат, от одного дня до периода. Сортировка по дате регулируется в заголовке таблицы пиктограммой lk_list – можно упорядочить события по времени: сначала новые или сначала старые.

Сортировка по фактору риска задается в заголовке таблицы в столбце Фактор риска. Предусмотрено 3 значения факторов риска:

  • Высокий,

  • Средний,

  • Низкий.

Событиям безопасности по их значимости присваиваются уровни фиксации. Для удобства оценки безопасности «Weblock.» распределяет события безопасности по трем факторам риска, как показано в таблице ниже.

Код уровня фиксации

Уровень фиксации событий безопасности

Фактор риска

0

Emergency

Высокий

1

Alert

Высокий

2

Critical

Высокий

3

Error

Средний

4

Warning

Средний

5

Notice

Низкий

6

Info

Низкий

7

Debug

Низкий

Если атака состоит из событий безопасности разных факторов риска (например, высоких и средних), то в таблице эта атака фигурирует с максимальным фактором (в данном примере высоким). При фильтрации атак по фактору риска учитывается только максимальное значение фактора риска.

Детализация события безопасности доступна нажатием на пиктограмму lk_eye либо двойным кликом по строке события, что можно видеть на рисунке выше. Детализация события безопасности содержит данные о произведенной кибератаке на защищаемый ресурс, показанные на рисунке ниже.

../_images/user_guide_554ta.png

Окно детализации события позволяет задать дополнительные атрибуты для фильтрации таблицы атак. Таблицу атак можно отфильтровать по тегам классификации атаки и по ID правила. Для этого следует в детализации события кликнуть мышью по тегу или по ID правила. Атрибут, участвующий в фильтрации, выделяется в детализации события. На рисунке ниже показан фрагмент окна детализации события с атрибутами фильтрации.

../_images/user_guide_555ta.png

По пиктограмме lk_ta_eye открывается соответствующее правило ModSecurity.

Поле Режим работы позволяет переключать состояние правила между значениями «Блокировка» / «Обучение» для соответственно блокировки / разблокировки запросов, вызывающих данное событие безопасности.

В режиме блокировки атаки фиксируются и блокируются. В режиме обучения атаки фиксируются, но не блокируются.

../_images/Weblock_Logos_small.png