Ana içeriğe geç

Analiz & Öğrenme

Hakkında

İlgili vService'in WAF yönetimi ekranına gelindiğinde Analiz & Öğrenme butonuna tıklanarak WAF'ın Öğrenme Modunda olduğu süre boyunca arka planda loglanan isteklerin analizi yapılır. Elde edilen loglar ile ilgili servisin site haritası çıkartılarak WAF'ın Gelişmiş Ayarlarında Kural Yönetimi sekmesinde seçilen kurala göre, path bazlı kurallar oluşturulur. Analiz ekranında sadece kuralı oluşturmak istenilen path'ler tutulur. Zararlı olduğu düşünülen veya serviste öyle bir path olmadığı bilinen tüm path'ler analizden çıkartılır. Böylelikle sadece izin verilen path'ler ile ilgili servise istek yapılabilir.

LOGO

Arayüz

1- Analizleri Listeleme Ekranı

LOGO

Analizleri Listeleme Formu

- Detay

İlgili Virtual Host Grubuna ait daha önceden yapılmış analizleri listesine ulaşılır. Detaylar için tıklayınız.

Arayüz

2- Analiz & Öğren

İlgili Virtual Host Grubuna ait yeni bir analiz başlatmak için kullanılır.

LOGO

Yeni Analiz Oluşturma Formu (1)

LOGO
Yeni Analiz Oluşturma Formu (2)

- Analyze Type

Analiz tipi seçilir.

Manuel analizde site haritasındaki tüm pathler manuel olarak incelenir. Dinamik dizinler uygulanıp, analizden çıkartılacak olan path'ler tespit edilir.

- vService

Analizi başlatılacak olan vService'in bilgisi görüntülenir.

- Virtual Host Groups

Analizi başlatılacak olan ilgili Virtual Host'un bilgisi görüntülenir.

- Analyze Date

Analiz yapılacak olan zaman aralığı seçilir.

- Source

Analizin cluster yapıda çalışan TR7 ASP cihazlarından hangisinde yapılacağı seçilir. Cluster olarak tanımlanmayan TR7 ASP cihazlarında analiz yaparken bu sekme görünmez.

- Ignore Old Rules

Analiz politikası seçilir.

Analiz işlemi tamamlanıp oluşturulacak olan kurallar eğer daha önceden kural oluşturulmuş ise mevcut kuralların üzerinde yazılır.

Analiz işlemi tamamlanıp oluşturulacak olan kurallar eğer daha önceden kural oluşturulmuş ise mevcut kurallar ile birleştirilir.

- Rule Creating Mode

  • Page Independen > Sayfa Bağımsız ile WAF'ın devreye alınması istenen servis ile ilgili çok fazla detay bilinmiyorsa yani ilgili pathler, istek yöntemleri, değişken yapıları gibi böyle servisler için sayfa bağımsız modu kullanılır. Temel olarak OWASP tabanlı olarak koruma sağlanır. Path bazlı bir öğrenme yapılmadan öğrenme işlemi varsayılan kural üzerinden gerçekleştirilir.
  • Data-Based > Veri Bazlı ile varsayılan kuralda GET ve HEAD HTTP metotlarına izin verilir. POST gibi veri göndermesi gereken metotlara izin verilmez. Veri bazlı mod ile analiz yapıldığında, POST isteği üzerinden gönderilen bir veri varsa, query içerisinde bir parametre varsa, raw body içerisinde bir veri varsa, XML Json gibi bir veri kullanıcı tarafından sunucu tarafına gönderiliyorsa bu verileri içeren tüm sayfalar tek tek öğrenilir. Öğrenilmiş kurallar çerçevesinde ilgili pathlere istekler yapılabilir. Öğrenilmemiş "photo.jpeg" gibi bir istek yapıldığı zaman varsayılan kurala düşer. Varsayılan kuralda ise "photo.jpeg"'e sadece GET ile istek yapılmasına izin verilir. Ancak photo.jpeg query parametreleri ile istenirse öğrenilmediği için ilgili istek yine WAF tarafından bloklanır.
  • Comprehensive > Kapsamlı ile bütün HTTP metotları izinsiz olarak kabul edilir. Bu yüzden biz varsayılan kurallar üzerinde yeni bir path tanımı yapmadığımız sürece yapılan tüm istekler WAF tarafından bloklanır. Kapsamlı mod ile analiz yapıldığında her bir path tek tek öğrenilir ve bu pathlere uygun kurallar oluşturulur. Böylelikle öğrenilmemiş bir pathe istek geldiğinde, bu istekler WAF tarafından bloklanır.

