Ana içeriğe geç

Monitör Modu Nedir? Monitor Modunda Nelere Dikkat Edilmeli?

Hakkında

Monitör Modu Nedir? Monitör Modunda Nelere Dikkat Edilmeli?

Monitor Modu, TR7 WAF’ın Learning Modu ve Bloklama Modu arasında bir geçiş aşamasıdır. Bu modda, WAF web uygulamanızdaki trafiği izlemeye devam eder ancak henüz aktif olarak istekleri engellemez. Monitor Modu’nda, istekler doğrudan bloklanmaz; ancak bloklama modunda engellenecek olan isteklerin logları WAF Logları ekranında görüntülenir. Bu, sistemin potansiyel tehditleri tanıyıp kaydederken, uygulamanızda hizmet kesintilerine yol açmadan geçiş sürecinin sağlanmasına olanak tanır.

Monitor Modu’nun temel amacı, false positive isteklerini gözlemlemek ve bu istekleri doğru kurallarla belirleyerek, uygulamanın gerçek trafiğini bozmadan sistemin bloklama moduna alınmasını sağlamaktır. Bu süreçte, bloklama modunda engellenmesi gereken istekler WAF loglarında görüntülenir. Bu istekler arasında temiz olanlar belirlenir, öğretilir ve WAF tarafından oluşturulan site haritasına eklenir. Ayrıca, daha önce belirli bir path ile ilgili bir güvenlik kuralı oluşturulmuşsa, bu kural otomatik olarak güncellenir.

Monitor Modu, WAF’ın doğru ve dinamik güvenlik politikaları oluşturmasına olanak tanır. Bu modda, sistemin güvenlik kurallarını optimize etmek için gereken veriler toplanırken, uygulamaya doğrudan müdahale edilmez. False positive isteklerin öğretilmesi sayesinde, potansiyel riskler doğru bir şekilde tanımlanır ve bloklama moduna geçiş sırasında hizmet kesintilerinin önüne geçilir. Bu geçiş süreci, WAF’ın dinamik yapılandırılmasına yardımcı olur ve web uygulamasının güvenliğini artırır.

Arayüz

Monitör Modu

Adım > 1

WAF'ı Monitor Modunda olan bir vService'in WAF Management ekranı açılır. İlgili Host Grup altında daha önceden oluşturulmuş kurallar incelenir. İzin verilmiş kurallar incelenir.

Adım > 2

İlgili vService’e daha önce öğretilmemiş farklı bir query parametresi ile istek yapılır. Yapılan istek WAF Monitor modunda olduğundan dolayı herhangi bir bloklama işlemi yapılmaz ancak WAF loglarında ilgili isteğin bloklanacağına dair detaylar görüntülenir.

Adım > 3

Loglar incelenirken, isteğe ait tüm detaylar dikkatlice gözden geçirilmelidir. User Agent, isteğin yapıldığı ülke, host header’ı, istek parametreleri ve istek gövdesi WAF Logs ekranında detaylı bir şekilde incelenebilir. Sadece belirli domain bilgileri ile istek yapılan bir vService'de farklı host bilgileri ile gelen istekler zararlı olarak kabul edilmelidir. Aynı şekilde boş User-Agent header'ı ile veya rastgele bilgiler zararlı olarak kabul edilmelidir.

Adım > 4

İlgili isteğin üzerine tıklanarak, sağ tarafta açılan kontrol panelinden hangi sebepten dolayı bloklandığına dair bilgiler kontrol edilir. Burada, yapılan isteğin herhangi bir saldırı vektörü içermediği durumlarda "learn attack" butonuna tıklanarak istek öğretilir. Bu işlemle birlikte, daha önce oluşturulan TR7 WAF tarafından otomatik olarak güncellenir.

Bu şekilde WAF Monitor modundayken istekler filtrelenerek temiz isteklerin öğretilmesi ve daha sonra Bloklama moduna alınması gerekmektedir.