• Guias
• Como Encontrar Score De Requisicoes Bloqueadas Pelo Waf

O Web Application Firewall (WAF) da Azion gera resultados relevantes para a manutenção da segurança de suas edge applications. Essas informações podem ser acessadas através Real-Time Events, utilizando consultas (queries) específicas.

Acesse a documentação do Real-Time Events para mais informações sobre o produto.

Este guia inclui algumas queries do WAF disponíveis no Real-Time Events para acessar os dados de requisições bloqueadas pelo WAF e entender o motivo pelo qual foram bloqueadas, resolver problemas e identificar possíveis falsos positivos.

Para encontrar informações de requisições bloqueadas pelo WAF no Real-Time Events, siga os passos:

1. Acesse o Azion Console.
2. Abra o Products menu, indicado pelas três linhas horizontais, e clique em Real-Time Events.
3. No campo Data Source, selecione Edge Applications.
4. No menu suspenso, ao lado de Data Source, defina o intervalo de tempo desejado.
   • Exemplo: requisições feitas nos Last 15 minutes, ou escolha um período de tempo.
5. No campo Filter by, escreva as queries de busca.

Veja dois exemplos de queries que podem ser utilizadas para encontrar requisições barradas pelo WAF:

host='domain.com' AND waf_attack_action='$BLOCK'

host='domain.com' AND status='400' AND upstream_status='0'

Em ambos exemplos, substitua domain.com pelo domínio da sua edge application.

6. Clique no botão Search.

Os resultados desses dois comandos serão semelhantes, mas é possível encontrar pequenas variações entre as respostas.

7. Selecione e clique em um dos resultados da lista para acessar todos os dados referentes a essa requisição.

Após rodar esses comandos e selecionar uma requisição, inúmeros dados serão exibidos. No entanto, no contexto do WAF, você pode analisar os campos status, upstream_status, waf_attack_action, waf_block, waf_headers, waf_learning, waf_match e waf_score. Veja, na tabela abaixo, a definição de cada um dos campos.

Veja a descrição dos campos mencionados na documentação de Real-Time Events.

Quanto maior o valor do campo waf_score, mais indicativos de ameaças foram encontrados nesta requisição. Se o resultado for - significa que nenhum indicativo de ameaça foi encontrado. Por esse motivo, quanto mais rígido for o nível de sensibilidade definido no seu WAF, maior será a quantidade de requisições barradas com waf_score baixo.

Consulte os scores referentes a cada nível de sensibilidade disponível na documentação do Web Application Firewall.

Para saber se seu WAF está operando em modo learning ou blocking, você pode usar este mesmo método e analisar o campo waf_learning, ou ver o guia Como verificar o modo do seu WAF.

Contribuidores