Управление атаками

Материал из Документация Ключ-АСТРОМ

Атака — это любой запрос (вызов) с определенного IP-адреса клиента к коду вашего приложения со злым умыслом (например, для доступа или удаления защищенной информации с помощью SQL-инъекции). Ключ-АСТРОМ Runtime Application Protection позволяет обнаруживать и блокировать атаки на все отслеживаемые приложения в вашей среде. Как только ЕдиныйАгент обнаруживает атаку, Ключ-АСТРОМ добавляет уязвимость на уровне кода для соответствующей атаки в список уязвимостей на уровне кода в вашей среде.

После включения защиты приложений во время выполнения в правом верхнем углу страницы « Атаки» отображается вращающийся радар, указывающий на то, что ваша среда отслеживается. Если защита приложений во время выполнения отключена, информация на этой странице недоступна, а экран радара в правом верхнем углу останавливается с предупреждением о том, что мониторинг остановлен. Пожалуйста, проверьте настройки . Перейдите по соответствующей ссылке, чтобы включить защиту приложений во время выполнения.

Список атак

Чтобы просмотреть список атак в вашей среде, в меню Ключ-АСТРОМ перейдите к Attacks . Отображается следующая информация.

Инфографика ключевых особенностей

  • Общий обзор того, сколько атак произошло в соответствии с выбранным вами периодом времени и зоной управления . Существует три типа атак, выберите любой из них, чтобы перейти к атакам, отфильтрованным по соответствующему типу:
    • Эксплуатировано: Атака прошла. Это происходит, если активирован режим мониторинга.
    • Заблокировано: атака была заблокирована. Это происходит, если активирован режим блокировки.
    • Разрешённый: Вы позволяете атаке пройти. Это происходит, когда вы добавляете атаку в свой белый список.
  • Ваш текущий режим управления глобальной атакой ( Monitoring, Blocking, Off). Выбрав его, вы попадете на страницу Защита приложений: Общие настройки , где вы можете изменить свою конфигурацию. Дополнительные сведения см. в разделе Настройка защиты приложений во время выполнения .
  • Расположение источников атак: карта стран, из которых произошли атаки, на основе выбранного периода времени.
    • Карта окрашена, чтобы указать количество атак, исходящих из определенных стран; подробности см. в легенде карты. Выберите страну, чтобы просмотреть дополнительную информацию об атаках из этой страны:
      • IP-адреса: количество уникальных IP-адресов , с которых были совершены атаки.
      • Места: количество уникальных местоположений в стране, откуда были совершены атаки.
      • Атаки: общее количество атак из локации.
      • Количество: показатель количества атак слева (ноль атак) вправо (несколько атак). Индикатор, полностью расположенный справа, означает, что из выбранной страны исходит больше всего атак по сравнению с другими странами.
      • Последние атаки — это список самых последних зарегистрированных атак, отображающий тип инъекции, исходный IP-адрес злоумышленника, отметку времени и город. Чтобы отфильтровать список атак по выбранной стране, выберите Фильтр атак из этой страны .
    • Затененное местоположение — это место, из которого не было совершено никаких атак в течение выбранного периода времени, поэтому подробности недоступны.
  • Атаки с течением времени: график количества атак (эксплуатированных, заблокированных, внесенных в белый список) за выбранный период времени. Срок по умолчанию Last two hours. Вы можете установить другой фильтр на глобальном таймфрейме .

Обнаружены атаки

Список обнаруженных атак в вашей среде. Для оптимизации производительности одновременно отображается не более 500 атак. Вы можете сузить результаты, применив фильтры . Чтобы отсортировать список по какому-либо элементу, выберите соответствующий заголовок столбца. Чтобы добавить или удалить заголовки столбцов, выберите Формат таблицы .

Атака

  • ID атаки Ключ-АСТРОМ (пример: A-10RHSM)
  • Краткая версия кода расположения точки входа атаки (пример: org.springframework.web.filter.DelegatingFilterProxy.invokeDelegate():135).
  • Имя атакуемой группы процессов (пример: BloatedJavaSoftwareGroup-IG-1)
  • Символ общественного воздействия, если есть какое-либо публичное представление. Если символ зачеркнут и перечеркнут, публичного доступа нет. Если символ отсутствует, данные недоступны.
  • Символ доступных данных, если затронуты какие-либо активы доступных данных. Если символ неактивен и перечеркнут, доступные активы данных не затронуты. Если символ отсутствует, данные недоступны.

Входная точка

URL-адрес запроса (пример: /image).

Исходный IP-адрес

IPv4 или IPv6 адрес злоумышленника.

