Alert
Seer Box analizza il traffico in ingresso e segnala i tentativi di attacco producendo degli alert.
Un alert è un'entità che individua comportamenti malevoli, caratterizzata da uno specifico pattern identificato su più campi target, raggruppando di fatto molteplici transazioni HTTP all'interno di un'unica segnalazione. Tale raggruppamento offre diversi vantaggi:
- Regole più efficaci: permette di identificare più facilmente le tecniche e le strategie utilizzate dagli attaccanti, consentendo di creare regole più precise in risposta all'attacco.
- Semplifica la visualizzazione: gli utenti possono concentrarsi su un'unica segnalazione che rappresenta un insieme di attività malevole correlate invece di dover gestire e analizzare ogni transazione sospetta, riducendo il rischio di trascurare dettagli importanti.
- Completa visione dell'attacco: vengono identificati tentativi di attacco ripetuti su differenti campi target, talvolta dallo stesso attaccante, permettendo una migliore valutazione dell'impatto.
Concetti principali
Attack type
La tipologia di attacco associata ad ogni segnalazione. Per una migliore classificazione ogni specifica tipologia è riferita ad una categoria presente nella Top 10 OWASP. Per ulteriori dettagli sulle singole tipologie e sui loro moduli di rilevazione è possibile consultare la sezione Detection.
Request host
Come detto in precedenza, ogni alert raggruppa più transazioni HTTP malevole: una delle chiavi di tale raggruppamento è l'header Host della richiesta. Ciascun alert sarà di conseguenza associato ad un solo host.
Attack pattern
Il pattern di attacco è un campo composto da due elementi:
-
Il pattern, ossia la caratteristica principale e comune alle diverse transazioni che identifica il tentativo di attacco. In base alla tipologia di attacco il pattern può essere una porzione di payload, un indirizzo IP, o ancora più in generale una porzione di stringa. È anch'esso utilizzato come chiave per il raggruppamento, quindi ogni alert sarà correlato ad un singolo pattern.
-
Una lista di target, ossia campi della richiesta HTTP bersaglio dell'attacco (per esempio l'uri path, il valore di una chiave di parametro uri, l'header Referer, ecc). Un alert può essere associato a più target, permettendo in tal modo di avere una visione completa dell'attacco sullo specifico applicativo web, correlando target diversi ma vittime del medesimo pattern.
Payload
Il payload identifica il valore del campo target vittima dell'attacco. È possibile avere molteplici payload su uno stesso target.
Alert specifications
Le alert specifications definiscono le specifiche di contesto legate all'attack pattern: trattasi dell'insieme dei campi che identificano la porzione di applicativo soggetto al tentativo di attacco. Tale insieme dipende dallo specifico target, come descritto nella tabella seguente:
Target | Specifiche di contesto |
---|---|
Host | - |
Uri path | Host |
Chiave di parametro uri | Host - Uri path |
Valore di parametro uri | Host - Uri path - Chiave di parametro uri |
Header richiesta | Host - Uri path |
Corpo richiesta | Host - Uri path |
Header risposta | Host - Uri path |
Corpo risposta | Host - Uri path |
Gestione degli alert
Un alert prodotto da Seer Box segnala un tentativo d'attacco e di conseguenza può essere gestito in diversi modi in base alle analisi ed alla valutazione del rischio condotte dall'operatore, nonché sulla base dei dispositivi di protezione disponibili e configurati sul sistema.
Seer Box consente di creare regole di rete e regole applicative a partire da un alert, segnalarlo come legittimo, o ancora ignorare la segnalazione.
La visualizzazione e cancellazione degli alert è consentita unicamente agli utenti del gruppo admins
o ad utenti appartenenti ad un gruppo con permesso Explore alerts
associato ad uno o più gruppi di domini. In quest'ultimo caso l'utente visualizzerà unicamente gli alert associati ai gruppi di domini configurati.
La gestione degli alert attraverso la creazione di una o più regole è consentita agli utenti del gruppo admins
o ad utenti appartenenti ad un gruppo avente permesso Handle rules
associato al gruppo di domini di cui l'alert fa parte.
Dall'interfaccia web di Seer Box
-
Accedere alla pagina
Alerts
: in questa sezione è possibile visionare la lista degli alert segnalati da Seer Box. -
Per ispezionare il singolo alert è sufficiente cliccare sul bottone
Inspect
all'estrema destra dell'elemento.
Nella pagina di dettaglio sarà possibile visionare le informazioni associate all'alert, la tabella con le diverse specifiche di contesto e quella con le transazioni HTTP malevole. Dall'angolo in alto a destra è possibile eseguire diverse azioni:
- Advanced protection: questa azione apre una procedura guidata per gestire l'alert, creando regole applicative, regole di rete o regole legittime ad esso associate.
- ... - Add default Application rule: crea il set minimo di regole applicative che permettano di coprire tutte le specifiche di contesto segnalate nell'alert.
- ... - Add default Network rule: crea il set minimo di regole di rete che blocchino i client responsabili dell'alert.
- ... - Add default Legitimate rule: crea il set minimo di regole legittime associate a tutte le specifiche di contesto segnalate nell'alert.
- ... - Delete alert: ignora l'alert.
Advanced protection
Dall'interfaccia web di Seer Box
-
Dalla pagina di dettaglio dell'alert cliccare sul bottone
Advanced protection
. Verrà visualizzato un wizard per la creazione di regole nella parte superiore della pagina. -
Dal campo
Strategy
, potrai scegliere il tipo di strategia da applicare per la gestione dell'alert. Per maggiori dettagli, consulta la sezione Wizard di Creazione:
Puoi creare un qualsiasi numero di regole applicative, di rete o legittime necessarie per gestire l'alert!
- Dopo aver completato la procedura guidata, l'interfaccia mostrerà un riepilogo delle regole create. Per aggiungere un'ulteriore regola, clicca sul pulsante
Add rule
. In alternativa, clicca semplicemente suSave
nell'angolo in alto a destra della pagina per completare il processo. L'alert verrà quindi rimosso dall'elenco riepilogativo e le nuove regole saranno visibili nelle relative pagine.
Alert Export
Dalla pagina degli Alert è possibile esportare le informazioni dell'alert in formato CSV
, scegliendo i campi da includere e generando un file CSV con le seguenti caratteristiche:
-
Separatore: il simbolo
pipe (|)
; -
Delimitatore: il carattere newline
\r\n
; -
Escape: il simbolo
double quote (")
.
-
Dalla pagina degli Alert fare click sul pulsante
Actions
, quindi selezionareExport CSV
. -
Selezionare le fields nella finestra modale e fare clic su
Export
.
Lo stesso processo può essere utilizzato per esportare il traffico HTTP dalla sezione HTTP Traffic
, selezionando diversi campi della richiesta e della risposta HTTP ed esportandoli con lo stesso formato di file CSV.