WAF Logları
Hakkında
WAF Logları Nedir?
WAF Logları sekmesi üzerinden, Monitör veya Bloklama Modunda olan vService'lerde log kontrolü yapılabilir. WAF Logları üzerinden öğrenme işlemlerine devam edilebilir. WAF Logları TR7 ASP cihazları üzerinde kalıcı olarak tutulmakta olup manuel olarak silinmediği sürece kaybolmaz. Böylelikle geçmişe yönelik bloklanan istekler uygun filtrelerle kolayca bulunup incelenebilir. WAF Loglarında bloklanan isteklere ait Unique ID, Tarih, Host Bilgisi, HTTP Metodu, Path, Query, Saldıran IP (İstemci IP), Saldıran Network, IP Sağlayıcı, Saldıran Konumu, User-Agent Bilgisi, WAF'lama Süresi, HTTP Başlıkları ve İstek Gövdesi gibi isteğe ait tüm detaylar her bir log için ayrı ayrı olarak tutulmaktadır.
Yardımcı Bilgi
WAF Loglarının TR7 ASP üzerinde görüntülenebilmesi için ilgili vService'de WAF'ın aktif edilmesi gerekmektedir. vService üzerinde WAF'ın nasıl aktif edileceği hakkında detaylı bilgi için tıklayınız.
Kullanılabildiği vService Tipleri
- HTTP
- L7 TCP
- Network
Arayüz
WAF Loglarını Görüntüleme
TR7 ASP web arayüzü üzerinde logları kontrol edilecek olan vService'in monitör ekranı açılır. Ardındandan Log sekmesine tıklanır.
Gelen ekranda WAF Logları seçilir ve logları görüntülemek için Log Çek butonuna tıklanır.
Arayüz
WAF Loglarını Listeleme Ekranı
- 1 (Information to be Displayed in the Table)
WAF Loglarının listesinin bulunduğu tabloda hangi bilgilerin gösterilip gösterilmeyeceği seçilir.
Seçilebilecek ve varsayılan olarak seçili gelen bilgiler;
- Source
- Host
- Path
- IP Provider
- Attacker Location
- Learning Suggestion
- Date
- Method
- Attacker IP
- Attacker Network
- Attacker User-Agent
- 2 (Log Type Selection)
WAF Loglarının görütülenmesi için WAF Logları seçilir.
- 3 (Line Limit)
Get Logs butonuna tıklandığından maksimum kaç satırlık WAF Logunun TR7 ASP web arayüzü üzerinde görüntüleneceği bilgisi girilir.
- 4 (Time Range)
WAF Loglarının görüntüleneceği zaman aralığı seçilir.
- 5 (Learn Attack)
Zararlı istek olmadığı tespit edilen WAF Logları seçilerek Saldırı Öğret butouna tıklandığında ilgili atak çeşitleriyle ilgili istisnalar öğretilir. Öğretim işlemi yapıldıktan sonra ilgili istekler tekrarlandığında WAF'a takılmadan trafik devam eder. Öğretim işleminin ayarları ve nasıl yapıldığına dair detaylar için tıklayınız.
- 6 (Only not Learned)
Sadece Öğrenilmemişler seçilerek loglardan daha önce öğretim yapılmamış olan WAF Logları listelenir. Böylelikle log kontrolü yapılırken sadece öğrenilmemiş loglar listelenir ve yönetimi daha kolay hale gelir.
- 7 (Hide Blacklist IPs)
Blacklist IP Gizle seçilerek blacklist yüzünden bloklanan loglar listelenmez. Böylelikle yanlış bir logdan öğretim yapılmasının önüne geçilir. Sadece blacklist yüzünden bloklanmayan loglar listelenir.
- 8 (Filter)
Filtre seçilerek WAF Loglarında filtreleme işlemleri yapılabilir. Aşağıda verilen filtreleme işlemleri yapılabilmektedir.
Filtreleme yapılacak bilgilerin listesi;
- Unique ID
- Host
- Path
- Attacker IP
- HTTP(s) Method
- Attack Area
- Argument Name
- Country
- Attack ID
- 9 (Get Logs)
Get Logs butonuna tıklanarak yapılan filtreleme işlemlerine, zaman aralığı seçimine göre loglar listelenir.
- 10 (Search)
Tabloda bulunan tüm ifadeleri aramak için kullanılır.
- 11 (RegExp Search)
Tabloda bulunan tüm ifadeleri regexp olarak aramak için kullanılır.
- 12 (Column Based Search)
Tabloda bulunan tüm ifadeleri sütun bazlı aramak için kullanılır.
- 13 (Page Info)
Açılan listede kaç adet WAF Logu olduğunun ve kaç adet WAF Logunun listelendiğinin bilgisi bulunmaktadır.
- 14 (Page Size)
Açılan listede maksimum kaç adet WAF Logunun listeleneceği seçilir. Ok simgeleri ile sayfalar arasında geçiş yapılabilir.
- Seçilen WAF Logunun Önizlemesi
"WAF Logları" ekranı üzerinde herhangi bir WAF Logunun üzerine tıklandığında ekranın sağında ilgili loga ait detayların görüntülendiği bir pencere açılır.
Açıklamaları aşağıda listelenmiştir.