- Country Filter

Seçilen filtreleme işlemine göre hangi ülkelerden gelecek olan isteklerin analiz edileceği seçilir. Örnek olarak yurt dışından gelen isteklerin analize dahil edilmemesi için filtre olarak Seçili Seçenekler seçilip Yerel Ağlar ve Türkiye seçilebilir.

LOGO

Gelen isteklerin ülkelerine ait bir filtreleme yapılmaz. Tüm istekler analize dahil edilir.

Tablodan seçilen Ülkeler analize dahil edilir.

Tablodan seçilen bilgiler dışındaki tüm Ülkeler analize dahil edilir.

- Only Domains

Host başlık bilgisi standartlarına uyan istekler analize dahil edilir.

- Only Browsers

Sadece tarayıcılar üzerinden yapılan istekler analize dahil edilir. User-Agent başlık bilgisi kontrol edilir.

- Skip Blacklist IPs

IP İstihbarat sekmesinde tanımlanmış olan Blacklist IP adreslerinden gelen istekler analize dahil edilmez.

- Status Code Filter

Analiz edilecek olan isteklerin sunucudan dönen hangi durum koduna göre analiz edileceği seçilir. Trafiği analiz etmedeki amaç site haritasını çıkarmak ve zararlı olmayan normal istekleri analiz etmek olduğu için 1xx, 2xx ve 3xx durum kodlarına göre filtreleme işleminin yapılması önerilmektedir.

Gelen isteklerin durum kodlarına göre bir filtreleme yapılmaz. Tüm istekler analize dahil edilir.

Tablodan seçilen durum kodları analize dahil edilir.

Tablodan seçilen bilgiler dışındaki tüm durum kodları analize dahil edilir.

- Bot Filter

User-Agent başlık bilgisi kontrol edilerek bot istekleri Seçili Seçenekler Dışındakiler filtresi ile analize dahil edilmez. Detaylı bilgi için Bot Türü koşulunu inceleyebilirsiniz.

Gelen isteklerde bot kontrolü ile ilgili bir filtreleme yapılmaz. Tüm istekler analize dahil edilir.

Tablodan seçilen bot türleri analize dahil edilir.

Tablodan seçilen bilgiler dışındaki tüm farklı (bot olmayan) User-Agent başlık bilgileri analize dahil edilir.

- Source IP Filter

Seçilen filtreleme işlemine göre Kaynak IP adresleri kontrol edilerek analize dahil edilmesi veya edilmemesi istenilen istekler belirlenir.

LOGO

Gelen isteklerde Kaynak IP adresine göre bir filtreleme yapılmaz. Tüm istekler analize dahil edilir.

Girilen Kaynak IP adresleri analize dahil edilir.

Girilen bilgiler dışındaki Kaynak IP adresleri (tümü) analize dahil edilir.

- Host Filter

Seçilen filtreleme işlemine göre Host başlık bilgisi kontrol edilerek analize dahil edilmesi veya edilmemesi istenilen istekler belirlenir. Örnek olarak ilgili servise sadece www.tr7.com domain bilgisi ile gelen isteklerin analize dahil edimesi isteniyorsa aşağıdaki gibi konfigürsayon yapılabilir.

LOGO

Gelen isteklerde Host başlık bilgisine göre bir filtreleme yapılmaz. Tüm istekler analize dahil edilir.

Girilen Host başlık bilgileri analize dahil edilir.

Girilen bilgiler dışındaki Host başlık bilgileri (tümü) analize dahil edilir.

- Start Analyzing

Start Analyzing butonuna tıklanarak seçilen filtreleme işlemlerine göre analiz başlatılır.

Arayüz

Analiz Detayları

1- Analizi Başlatma ve Takip Etme

- Monitoring

Analiz başlatıldıktan sonra yüzdesel (%) olarak ilerleme anlık olarak takip edilebilir. Çıkan barın üzerine tıklandığında analizde başlatmada uygulanan filtreler, kalan analiz süresi gibi detaylı bilgiler kontrol edilebilir. Analiz ekranında seçilen filtrelere göre görüntüde değişiklikler olmaktadır.

