Passa al contenuto principale

Alert

Seer Box analizza il traffico in ingresso e segnala i tentativi di attacco producendo degli alert.

Un alert è un'entità che individua comportamenti malevoli, caratterizzata da uno specifico pattern identificato su più campi target, raggruppando di fatto molteplici transazioni HTTP all'interno di un'unica segnalazione. Tale raggruppamento offre diversi vantaggi:

  1. Regole più efficaci: permette di identificare più facilmente le tecniche e le strategie utilizzate dagli attaccanti, consentendo di creare regole più precise in risposta all'attacco.
  2. Semplifica la visualizzazione: gli utenti possono concentrarsi su un'unica segnalazione che rappresenta un insieme di attività malevole correlate invece di dover gestire e analizzare ogni transazione sospetta, riducendo il rischio di trascurare dettagli importanti.
  3. Completa visione dell'attacco: vengono identificati tentativi di attacco ripetuti su differenti campi target, talvolta dallo stesso attaccante, permettendo una migliore valutazione dell'impatto.

Concetti principali

Attack type

La tipologia di attacco associata ad ogni segnalazione. Per una migliore classificazione ogni specifica tipologia è riferita ad una categoria presente nella Top 10 OWASP. Per ulteriori dettagli sulle singole tipologie e sui loro moduli di rilevazione è possibile consultare la sezione Detection.

Request host

Come detto in precedenza, ogni alert raggruppa più transazioni HTTP malevole: una delle chiavi di tale raggruppamento è l'header Host della richiesta. Ciascun alert sarà di conseguenza associato ad un solo host.

Attack pattern

Il pattern di attacco è un campo composto da due elementi:

  1. Il pattern, ossia la caratteristica principale e comune alle diverse transazioni che identifica il tentativo di attacco. In base alla tipologia di attacco il pattern può essere una porzione di payload, un indirizzo IP, o ancora più in generale una porzione di stringa. È anch'esso utilizzato come chiave per il raggruppamento, quindi ogni alert sarà correlato ad un singolo pattern.

  2. Una lista di target, ossia campi della richiesta HTTP bersaglio dell'attacco (per esempio l'uri path, il valore di una chiave di parametro uri, l'header Referer, ecc). Un alert può essere associato a più target, permettendo in tal modo di avere una visione completa dell'attacco sullo specifico applicativo web, correlando target diversi ma vittime del medesimo pattern.

Payload

Il payload identifica il valore del campo target vittima dell'attacco. È possibile avere molteplici payload su uno stesso target.

Alert specifications

Le alert specifications definiscono le specifiche di contesto legate all'attack pattern: trattasi dell'insieme dei campi che identificano la porzione di applicativo soggetto al tentativo di attacco. Tale insieme dipende dallo specifico target, come descritto nella tabella seguente:

TargetSpecifiche di contesto
Host-
Uri pathHost
Chiave di parametro uriHost - Uri path
Valore di parametro uriHost - Uri path - Chiave di parametro uri
Header richiestaHost - Uri path
Corpo richiestaHost - Uri path
Header rispostaHost - Uri path
Corpo rispostaHost - Uri path

Gestione degli alert

Un alert prodotto da Seer Box segnala un tentativo d'attacco e di conseguenza può essere gestito in diversi modi in base alle analisi ed alla valutazione del rischio condotte dall'operatore, nonché sulla base dei dispositivi di protezione disponibili e configurati sul sistema.

Seer Box consente di creare regole di rete e regole applicative a partire da un alert, segnalarlo come legittimo, o ancora ignorare la segnalazione.

La visualizzazione e cancellazione degli alert è consentita unicamente agli utenti del gruppo admins o ad utenti appartenenti ad un gruppo con permesso Explore alerts associato ad uno o più gruppi di domini. In quest'ultimo caso l'utente visualizzerà unicamente gli alert associati ai gruppi di domini configurati.

La gestione degli alert attraverso la creazione di una o più regole è consentita agli utenti del gruppo admins o ad utenti appartenenti ad un gruppo avente permesso Handle rules associato al gruppo di domini di cui l'alert fa parte.

