Como encontrar o score de requisições bloqueadas pelo WAF
O Web Application Firewall (WAF) da Azion gera resultados relevantes para a manutenção da segurança de suas edge applications. Essas informações podem ser acessadas através Real-Time Events, utilizando consultas (queries) específicas.
Este guia inclui algumas queries do WAF disponíveis no Real-Time Events para acessar os dados de requisições bloqueadas pelo WAF e entender o motivo pelo qual foram bloqueadas, resolver problemas e identificar possíveis falsos positivos.
Saiba mais sobre o Real-Time EventsConsulte o WAF no Real-Time Events
Para encontrar informações de requisições bloqueadas pelo WAF no Real-Time Events, siga os passos:
- Acesse o Azion Console > Real-Time Events.
- Selecione a tab HTTP Requests para obter os logs de eventos de requisições feitas às suas edge applicationes e firewalls.
- No menu suspenso, defina o intervalo de tempo desejado.
- Exemplo: requisições feitas nos
Last 15 minutes, ou escolha um período de tempo.
- Exemplo: requisições feitas nos
- No campo Search, escreva as queries de busca.
Veja dois exemplos de queries que podem ser utilizadas para encontrar requisições barradas pelo WAF:
host='domain.com' AND waf_attack_action='$BLOCK'
host='domain.com' AND status='400' AND upstream_status='0'
Em ambos exemplos, substitua domain.com pelo domínio da sua edge application.
- Os resultados desses dois comandos serão semelhantes, mas é possível encontrar pequenas variações entre as respostas.
- Selecione e clique em um dos resultados da lista para acessar todos os dados referentes a essa requisição.
- Acesse o Real-Time Manager (RTM).
- Abra o Products menu, indicado pelas três linhas horizontais, e clique em Real-Time Events.
- No campo Data Source, selecione Edge Applications.
- No menu suspenso, ao lado de Data Source, defina o intervalo de tempo desejado.
- Exemplo: requisições feitas nos
Last 15 minutes, ou escolha um período de tempo.
- Exemplo: requisições feitas nos
- No campo Filter by, escreva as queries de busca.
Veja dois exemplos de queries que podem ser utilizadas para encontrar requisições barradas pelo WAF:
host='domain.com' AND waf_attack_action='$BLOCK'
host='domain.com' AND status='400' AND upstream_status='0'
Em ambos exemplos, substitua domain.com pelo domínio da sua edge application.
- Clique no botão Search.
Os resultados desses dois comandos serão semelhantes, mas é possível encontrar pequenas variações entre as respostas.
- Selecione e clique em um dos resultados da lista para acessar todos os dados referentes a essa requisição.
Após rodar esses comandos e selecionar uma requisição, inúmeros dados serão exibidos. No entanto, no contexto do WAF, você pode analisar os campos status, upstream_status, waf_attack_action, waf_block, waf_headers, waf_learning, waf_match e waf_score.
Quanto maior o valor do campo waf_score, mais indicativos de ameaças foram encontrados nesta requisição. Se o resultado for - significa que nenhum indicativo de ameaça foi encontrado. Por esse motivo, quanto mais rígido for o nível de sensibilidade definido no seu WAF, maior será a quantidade de requisições barradas com waf_score baixo.
Contribuidores