LOGO

- Analysis Completion

Analiz bittikten sonra aşağıdaki görselde olduğu gibi Yeni şeklinde bir buton arayüzde görüntülenir. Üzerine tıklanarak aşağıda detayları açıklanan işlemler yapılabilir. Analiz ekranında seçilen filtrelere göre görüntüde değişiklikler olmaktadır.

LOGO

- Edit

Analiz ekranı (site haritası) açılarak oluşturulacak olan kurallar kontrol edilir.

- Delete

Yapılmış olan analiz TR7 ASP üzerinden silinir.

- Apply

Analiz işleminde gelen isteklere ait kurallar oluşturulur.

- Ignore

Yapılmış olan analiz arayüz üzerinden silinir. Ev ikonuna tıklanarak yoksayılan ve daha önceki analizler görüntülenebilir.

Arayüz

2- Analizi Ekranı

LOGO

Analiz Ekranı Formu

- 1 (Reset)

Yapılan değişiklikler sıfırlanır.

- 2 (Undo)

Yapılan değişiklik geri alınır.

- 3 (Redo)

Yapılan değişiklik ileri alınır.

- 4 (Collapse)

Analiz ekranında listelenen tüm pathler derinlikleriyle beraber daraltılır.

- 5 (Select Globs)

Glob Öner butonu ile istenilen filtreleme işlemleri yapılarak AI tabablı WAF motoru ile benzer istekler glob path olarak önerilir.

LOGO

LOGO

Önerilen globlarda istenilen path'ler seçilerek Seçili Glob'ları Uygula butonu ile glob path kuralları oluşturulur.

LOGO

- 6 (Advanced Settings)

LOGO

- Excluded Paths

Analizden çıkartılan dizinler burada görüntülenir. Manuel olarakta giriş yapılabilir.

- Dynamic Paths

Analizi yapılan bir path üzerinde örnek olarak sadece .js dosyalarının istendiği durumlarda Dinamik [Dizin] kullanılabilir. Böylelikle ilgili path'e gelen tüm .js* uzantılı istekler aynı kuralar tabi tutulmuş olur.

LOGO

- Dynamic Path Exclusions

Gruplamalardan Hariç Tut olarak işaretlenmiş dizinler burada görüntülenir. Dinamik dizine dahil olunması istenmeyen istekler manuel olarakta girilebilir.

- Filter

İstek Limiti, Ziyaretçi Limiti, IP Limiti, Ülke Limiti ve Path Bazlı Log Limitleme gibi işlemler yapılabilir.

- 7 (Apply)

Yapılan değişiklikler uygulanarak kuralları oluşturulur.

- 8 (Info)

Yapılan analize ait detaylar görüntülenebilir. Analiz ekranında seçilen filtrelere göre görüntüde değişiklikler olmaktadır.

LOGO

- 9 (Default Order)

Path'lerde sıralama işlemi yapmak için kullanılır.

LOGO

- 10 (Dynamic [Path] (*))

Analizi yapılan bir path üzerinde glob kullanılarak ilgili derinlikteki isteklerin aynı kurallara tabi tutulması için Dinamik [Dizin] * kullanılır.

- 11 (Dynamic [Everything] (**))

Analizi yapılan bir path üzerinde glob kullanılarak derinliklere bakmaksızın, ilgili path'e bir istek gelmesi durumunda aynı kurallara tabi tutulması için Dinamik [Her şey] ** kullanılır.

- 12 (Exclude from Analysis)

İstenmeyen (zararlı olduğu düşünülen) veya ilgili serviste olmayan bir path seçilerek analizden çıkartılmak için kullanılır.

- 13 (Add to Dynamic Path Exlusions)

Dinamik dizine dahil olunması istenmeyen istekler için kullanılır. Seçilen isteklerin kuralları ayrı olarak oluşturulur.

- 14 (Delete)

Dinamik Dizin olarak seçilmiş olan path'lerde Dinamik Dizini kaldırmak için kullanılır.

- 15 (Page Navigation)

Sayfalar arasında geçiş için ok tuşları kullanılır.

- 16 (General Information)

Seçilen path veya dosyalara gelen isteklere ait detaylı bilgiler görüntülenir.

Was this page helpful?