Dall'interfaccia web di Seer Box

  1. Accedere alla pagina Alerts: in questa sezione è possibile visionare la lista degli alert segnalati da Seer Box.

  2. Per ispezionare il singolo alert è sufficiente cliccare sul bottone Inspect all'estrema destra dell'elemento.

Nella pagina di dettaglio sarà possibile visionare le informazioni associate all'alert, la tabella con le diverse specifiche di contesto e quella con le transazioni HTTP malevole. Dall'angolo in alto a destra è possibile eseguire diverse azioni:

  • Advanced protection: apre un wizard per la gestione dell'alert, consentendo di creare regole applicative, di rete o segnalare elementi legittimi ad esso associati.
  • Other actions - Create default Application ruleset: crea il set minimo e non ottimizzato di regole applicative che permettano di coprire tutte le specifiche di contesto segnalate nell'alert.
  • Other actions - Create default Network ruleset: crea il set minimo di regole di rete che blocchino i client responsabili dell'alert.
  • Other actions - Create default Legitimate signature: crea il set minimo di elementi legittimi associati a tutte le specifiche di contesto segnalate nell'alert.
  • Other actions - Delete: ignora l'alert.

Advanced protection

Dall'interfaccia web di Seer Box

  1. Dalla pagina di dettaglio dell'alert cliccare sul bottone Advanced protection. Verrà visualizzato un wizard nella parte superiore della pagina.

  2. Dal campo Strategy sarà possibile scegliere che tipo di strategia si desidera applicare per la gestione dell'alert.

Application rule

  1. Selezionando Application rule si andrà a creare una regola applicativa. Cliccare su Next per continuare.

  2. Selezionare il Target sul quale applicare la regola. Nel caso il target fosse solo uno, verrà selezionato automaticamente. Cliccare su Next per continuare.

  3. In base al target selezionato sarà possibile configurare le differenti specifiche di contesto (come mostrato all'interno della tabella nella sezione Alert specifications), adattandole alle caratteristiche necessarie alla regola da generare. Cliccare su Next per continuare.

  4. Selezionare la tipologia di regola da creare, la stringa e la strategia di confronto:

    Tipologia regolaStringa di confrontoStrategia di confronto
    Block values - Regola negativaIl pattern o uno dei payload associati all'alertBlocca se la stringa corrisponde all'intero valore del target o in alternativa ad una sua sottoparte
    Allow values - Regola positivaValore specifico definito dall'utenteBlocca se la stringa NON corrisponde all'intero valore del target
    Allow charsets - Regola positivaInsieme di caratteri alfabetici e/o numerici e/o simboliBlocca se il valore del target NON è composto dai set definiti

    Per alcune tipologe di target sarà disponibile unicamente la regola negativa. Cliccare su Next per continuare.

  5. Configurare l'azione da associare alla regola, e la priorità di esecuzione rispetto alle altre. Cliccare su Add rule per confermare.

Network rule

  1. Selezionando Network rule sarà possibile creare una regola di rete. Cliccare su Next per continuare.

  2. Nel campo Blacklist scegliere quali indirizzi IP responsabili dell'alert bloccare.

  3. Configurare l'azione da associare alla regola e la durata di attivazione della stessa (la regola verrà disabilitata o cancellata alla sua scadenza come impostato nella sezione dedicata). Cliccare su Add rule per confermare.

Legitimate signature

  1. Selezionando Legitimate signature sarà possibile etichettare degli elementi come legittimi. Cliccare su Next per continuare.

  2. In base al target selezionato sarà possibile configurare le differenti specifiche di contesto (come mostrato all'interno della tabella nella sezione Alert specifications), adattandole alle caratteristiche necessarie all'elemento legittimo. Cliccare su Next per continuare.

  3. Selezionare il pattern o il payload da etichettare come legittimo per il target individuato. Cliccare su Add legitimate per confermare.

Se si volesse aggiungere un'ulteriore strategia di gestione dell'alert è possibile cliccare sul bottone Add signature. In caso contrario sarà sufficiente cliccare sul pulsante Save per salvare le modifiche. L'alert scomparirà dalla lista di riepilogo e la nuova regola sarà visionabile nella pagina Protection - Rules.

Alert Export

Dalla pagina degli Alert è possibile esportare le informazioni dell'alert in formato CSV, scegliendo i campi da includere e generando un file CSV con le seguenti caratteristiche:

  • Separatore: il simbolo pipe (|);

  • Delimitatore: il carattere newline \r\n;

  • Escape: il simbolo double quote (").

  1. Dalla pagina degli Alert fare click sul pulsante Actions, quindi selezionare Export CSV.

  2. Selezionare le fields nella finestra modale e fare clic su Export.

Lo stesso processo può essere utilizzato per esportare il traffico HTTP dalla sezione HTTP Traffic, selezionando diversi campi della richiesta e della risposta HTTP ed esportandoli con lo stesso formato di file CSV.