- 1 (WAF Artificial Intelligence (AI) Analysis)
WAF Yapay Zeka Analizi butonuna tıklanarak logda yakalanmış olan atak çeşitlerine ait etkilenen işletim sistemleri, etkilenen platformlar gibi bilgiler görüntülenebilir. Ayrıca ilgili atak çeşitlerine ait CVE referanslarına ulaşılabilir.
- 2 (Unique ID)
İlgili atağa ait TR7 ASP tarafından üretilen eşsiz numara bilgisi görüntülenir. Eşsiz numara bloklanan isteklerde istemci tarafından görüntülenebilir. Bu numara ile WAF Loglarında filtreleme işlemi yapılarak ilgili istek kolay bir şekilde bulunabilir.
- 3 (Date)
İlgili atağa ait tarih, saat bilgisi görüntülenir.
- 4 (Host Group)
İlgili atağın hangi Host grubuna denk geldiği görüntülenir. Virtual Host Grupları hakkında detaylara ulaşmak için tıklayınız.
- 5 (Host)
İlgili atağa ait istemcinin istek anındaki Host header (başlık) bilgisi görüntülenir.
- 6 (HTTP(s) Method)
İlgili atağa ait istemcinin istek yaptığı HTTP Metodu bilgisi görüntülenir.
- 7 (Path)
İlgili atağa ait istemcinin istek yapmış olduğu Path bilgisi görüntülenir.
- 8 (Query)
İlgili atağa ait istemcinin istek yapmış olduğu Query bilgileri görüntülenir. İlgili istekte query gönderilmemiş ise bu sekme görüntülenmez.
- 9 (Attacker IP)
İlgili atağa ait istemcinin IP Adresi bilgisi görüntülenir. Actions butonuna tıklanarak ilgili IP adresi vService bazında veya genel IP İstihbaratta manuel olarak Blacklist'e eklenir.
"WAF Management > Checks > Blacklist Protection" adımları takip edilerek Blacklist'e eklenen IP adresleri görüntülenebilir ve bu ekran üzerinden silinerek tekrardan Blacklist'den kaldırılabilir.
- 10 (Attack Network)
İlgili atağa ait istemcinin IP adresinin bulunmuş olduğu Network bilgisi görüntülenir.
- 11 (IP Provider)
İlgili atağa ait istemcinin IP adresinin IP Sağlayıcı bilgisi görüntülenir.
- 12 (Attacker Location)
İlgili atağa ait istemcinin IP adresinin Konum bilgisi görüntülenir.
- 13 (Attacker User-Agent)
İlgili atağa ait istemcinin istek anındaki User-Agent header (başlık) bilgisi görüntülenir.
- 14 (WAF Time)
İlgili atağa ait isteğin WAF tarafından bloklanma süresinin bilgisi görüntülenir.
- 15 (HTTP Headers)
İlgili atağa ait istemcinin istek yapmış olduğu Header (başlık) bilgileri görüntülenir. İlgili istekte Header gönderilmemiş ise bu sekme görüntülenmez.
- 16 (Body)
İlgili atağa ait istemcinin istek yapmış olduğu İstek Gövdesi (body) bilgileri görüntülenir. İlgili istekte body gönderilmemiş ise bu sekme görüntülenmez.
- 17 (Learn Attack)
İlgili atakta yakalanan Öğretim Önerileri seçilerek Learn Attack butonuna tıklandığında ataklar, WAF Gelişmiş Ayarlarında seçilmiş olan bilgiye göre öğretilir.
"WAF Management > Edit WAF Advanced Settings" adımları takip edilir.
- Page Independent > Varsayılan kural üzerinde öğretim işlemi yapılır.
- Data Based > İstek yapılan pathde bir değişken olması durumunda path bazlı kural oluşturularak öğretim işlemi yapılır. Eğer istek yapılan pathde bir değişken yoksa yine varsayılan kural üzerinde öğretim işlemi yapılır.
- Comprehensive > İstek yapılan pathde değişken olup olmamasına bakılmaksızın her path için path bazlı kurallar oluşturularak öğretim işlemi yapılır.
18 (Blocked Attack Details)
- 1 (Edit Corresponding Rule)
İlgili atağın yakalanmış olduğu kuralın düzenleme penceresi açılır.
- 2 (Learn Attack)
İlgili atakta yakalanan Öğretim Önerisi Learn Attack butonuna tıklandığında, WAF Gelişmiş Ayarlarından seçilmiş olan bilgiye göre öğretilir.
- 3 (Corresponding Rule)
İlgili atağın hangi kural tarafından yakalandığının bilgisi görüntülenir.
- 4 (Attack Type)
İlgili atağın hangi TR7 ASP WAF kuralına takıldığının bilgisi görüntülenir.
- 5 (Attack ID)
İlgili atağın TR7 ASP WAF üzerindeki ID bilgisi görüntülenir.
- 6 (Attack Area)
İlgili atağın hangi kontrol alanına takıldığının bilgisi ve takılan argümanın ismi görüntülenir.
- 7 (Argument)
İlgili atakta yakalanan argüman bilgisi görüntülenir.
- 8 (Description)
İlgili atağa ait açıklama görüntülenir.
- 9 (Learning Suggestion)
İlgili atağa ait yapılacak olan Öğretim İşleminde ne yapılacağının bilgisi görüntülenir.