@volhvrod-qq

Как настроить аудидт или логвотч, если не знать что искать?

Есть уязвимость
https://confluence.atlassian.com/security/cve-2023...
https://redcanary.com/blog/confluence-exploit-rans...
https://www.cvedetails.com/cve/CVE-2023-22515/

Как можно настроить системы оповещения и сканировать на предотвращение или быстрое реагирование на подобные типы атак?
  • Вопрос задан
  • 197 просмотров
Решения вопроса 1
@vitaly_il1
DevOps Consulting
Предотвращение - немедленно делать то, что советует Atlassian.

Обнаружение атак - в общем случае можно сделать алерт, если объем лога за минуту (10 минут, час) значительно вырос. Обычно есть 100 записей в минуту - будем посылать алерт если есть 300.
Плюс прочитать что пишет Atlassian и настроить алерты по ключевым словам (URL, requests, ...) которые используются в аттаках.

Если отвлечься от Atlassian и говорить в целом - чтобы не изобретать велосипед, нужен WAF (web application firewall). Я последние годы 99% в облаке, но если вы нет, наверняка есть и on-prem products.
Примеры облачных WAF - AWS WAF (ACL), Cloudflare. Мы получаем набор правил от провайдера WAF, который сделан на основе анализа огромного траффика и должен отфильтровывать "плохой" траффик. Разумеется, набор обновляется в реальном времени.

Так что слова для поиска: WAF, SIEM, IDS.
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы