Alert

Seer Box analizza il traffico in ingresso e segnala i tentativi di attacco producendo degli alert.

Un alert è un'entità che individua comportamenti malevoli, caratterizzata da uno specifico pattern identificato su più campi target, raggruppando di fatto molteplici transazioni HTTP all'interno di un'unica segnalazione. Tale raggruppamento offre diversi vantaggi:

1. Regole più efficaci: permette di identificare più facilmente le tecniche e le strategie utilizzate dagli attaccanti, consentendo di creare regole più precise in risposta all'attacco.
2. Semplifica la visualizzazione: gli utenti possono concentrarsi su un'unica segnalazione che rappresenta un insieme di attività malevole correlate invece di dover gestire e analizzare ogni transazione sospetta, riducendo il rischio di trascurare dettagli importanti.
3. Completa visione dell'attacco: vengono identificati tentativi di attacco ripetuti su differenti campi target, talvolta dallo stesso attaccante, permettendo una migliore valutazione dell'impatto.

Concetti principali

Attack type

La tipologia di attacco associata ad ogni segnalazione. Per una migliore classificazione ogni specifica tipologia è riferita ad una categoria presente nella Top 10 OWASP. Per ulteriori dettagli sulle singole tipologie e sui loro moduli di rilevazione è possibile consultare la sezione Detection.

Request host

Come detto in precedenza, ogni alert raggruppa più transazioni HTTP malevole: una delle chiavi di tale raggruppamento è l'header Host della richiesta. Ciascun alert sarà di conseguenza associato ad un solo host.

Attack pattern

Il pattern di attacco è un campo composto da due elementi:

1. Il pattern, ossia la caratteristica principale e comune alle diverse transazioni che identifica il tentativo di attacco. In base alla tipologia di attacco il pattern può essere una porzione di payload, un indirizzo IP, o ancora più in generale una porzione di stringa. È anch'esso utilizzato come chiave per il raggruppamento, quindi ogni alert sarà correlato ad un singolo pattern.

2. Una lista di target, ossia campi della richiesta HTTP bersaglio dell'attacco (per esempio l'uri path, il valore di una chiave di parametro uri, l'header Referer, ecc). Un alert può essere associato a più target, permettendo in tal modo di avere una visione completa dell'attacco sullo specifico applicativo web, correlando target diversi ma vittime del medesimo pattern.

Payload

Il payload identifica il valore del campo target vittima dell'attacco. È possibile avere molteplici payload su uno stesso target.

Alert specifications

Le alert specifications definiscono le specifiche di contesto legate all'attack pattern: trattasi dell'insieme dei campi che identificano la porzione di applicativo soggetto al tentativo di attacco. Tale insieme dipende dallo specifico target, come descritto nella tabella seguente:

Target	Specifiche di contesto
Host	-
Uri path	Host
Chiave di parametro uri	Host - Uri path
Valore di parametro uri	Host - Uri path - Chiave di parametro uri
Header richiesta	Host - Uri path
Corpo richiesta	Host - Uri path
Header risposta	Host - Uri path
Corpo risposta	Host - Uri path

Gestione degli alert

Un alert prodotto da Seer Box segnala un tentativo d'attacco e di conseguenza può essere gestito in diversi modi in base alle analisi ed alla valutazione del rischio condotte dall'operatore, nonché sulla base dei dispositivi di protezione disponibili e configurati sul sistema.

Seer Box consente di creare regole di rete e regole applicative a partire da un alert, segnalarlo come legittimo, o ancora ignorare la segnalazione.

La visualizzazione e cancellazione degli alert è consentita unicamente agli utenti del gruppo admins o ad utenti appartenenti ad un gruppo con permesso Explore alerts associato ad uno o più gruppi di domini. In quest'ultimo caso l'utente visualizzerà unicamente gli alert associati ai gruppi di domini configurati.

La gestione degli alert attraverso la creazione di una o più regole è consentita agli utenti del gruppo admins o ad utenti appartenenti ad un gruppo avente permesso Handle rules associato al gruppo di domini di cui l'alert fa parte.

Dall'interfaccia web di Seer Box

1. Accedere alla pagina Alerts: in questa sezione è possibile visionare la lista degli alert segnalati da Seer Box.

2. Per ispezionare il singolo alert è sufficiente cliccare sul bottone Inspect all'estrema destra dell'elemento.

Nella pagina di dettaglio sarà possibile visionare le informazioni associate all'alert, la tabella con le diverse specifiche di contesto e quella con le transazioni HTTP malevole. Dall'angolo in alto a destra è possibile eseguire diverse azioni:

• Advanced protection: questa azione apre una procedura guidata per gestire l'alert, creando regole applicative, regole di rete o regole legittime ad esso associate.
• ... - Add default Application rule: crea il set minimo di regole applicative che permettano di coprire tutte le specifiche di contesto segnalate nell'alert.
• ... - Add default Network rule: crea il set minimo di regole di rete che blocchino i client responsabili dell'alert.
• ... - Add default Legitimate rule: crea il set minimo di regole legittime associate a tutte le specifiche di contesto segnalate nell'alert.
• ... - Delete alert: ignora l'alert.

Advanced protection

Dall'interfaccia web di Seer Box

1. Dalla pagina di dettaglio dell'alert cliccare sul bottone Advanced protection. Verrà visualizzato un wizard per la creazione di regole nella parte superiore della pagina.

2. Dal campo Strategy, potrai scegliere il tipo di strategia da applicare per la gestione dell'alert. Per maggiori dettagli, consulta la sezione Wizard di Creazione:

   • Application Rules
   • Network Rules
   • Legitimate Rules

informazioni

Puoi creare un qualsiasi numero di regole applicative, di rete o legittime necessarie per gestire l'alert!

3. Dopo aver completato la procedura guidata, l'interfaccia mostrerà un riepilogo delle regole create. Per aggiungere un'ulteriore regola, clicca sul pulsante Add rule. In alternativa, clicca semplicemente su Save nell'angolo in alto a destra della pagina per completare il processo. L'alert verrà quindi rimosso dall'elenco riepilogativo e le nuove regole saranno visibili nelle relative pagine.

Alert Export

Dalla pagina degli Alert è possibile esportare le informazioni dell'alert in formato CSV, scegliendo i campi da includere e generando un file CSV con le seguenti caratteristiche:

• Separatore: il simbolo pipe (|);

• Delimitatore: il carattere newline \r\n;

• Escape: il simbolo double quote (").

1. Dalla pagina degli Alert fare click sul pulsante Actions, quindi selezionare Export CSV.

2. Selezionare le fields nella finestra modale e fare clic su Export.

Lo stesso processo può essere utilizzato per esportare il traffico HTTP dalla sezione HTTP Traffic, selezionando diversi campi della richiesta e della risposta HTTP ed esportandoli con lo stesso formato di file CSV.