Segnalazioni
Il traffico HTTP malevolo rilevato da Seer Box può essere inviato dinamicamente verso molteplici tool in grado di raccogliere e processare tali dati, come SIEM e software di data analysis, che permettono di osservare lo stato dei propri sistemi da differenti prospettive ed intervenire in maniera più puntuale e precisa in caso di attacco.
Seer Box consente quindi di inviare i log delle singole transazioni malevole verso più destinazioni, ciascuna delle quali configurata con un proprio indirizzo, porta e protocollo (TCP o UDP) in ascolto, nonché uno specifico formato atteso.
Le diverse destinazioni possono essere configurate e gestite dall'interfaccia web di Seer Box o tramite le sue API REST.
Tipologie e formati
Generic
La tipologia Generic raccoglie tutti i formati che possono essere utilizzati per differenti categorie di destinazioni, come il formato JSON.
Formato: JSON
{
"alert_id":"00.2-1-0.xxxxxxxx.xxxxxxxx.xxxxxxxx",
"id":"xxxxxxxx",
"network":"XXX.XXX.XXX.XXX/XX",
"response_size":0,
"rq_cookie":[
[
"key",
"value"
]
],
"rq_authorization":"xxxxxxxxxxx",
"last_hop_port":54402,
"rq_referer":"http://xxxxxxxxx.xxx/",
"method":"POST",
"request_body":"hash_of_the_body",
"as_number":"000000",
"path":"/vulnerable",
"rp_headers":null,
"last_hop":"XXX.XXX.XXX.XXX",
"attack_name":"SQL Injection",
"timestamp":1708961062000000,
"continent":"xx",
"status_code":500,
"client_address":"XXX.XXX.XXX.XXX",
"country":"xx",
"parameters":[
[
"key",
"value"
]
],
"as_organization":"xxxxxxxxxxxx",
"response_body":null,
"attack_code":"2-1-0",
"protocol_version":"HTTP/2.0",
"rq_host":"xxxxxxxx.xxx",
"latitude":"XX.XXXX",
"rq_headers":{
"Content-Type":"application/json",
"Cookie":"key=value",
"Host":"xxxxxxxx.xxx",
"Referer":"http://xxxxxxxxx.xxx/",
"User-Agent":"malicious-user-agent",
"X-Forwarded-For":"XXX.XXX.XXX.XXX"
},
"server_port":443,
"server_address":"XXX.XXX.XXX.XXX",
"state":"xxxxxxxxx",
"city":"xxxxxxxx",
"pattern":"malicious_pattern",
"longitude":"XXX.XXX",
"attack_category":"Injection",
"rq_user_agent":"malicious-user-agent",
"request_size":2132
}
SIEM
La tipologia SIEM racchiude i differenti formati accettati dai diversi SIEM commerciali e open-source, come il formato CEF ed il formato LEEF.
Formato: CEF
CEF:1|Pluribus One|Seer Box|23.4.1|Injection|SQL Injection|5|alertId=01.3-3-2.xxxxxxxx.xxxxxxxx.xxxxxxxx attackPattern=malicious_pattern dhost=xxxxxxxx.xxx dpt=54402 dst=XXX.XXX.XXX.XXX httpRespCode=500 in=443 lastHop=XXX.XXX.XXX.XXX out=0 request=/vulnerable requestApplication=malicious-user-agent requestContext=http://xxxxxxxx.xxx/ requestMethod=POST rt=Feb 26 2024 15:35:30 src=XXX.XXX.XXX.XXX
Formato: LEEF
LEEF:2|Pluribus One|Seer Box|23.4.1|SQL Injection|Injection||alertId=01.3-3-2.xxxxxxxx.xxxxxxxx.xxxxxxxx attackPattern=malicious_pattern dhost=xxxxxxxx.xxx dpt=54402 dst=XXX.XXX.XXX.XXX httpRespCode=500 in=443 lastHop=XXX.XXX.XXX.XXX out=0 request=/vulnerable requestApplication=malicious-user-agent requestContext=http://xxxxxxxx.xxx/ requestMethod=POST rt=Feb 26 2024 15:35:30 src=XXX.XXX.XXX.XXX
Aggiungere una destinazione
L'aggiunta di una destinazione di segnalazioni è consentita unicamente agli utenti del gruppo admins o ad utenti appartenenti ad un gruppo con permesso relativo alla gestione delle segnalazioni (Handle notifications).
Dall'interfaccia web di Seer Box
-
Accedere alla sezione
Settings - Notifications: in questa sezione è possibile visionare la lista di destinazioni di segnalazioni già aggiunte. Cliccando sul singolo elemento verranno visualizzate le informazioni di dettaglio ad esso relative. -
Cliccare sul bottone
Create notificationnell'angolo in alto a destra della pagina. -
Inserire i dati per la creazione:
- Enabled - switch per abilitare o disabilitare la destinazione di segnalazione.
- Name - nome della destinazione. Dovrà essere differente rispetto a quelle già esistenti.
- Destination address - indirizzo IP della destinazione.
- Destination port - porta della destinazione.
- Protocol - protocollo di invio della segnalazione.
- Notification type - tipologia della destinazione. La tipologia permette di categorizzare i differenti formati definiti nel campo successivo.
- Notification format - formato della segnalazione. Indica la struttura della riga di log inviata verso la destinazione.
-
Cliccare sul bottone
Savenell'angolo in alto a destra della pagina.
La nuova destinazione sarà presente nella pagina di riepilogo.
Modificare una destinazione
La modifica di una destinazione di segnalazioni è consentita unicamente agli utenti del gruppo admins o ad utenti appartenenti ad un gruppo con permesso relativo alla gestione delle segnalazioni (Handle notifications).
Dall'interfaccia web di Seer Box
-
Accedere alla sezione
Settings - Notifications: in questa sezione è possibile visionare la lista di destinazioni di segnalazioni già aggiunte. Cliccando sul singolo elemento verranno visualizzate le informazioni di dettaglio ad esso relative. -
Cliccare sul bottone
Editcon l'icona di una matita posizionato sull'estremità destra della destinazione che si vuole modificare. -
Modificare i campi scelti.
-
Cliccare sul bottone
Savenell'angolo in alto a destra della pagina.
Eliminare una destinazione
L'eliminazione di una destinazione di segnalazioni è consentita unicamente agli utenti del gruppo admins o ad utenti appartenenti ad un gruppo con permesso relativo alla gestione delle segnalazioni (Handle notifications).
L'eliminazione di una destinazione è un'operazione irreversibile: una volta effettuata sarà necessario ripetere l'operazione di creazione per ripristinare l'elemento.
Nel caso in cui si volesse disabilitare la destinazione senza eliminare la configurazione sarà sufficiente modificare l'elemento disabilitando lo switch Enabled.
Dall'interfaccia web di Seer Box
-
Accedere alla sezione
Settings - Notifications: in questa sezione è possibile visionare la lista di destinazioni di segnalazioni già aggiunte. Cliccando sul singolo elemento verranno visualizzate le informazioni di dettaglio ad esso relative. -
Selezionare una o più destinazioni da eliminare cliccando sul checkbox posizionato all'estremità sinistra di ciascun elemento.
-
Selezionato almeno un elemento, comparirà un bottone con l'icona di un cestino in alto a destra rispetto alla lista delle destinazioni.
-
Cliccando su tale bottone verrà visualizzata a schermo una modale di conferma dell'operazione. Cliccare sul bottone
Confirmper confermare.