Como encontrar o score de requisições bloqueadas pelo WAF
O Web Application Firewall (WAF) da Azion gera resultados relevantes para a manutenção da segurança de suas edge applications. Essas informações podem ser acessadas através Real-Time Events, utilizando consultas (queries) específicas.
Acesse a documentação do Real-Time Events para mais informações sobre o produto.
Este guia inclui algumas queries do WAF disponíveis no Real-Time Events para acessar os dados de requisições bloqueadas pelo WAF e entender o motivo pelo qual foram bloqueadas, resolver problemas e identificar possíveis falsos positivos.
Consulte o WAF no Real-Time Events
Seção intitulada Consulte o WAF no Real-Time EventsPara encontrar informações de requisições bloqueadas pelo WAF no Real-Time Events, siga os passos:
- Acesse o Azion Console.
- Abra o Products menu, indicado pelas três linhas horizontais, e clique em Real-Time Events.
- No campo Data Source, selecione Edge Applications.
- No menu suspenso, ao lado de Data Source, defina o intervalo de tempo desejado.
- Exemplo: requisições feitas nos
Last 15 minutes
, ou escolha um período de tempo.
- Exemplo: requisições feitas nos
- No campo Filter by, escreva as queries de busca.
Veja dois exemplos de queries que podem ser utilizadas para encontrar requisições barradas pelo WAF:
host='domain.com' AND waf_attack_action='$BLOCK'
host='domain.com' AND status='400' AND upstream_status='0'
Em ambos exemplos, substitua domain.com
pelo domínio da sua edge application.
- Clique no botão Search.
Os resultados desses dois comandos serão semelhantes, mas é possível encontrar pequenas variações entre as respostas.
- Selecione e clique em um dos resultados da lista para acessar todos os dados referentes a essa requisição.
Após rodar esses comandos e selecionar uma requisição, inúmeros dados serão exibidos. No entanto, no contexto do WAF, você pode analisar os campos status
, upstream_status
, waf_attack_action
, waf_block
, waf_headers
, waf_learning
, waf_match
e waf_score
. Veja, na tabela abaixo, a definição de cada um dos campos.
Veja a descrição dos campos mencionados na documentação de Real-Time Events.
Quanto maior o valor do campo waf_score
, mais indicativos de ameaças foram encontrados nesta requisição. Se o resultado for -
significa que nenhum indicativo de ameaça foi encontrado. Por esse motivo, quanto mais rígido for o nível de sensibilidade definido no seu WAF, maior será a quantidade de requisições barradas com waf_score
baixo.
Consulte os scores referentes a cada nível de sensibilidade disponível na documentação do Web Application Firewall.
Para saber se seu WAF está operando em modo learning ou blocking, você pode usar este mesmo método e analisar o campo waf_learning
, ou ver o guia Como verificar o modo do seu WAF.
Contribuidores