Regole legittime
Come qualsiasi sistema di rilevamento di attacchi, Seer Box non è inaffidabile.
Per evitare falsi positivi, puoi contrassegnare come legittimi gli elementi associati alle tue applicazioni. In questo modo, il sistema eviterà di rilevare ulteriori eventi dannosi su tali elementi.
A differenza delle Regole Applicative e Regole di Rete, le Regole Legittime non vengono tradotte o sincronizzate con firewall esterni. Vengono invece utilizzate internamente da Seer Box per confrontarle con le specifiche degli alert.
Una Regola legittima è composta da più campi generici e definisce un insieme di condizioni.
L'elenco delle Regole legittime è disponibile alla pagina Protection - Legitimate Rules.
| Campo | Descrizione |
|---|---|
| Status | Indica se la regola è abilitata o meno, l'utente relativo all'ultimo aggiornamento e relativo timestamp. |
| ID | L'UID della regola (i primi 8 caratteri per una migliore leggibilità) e, opzionalmente, la descrizione. |
| Context | Rappresenta il contesto applicativo della regola, che può essere un Host specifico, un Domain Group oppure applicarsi a entrambi. |
| Attack type | Limita le corrispondenze agli alert dello stesso tipo di attacco. |
Condizioni
Gli elementi delle condizioni sono già stati descritti nella sezione Application Rule.
Oltre agli operatori definiti nelle Regole applicative, le Regole legittime definiscono anche:
| Operatore | Tipo di confronto | Descrizione |
|---|---|---|
All expressions | - | Corrisponde a ogni valore dei target specificati |
None expression | - | Non corrisponde mai |
Gestione delle Regole legittime
La gestione delle Regole legittime è consentita agli utenti nel gruppo admin o agli utenti appartenenti a un gruppo che ha il permesso Handle rules associato al gruppo di domini a cui appartiene la regola.
Creare una Regola legittima
Oltre a creare una o più regole dalla pagina dei dettagli dell'alert con la funzione Advanced Protection, è possibile creare regole personalizzate.
Dall'interfaccia web di Seer Box
-
Accedi alla pagina
Protection - Legitimate rules: in questa sezione puoi visualizzare l'elenco di tutte le Regole legittime create. -
Per creare una regola personalizzata, clicca sul pulsante
Add rulenell'angolo in alto a destra della pagina. -
Verrà visualizzato un wizard che ti permetterà di creare una Regola legittima. Per maggiori dettagli sul wizard, consulta la sezione Wizard di creazione più in basso.
-
Dopo aver inserito i dati, è possibile cliccare sul pulsante
Save ruleper confermare la creazione.
La nuova Regola legittima apparirà nella pagina di riepilogo.
Wizard di creazione
Il wizard di creazione è strutturato in più fasi.
1. Impostare il Context della regola
Puoi scegliere il contesto applicativo in cui si desidera limitare la regola.
Le opzioni sono:
| Opzioni | Descrizione |
|---|---|
| Host | La regola verrà applicata solo a host specifici. Selezionando più host, verranno create più regole. |
| Domain Groups (o Services) | La regola verrà applicata dinamicamente agli host appartenenti ai domain group specifici. Selezionando più gruppi di dominio, verranno create più regole. |
| All hosts and domain groups | La regola verrà applicata per ogni host. |
2. Definire le Condizioni
Puoi creare più condizioni selezionando un operatore, i target e le espressioni.
In questo caso, le condizioni verranno confrontate con le Alert specifications, permettendoti di prevenire che un determinato alert con uno specifico pattern venga sollevato nuovamente.
Una regola necessita di almeno una condizione per essere creata.
Se una Regola legittima non specifica una condizione per un determinato campo di specifica, essa corrisponderà sempre. Vedi Regole legittime n.2 negli esempi qui sotto.
L'unica eccezione riguarda il campo Target: una Regola legittima dovrà sempre impostare una condizione su di essa per corrispondere all'Alert specifico. Vedi Regola legittima n.4 negli esempi qui sotto.
3. Impostare il tipo di Attacco
Puoi scegliere di limitare la Regola legittima solo agli Alert con un tipo di attacco specifico.
In questo caso, anche se il contesto e tutte le condizioni corrispondono, se l'Alert dovesse appartenere ad una differente tipologia di attacco, la regola non corrisponderà.
4. Impostare la descrzione
Puoi aggiungere una breve descrizione alla regola per identificare rapidamente il motivo per cui è stata creata.
Eliminare una Regola legittima
Dall'interfaccia web di Seer Box
-
Accedi alla pagina
Protection - Legitimate rules: in questa sezione puoi visualizzare l'elenco di tutte le Regole legittime create. -
Seleziona una o più regole da eliminare cliccando sulla casella di controllo situata all'estremità sinistra di ciascun elemento.
-
Non appena almeno un record è selezionato, il pulsante
...con l'icona dei tre punti verrà abilitato nell'angolo in alto a destra dell'elenco delle regole. -
Seleziona l'opzione
Delete rules. Verrà visualizzata una modale che conferma l'opzione. Clicca sul pulsanteConfirmper procedere.
Esempi
Questa sezione mostra come puoi creare diverse Regole legittime per corrispondere a specifiche di alert particolari.
Specifiche degli Alert
| Request Host | Path | Parameter key | Target | Payload |
|---|---|---|---|---|
| www.example.it | /legitimate/path | test | Parameter value | legit |
Regola legittima n.1
MatchQuesta regola corrisponderà esattamente a ciascun campo di specifica.
Contesto ~ Host: www.example.it
| Targets | Operatore | Espressioni |
|---|---|---|
| path | Is equal | /legitimate/path |
| parameter_key | Is equal | test |
| parameter_value | Is equal | legit |
Regola legittima n.2
MatchQuesta regola non specifica un contesto ed è generalizzata rispetto alla chiave specifica del parametro (non fornisce una condizione per essa, quindi corrisponde a ogni chiave di parametro).
Contesto ~ Tutti gli host e i gruppi di domini
| Targets | Operatore | Espressioni |
|---|---|---|
| path | Contains | legitimate |
| parameter_value | Starts with | legit |
Regola legittima n.3
Not matchQuesta regola non specifica un contesto ed è generalizzata rispetto al percorso specifico, ma specifica una chiave di parametro che non corrisponde alle specifiche dell'alert.
Contesto ~ Tutti gli host e i gruppi di domini
| Targets | Operatore | Espressioni |
|---|---|---|
| parameter_key | Match charset | Digits |
| parameter_value | Is equal | legit |
Regola legittima n.4
Not matchQuesta regola non specifica una condizione sul campo Target delle specifiche dell'Alert, quindi, anche se il contesto e le altre condizioni corrispondono, la regola non corrisponderà.
Contesto ~ Tutti gli host e i gruppi di domini
| Targets | Operatore | Espressioni |
|---|---|---|
| parameter_key | Is equal | test |