Расположение

Страна, из которой исходит атака.

Тип

Тип эксплойта:

  • Внедрение SQL: нацеливается на базу данных.
  • Внедрение команды: нацеливается на хост.
  • Внедрение JNDI: нацелено на хост.

Положение дел

Как контролируется атака в зависимости от ваших настроек конфигурации :

  • Эксплуатировано: Атака прошла. Это происходит, если активирован режим мониторинга.
  • Заблокировано: атака была заблокирована. Это происходит, если активирован режим блокировки.
  • Внесен в список разрешенных: вы позволили атаке пройти. Это происходит, когда вы добавляете атаку в свой белый список.

Отметка времени

Время, когда произошло нападение.

Подробности

Разверните строки атаки для получения подробной информации или для выполнения следующих действий:

  • Выберите Добавить в белый список , если вы хотите добавить и настроить новое правило исключения для атаки. Дополнительные сведения см. в разделе Определение правил исключений .
  • Выберите Блокировать атаку, если вы хотите добавить и определить новое правило для блокировки атаки. Дополнительные сведения см. в разделе Определение конкретных правил управления атаками .
  • Выберите Просмотр сведений об атаке , чтобы перейти на страницу сведений об атаке .

Детали атаки

Чтобы просмотреть сведения об атаке, выберите атаку на странице «Атаки» . Отображается следующая информация.

Название атаки

Пример заголовка:

  • Тип эксплойта ( SQL injection, Command injection, или JNDI injection)
  • ID атаки Ключ-АСТРОМ (пример: A-1L7MYU)
  • Имя атакуемой группы процессов (пример: BloatedJavaSoftwareGroup-IG-1)

Инфографика ключевых особенностей

  • Тип атаки ( Exploited, blocked, allowlisted)
  • Публичное интернет-разоблачение: если есть какое-либо общедоступное интернет-разоблачение. Возможные состояния:
    • Публичная сеть: общедоступный доступ в Интернет.
    • Нет воздействия: не было обнаружено воздействия в Интернете.
    • Недоступно: данные недоступны, так как соответствующие узлы работают в режиме только инфраструктуры. Подробнее см. в разделе Режимы мониторинга .
  • Доступные активы данных: если затронуты какие-либо доступные активы данных. Возможные состояния:
    • В пределах диапазона: затронуты доступные активы данных.
    • Не затронуто: не найдено доступных ресурсов данных.
    • Недоступно: данные недоступны, так как соответствующие узлы работают в режиме только инфраструктуры. Подробнее см. в разделе Режимы мониторинга .
  • Экземпляр группы процессов: имя затронутого процесса.
  • Уязвимость: тип внедрения и расположение уязвимого кода.
  • Временная метка: время, когда произошла атака.
  • IP-адрес источника: IP-адрес, с которого произошла атака.

Доступны следующие действия:

  • Выберите Добавить в белый список , чтобы добавить атаку в белый список .
  • Выберите Блокировать атаку , чтобы заблокировать атаку .

Путь атаки

Путь атаки представляет собой визуальное представление атаки и содержит следующие шаги:

  1. IP-адрес источника: IP-адрес, с которого произошла атака.
  2. Точка входа: путь запроса, содержащего вредоносную полезную нагрузку, используемую для этой атаки.
  3. Уязвимость: использованная уязвимость на уровне кода.
  4. В зависимости от типа впрыска:
  • Цель: отображает атакуемый хост (для команд и инъекций JNDI).
  • База данных: отображает атакуемую базу данных (для SQL-инъекций).

Входная точка

  • URL: URL-адрес, используемый для атаки.
  • Функция точки входа: функция, в которой вредоносная полезная нагрузка была впервые доступна в атакуемом процессе.
  • Полезная нагрузка: параметр HTTP, содержащий вредоносную полезную нагрузку и ее значение.

Уязвимость

  • Имя: использованная уязвимость на уровне кода.
  • Местоположение кода: место в коде, где вызывается функция точки входа. Примечание. Если местоположение недоступно, код местоположения не отображается.
  • Уязвимая функция: функция, которая использовала часть полезной нагрузки злоумышленника, что привело к эксплуатации уязвимости.
  • В зависимости от типа впрыска
    • Оператор SQL (в случае внедрения SQL)
    • Команда (в случае внедрения команды)
    • Имя поиска JNDI (в случае внедрения JNDI).

Фактический вредоносный ввод выделен. Выберите Просмотреть уязвимость , чтобы перейти на страницу сведений о соответствующей уязвимости на уровне кода .

