Altre impostazioni
General
La sezione General permette di accedere a differenti categorie di impostazioni generali.
Dall'interfaccia web di Seer Box
- Accedere alla sezione
Settings - General.
Retention
Le impostazioni di Retention regolano gli intervalli temporali all'interno dei quali vengono conservati i dati relativi a traffico HTTP, alert, regole, metriche e audit log.
| Campo | Tipo | Descrizione |
|---|---|---|
| Audit logs removed after | Intero | Numero di giorni dopo il quale gli audit log più vecchi di tale valore vengono definitivamente eliminati. |
| Deleted rules removed after | Intero | Numero di giorni dopo il quale le regole cestinate più vecchie di tale valore vengono definitivamente eliminate. |
| Alerts ignored after | Intero | Numero di giorni dopo il quale gli alert più vecchi di tale valore vengono automaticamente ignorati. |
| Handled or ignored alerts removed after | Intero | Numero di giorni dopo il quale gli alert gestiti o ignorati più vecchi di tale valore vengono definitivamente eliminati. |
| Hourly trends deleted after | Intero | Numero di giorni dopo il quale le metriche ed i trend più vecchi di tale valore vengono definitivamente eliminati. |
| Http traffic deleted after | Intero | Numero di giorni dopo il quale il traffico HTTP più vecchio di tale valore viene definitivamente eliminato. Questo dato incide pesantemente sul volume di spazio disco necessario al sistema. |
| Unseen unrelated hosts deleted after | Intero | Numero di giorni dopo il quale gli Host unrelated (ossia non associati ad alcun Domain Group) non più visti dal software verranno cancellati. |
Mailer
Il Mailer è il componente che si occupa di inviare automaticamente le e-mail contenenti i report schedulati sul sistema. È necessario configurare tale componente in modo da impostare il proprio server di posta e le proprie credenziali per l'invio.
| Campo | Tipo | Descrizione |
|---|---|---|
| Server host | Stringa | Il server di posta in uscita da utilizzare per l'invio. |
| Server port | Intero | La porta del server di posta in uscita. Solitamente viene utilizzata la porta 465 (TLS o SSL) o la porta 587 (connessione non cifrata). |
| Secure connection (SSL) | Booleano | Se abilitato utilizza la cifratura SSL per l'invio. |
| Username | Stringa | Lo username dell'utente utilizzato per l'invio. |
| Password | Stringa | La password dell'utente utilizzato per l'invio. |
Detection
La sezione Detection permette di abilitare o disabilitare i singoli moduli di rilevazioni disponibili su Seer Box.
Dall'interfaccia web di Seer Box
- Accedere alla sezione
Settings - Detection.
Generale
| Campo | Tipo | Descrizione |
|---|---|---|
| Exclude status code from detection | Lista di status code | Consente di disabilitare la rilevazione su richieste con specifici codici di risposta. |
| Whitelist | Lista di indirizzi/reti di IP | Consente di disabilitare la rilevazione su richieste provenienti da specifici indirizzi. |
I moduli legati alle diverse categorie di attacco vengono catalogati sulla base della classifica Top 10 di OWASP.
Broken access control
https://owasp.org/Top10/A01_2021-Broken_Access_Control/
Drupal Probing
Modulo che rileva i tentativi di fingerprinting degli applicativi web che utilizzano il CMS Drupal.
Path Traversal
Modulo che rileva i tentativi di accesso non autorizzato a directory esterne rispetto a quella corrente.
Wordpress Probing
Modulo che rileva i tentativi di fingerprinting degli applicativi web che utilizzano il CMS Wordpress.
Identification and authentication failures
https://owasp.org/Top10/A07_2021-Identification_and_Authentication_Failures/
Botnet
Modulo che rileva tentativi di attacco provenienti da botnet note.
Brute Force
Modulo che rileva ripetuti tentativi di accesso non autorizzati a risorse o sezioni utilizzando tecniche di forza bruta.
Fake Bot
Modulo che rileva tentativi di spoofing dello User-Agent da parte di client che tentano di identificarsi come bot legittimi.
Malicious Scanner
Modulo che rileva tentativi di scansione dell'applicativo da parte di client automatici malevoli.
Injection
https://owasp.org/Top10/A03_2021-Injection/
Code Injection
Modulo che rileva tentativi di iniezione di codice all'interno della richiesta HTTP.
Command Injection
Modulo che rileva tentativi di iniezione di comandi di sistema all'interno della richiesta HTTP.
Cross Site Scripting (XSS)
Modulo che rileva tentativi di iniezione di codice Javascript all'interno della richiesta HTTP.
JNDI Injection
Modulo che rileva tentativi di iniezione di codice all'interno della richiesta HTTP per sfruttare vulnerabilità dell'interfaccia JNDI.
SQL Injection
Modulo che rileva tentativi di iniezione di codice SQL all'interno della richiesta HTTP.
XML External Entity (XXE)
Modulo che rileva tentativi di iniezione di XML all'interno della richiesta HTTP per sfruttare vulnerabilità del parser XML.
Network rules
La sezione Network rules permette di accedere alle impostazioni legate alle regole di rete, alla loro durata e automazione.
Dall'interfaccia web di Seer Box
- Accedere alla sezione
Settings - Network rules.
General
| Campo | Tipo | Descrizione |
|---|---|---|
| Expire strategy | Stringa selezionabile | Il parametro permette di impostare se disabilitare o cancellare una regola di rete una volta raggiunta la sua scadenza. |
Automation
Le impostazioni Automation permettono di gestire la creazione automatica di regole di rete in risposta agli alert rilevati da Seer Box.
| Campo | Tipo | Descrizione |
|---|---|---|
| Enable | Booleano | Se attivo, abilita la creazione automatica di regole di rete all'arrivo di nuovo traffico malevolo. |
| Update firewall after rule creation | Booleano | Se attivo, aggiorna il firewall configurato con le nuove regole create. |
| Default duration | Intero | La durata impostata per le regole di rete generate automaticamente. |
| Whitelist | Lista di indirizzi IP/reti | Lista di indirizzi IP o reti di indirizzi per i quali non verranno generate automaticamente regole di blocco. |
| Enable only for Domain Groups | Lista di Domain Group | Lista di Domain Group per i quali verranno generate automaticament le regole di protezione. Se vuoto, Seer Box genererà automaticamente le regole per tutti i Domain Group. |
| Enable only for Hosts | Lista di Host | Lista di Host per i quali verranno generate automaticament le regole di protezione. Se vuoto, Seer Box genererà automaticamente le regole per tutti gli Host. |
| Enable only for attack types | List di tipologie di attacco | Lista di tipologie di attacco per le quali verranno generate automaticament le regole di protezione. Se vuoto, Seer Box genererà automaticamente le regole per tutti le tipologie di attacco. |