Ana içeriğe geç

TR7 WAF Logları Nedir? Nasıl İncelenir?

Hakkında

WAF Logları Nedir? Nasıl İncelenir?

Monitör veya Bloklama Modunda olan vService'lerde WAF loglarının kontrolü ve bu loglar üzerinden öğrenme işlemlerine devam edilebilir. WAF Logları TR7 ASP cihazları üzerinde kalıcı olarak tutulmakta olup manuel olarak silinmediği sürece kaybolmaz. Böylelikle geçmişe yönelik bloklanan istekler uygun filtrelerle kolayca bulunup incelenebilir. WAF Loglarında bloklanan isteklere ait Unique ID, Date, Host Information, HTTP Method, Path, Matching path rules, Query, Attacker IP, Attacker Network, IP Provider, Attacker Location, User-Agent, WAF Time, HTTP Headers ve Body gibi isteğe ait tüm detaylar her bir log için ayrı ayrı olarak tutulmaktadır.

Arayüz

WAF Logları

Adım > 1

İlk olarak "Monitor Mode > İlgili vService > Logs > WAF Logs" adımları takip edilir. Açılan ekranda WAF tarafından bloklanan istekler görüntülenmektedir.

Adım > 2

Belirlenen periyot için "Get Logs" butonuna tıklanarak, WAF tarafından ilgili kural setlerine veya imzalara takılan isteklere ait loglar listelenir.

Adım > 3

WAF Logları ekranı üzerinde herhangi bir WAF Logunun üzerine tıklandığında ekranın sağında ilgili loga ait detayların görüntülendiği bir pencere açılır.

"WAF Artificial Intelligence Analysis" butonuna tıklanarak logda yakalanmış olan atak çeşitlerine ait Affected OS, Affected platforms gibi bilgiler görüntülenebilir. Ayrıca ilgili atak çeşitlerine ait CVE referanslarına ulaşılabilir.

Ekranda yer alan "Unige ID" İlgili atağa ait TR7 ASP tarafından üretilen eşsiz numara bilgisidir. Eşsiz numara bloklanan isteklerde istemci tarafından görüntülenebilir. Bu numara ile WAF Loglarında filtreleme işlemi yapılarak ilgili istek kolay bir şekilde bulunabilir.

WAF logları ekranında, ilgili atağa ait tarih ve saat bilgisi görüntülenir. Ayrıca, bu atağın hangi Host grubuna denk geldiği de ekranda yer alır. İlgili atağa ait istemcinin istek anındaki Host header bilgisi, HTTP metoduyla birlikte görüntülenir. İstek yapılan Path ve varsa Query bilgileri de ekranda yer alır; eğer query gönderilmemişse bu sekme görünmez. Ayrıca ilgili isteği hangi kurala denk geldiği bilgiside bu ekran üzerinden kontrol edilebilmektedir. Atağa ait istemcinin IP adresi bilgisi de görüntülenir ve "Actions" butonuna tıklanarak, bu IP adresi vService bazında veya genel IP Intelligence üzerinden manuel olarak Blacklist'e eklenebilir.

Ayrıca, istemcinin IP adresinin bulunduğu Network, IP Provider ve Location bilgileride görüntülenir. User-Agent header bilgisi, isteğin bloklanma süresi, istemcinin gönderdiği Header ve Body bilgileri de görüntülenebilir; eğer ilgili istekte Header veya Body gönderilmemişse, bu sekmeler görünmez.

İlgili atakta yakalanan Öğretim Önerileri seçilerek Learn Attack butonuna tıklandığında ataklar, "WAF Management > Advanced Settings > Rule creation policy" sekmesinde seçilmiş olan bilgiye göre öğretilir:

  • Page Independent: Any paths kuralı üzerinde öğretim işlemi yapılır.
  • Data Based: İstek yapılan pathde bir değişken olması durumunda path bazlı kural oluşturularak öğretim işlemi yapılır. Eğer istek yapılan pathde bir değişken yoksa yine Any paths kuralı üzerinde öğretim işlemi yapılır.
  • Comprehensive: İstek yapılan pathde değişken olup olmamasına bakılmaksızın her path için path bazlı kurallar oluşturularak öğretim işlemi yapılır.

Bloklanan bir istek üzerindeki herhangi bir "Learning suggestion"'ın üzerine tıklandığında ilgili atağa ait detaylı bilgilerde bu ekran üzerinden görüntülenebilmektedir. "Edit corresponding Rule" butonuna tıklanarak manuel bir şekilde düzenlemede yapılabilmektedir.