Журналы, связанные с процессом, вокруг временной метки атаки

Обработайте журналы, которые произошли примерно в то же время, что и атака (+/- 5 минут), и которые могут быть связаны с атакой. Для просмотра этой информации необходимо настроить Мониторинг журналов .

Выберите Просмотреть все журналы, связанные с процессом, чтобы перейти на страницу просмотра журнала со списком всех журналов, связанных с процессом.

Идентифицированный запрос

Сведения о вредоносном запросе, такие как запрос, хост, пользовательский агент, заголовки HTTP и параметры.

Атаки на одну и ту же уязвимость

  • Определяет, сколько атак на одну и ту же уязвимость произошло за последние 30 дней, и отображает соотношение использованных, заблокированных и разрешенных атак к общему количеству атак. При наличии нескольких атак с разных IP-адресов на одно и то же уязвимое место все соответствующие атаки привязываются к одной и той же уязвимости.
  • Перечисляет последние пять атак, которые произошли за последние 30 дней, с такими подробностями, как идентификатор атаки Ключ-АСТРОМ (и ссылка на соответствующую страницу сведений об уязвимости на уровне кода ), точка входа, статус (использовано, заблокировано, внесен в белый список), IP-адрес источника, и отметка времени.

Доступны следующие действия:

  • Выберите параметры защиты приложений , чтобы перейти на страницу «Защита приложений: общие параметры» и отредактируйте конфигурацию.
  • Выберите Просмотреть все атаки , чтобы перейти на страницу Атаки .

Сведения о злоумышленнике

Подробная информация о злоумышленнике, например:

  • IP: IP-адрес злоумышленника.
  • Временная метка: время, когда произошла атака.
  • Местоположение: страна злоумышленника, полученная из IP-адреса.
  • Атаки: сколько предыдущих атак было совершено на одну и ту же уязвимость и сколько в целом от одного и того же злоумышленника за последние 30 дней.

Определение IP-адреса клиента

Когда веб-запросы отправляются напрямую на контролируемый сервер, Ключ-АСТРОМ идентифицирует IP-адреса устройств конечных пользователей через соединения через сокеты. Однако при использовании неконтролируемых компонентов, таких как балансировщики нагрузки, CDN или прокси-серверы, удаленный IP-адрес отличается от исходного IP-адреса. В таких случаях Ключ-АСТРОМ также учитывает определенные заголовки HTTP. Эти заголовки чаще всего используются для идентификации исходного IP-адреса, когда клиент подключается к веб-серверу через HTTP-прокси, CDN или балансировщик нагрузки, и их нельзя настроить.

Фильтровать атаки

На странице «Атаки» есть несколько способов фильтрации атак, как показано ниже.

Фильтровать по глобальному таймфрейму

Вы можете использовать глобальный селектор временных рамок для фильтрации атак, которые произошли в течение определенного периода времени.

Фильтровать по зоне управления

Если вы фильтруете по определенной зоне управления, будут отображаться только атаки из этой зоны управления. Это ограничение также влияет на карту локаций источников атак , диаграмму «Атаки во времени» , а также на сам список атак.

Примечание. Как только атаки происходят, они назначаются существующим зонам управления. Они могут быть только частью зон управления, существующих на момент атаки. Создание зоны управления для уже произошедшей атаки не повлияет на нее, и атака не будет ее частью.

Сведения о том, как настраивать и применять зоны управления, а также о правилах, определяющих и ограничивающих доступ к сущностям в зоне управления, см. в разделе Зоны управления .

Фильтровать по деталям атаки

На панели фильтров доступны следующие фильтры.

  • Имя группы процессов: отображает атаки на основе имени группы процессов.
  • Точка входа: отображает атаки на основе пути запроса URL.
  • IP-адрес источника: отображает атаки на основе точного IPv4- или IPv6-адреса злоумышленника. Дополнительные сведения см. в разделе IP-адрес клиента .
  • Местоположение источника атаки: отображает атаки в зависимости от местоположения (страны), из которого они были сгенерированы.
  • Тип: отображает атаки в зависимости от типа эксплойта (внедрение SQL, внедрение команды или внедрение JNDI).
  • Статус: отображает атаки в зависимости от статуса атаки ( blocked, allowlisted, или exploited). Подробности смотрите в настройках конфигурации .

Примечание. Вы также можете отфильтровать статус атаки, выбрав любой тип атаки на панели общего обзора в верхней части страницы « Атаки» .

Фильтровать по расположению источника атаки

На карте Места источников атак выберите любое место, из которого были сгенерированы атаки, а затем выберите Фильтр для атак из этой страны .