Como encontrar o score de requisições bloqueadas pelo WAF

O Web Application Firewall (WAF) da Azion gera resultados relevantes para a manutenção da segurança de suas edge applications. Essas informações podem ser acessadas através Real-Time Events, utilizando consultas (queries) específicas.

Este guia inclui algumas queries do WAF disponíveis no Real-Time Events para acessar os dados de requisições bloqueadas pelo WAF e entender o motivo pelo qual foram bloqueadas, resolver problemas e identificar possíveis falsos positivos.


Para encontrar informações de requisições bloqueadas pelo WAF no Real-Time Events, siga os passos:

  1. Acesse o Azion Console > Real-Time Events.
  2. Selecione a tab HTTP Requests para obter os logs de eventos de requisições feitas às suas edge applicationes e firewalls.
  3. No menu suspenso, defina o intervalo de tempo desejado.
    • Exemplo: requisições feitas nos Last 15 minutes, ou escolha um período de tempo.
  4. No campo Search, escreva as queries de busca.

Veja dois exemplos de queries que podem ser utilizadas para encontrar requisições barradas pelo WAF:

host='domain.com' AND waf_attack_action='$BLOCK'

host='domain.com' AND status='400' AND upstream_status='0'

Em ambos exemplos, substitua domain.com pelo domínio da sua edge application.

  • Os resultados desses dois comandos serão semelhantes, mas é possível encontrar pequenas variações entre as respostas.
  1. Selecione e clique em um dos resultados da lista para acessar todos os dados referentes a essa requisição.

Após rodar esses comandos e selecionar uma requisição, inúmeros dados serão exibidos. No entanto, no contexto do WAF, você pode analisar os campos status, upstream_status, waf_attack_action, waf_block, waf_headers, waf_learning, waf_match e waf_score.

Quanto maior o valor do campo waf_score, mais indicativos de ameaças foram encontrados nesta requisição. Se o resultado for - significa que nenhum indicativo de ameaça foi encontrado. Por esse motivo, quanto mais rígido for o nível de sensibilidade definido no seu WAF, maior será a quantidade de requisições barradas com waf_score baixo.


Contribuidores