Browse Ask a Question
 
Tools Add
Rss Categories

Configuring Action Overrides or Exceptions to Data Leak & Attack Detection Signatures

Author: Partian Co Reference Number: AA-00313 Views: 2789 Created: 2017-07-31 15:06 Last Updated: 2017-11-26 12:35 0 Rating/ Voters
Configuring Action Overrides or Exceptions to Data Leak & Attack Detection Signatures

 شما می توانید دستگاه FortiWeb را به گونه ای تنظیم کنید که Signature از اسکن کردن یک درخواست جهت شناسایی حملات خودداری کند. شما همچنین می توانید از یک Signature به جای بلاک کردن حملات، جهت تولید یک Log یا Alert استفاده کنید. همچنین شما می توانید یک Action را غیر فعال کنید.

Exception یا لیست استثنا زمانی مفید خواهد بود که تعدادی از پارامتر ها باعث تشخیص نادرست حملات شوند. شما می توانید Exception ها را با استفاده از عناصر موجود در درخواست تعریف کنید:

  • HTTP Method
  • Client IP
  • Host
  • URI
  • Full URL
  • Parameter
  • Cookie

تنظیمات مربوط به غیر فعال کردن Signature ها، اضافه کردن Exception یا تنظیم Action جهت اینکه زمان مشاهده ی Log مربوط به یک حمله، فقط Alert تولید کند

  • از منوی سمت چپ به مسیر Web Protection > Known Attacks > Signatures رفته و Signature Policy مورد نظر را انتخاب کنید سپس از نوار بالای صفحه بر روی گزینه ی Edit یا View کلیک کنید. در صفحه ی جدید گزینه ی Signature Details را انتخاب کنید.


  • در سمت چپ و در قسمت Dictionaries ابتدا Signature Category مورد نظر خور را انتخاب کرده و  از زیر شاخه ی آن، Sub-Category مورد نظر را انتخاب و در سمت راست بر روی Signature ID مورد نظر کلیک راست کرده و آن را غیر فعال کنید.


نکته:

  • با کلیک راست بر روی Signature ID مورد نظر گزینه های زیر را خواهید داشت:
  1. Enable: از این گزینه می توانید جهت فعال کردن Signature مورد نظر استفاده کنید.
  2. Disable in All Polices: از این گزینه می توانید جهت غیر فعال کردن Signature مورد نظر در تمامی Policy ها استفاده کنید.
  3. Disable in Current Policy:  از این گزینه می توانید جهت غیر فعال کردن Signature مورد نظر در Policy فوق استفاده کنید.

  • در ادامه در صفحه ی تنظیمات مرحله ی قبل و در منوی سمت راست در نوار بالای صفحه با انتخاب گزینه ی Signature می توانید موارد زیر را انجام دهید:




نکته:

  • Alert Only: اگر در هنگام شناسایی یک حمله تنها قصد دریافت Log یا Alert Email را دارید ولی نمی خواهید که درخواست فوق بلاک شود، این گزینه را فعال کنید.
  • False Positive Mitigation Support: برای Signature هایی که از ویژگی False Positive Mitigation پشتیبانی می کنند اگر می خواهید ویژگی فوق را فعال یا غیر فعال کنید می توانید از این گزینه استفاده کنید. جهت آشنایی بیشتر با این ویژگی می توانید به آموزش False Positive Mitigation for SQL Injection Signatures مراجعه کنید.
  •   در ادامه اگر قصد ایجاد یک لیست استثنا برای ترکیب های خاص از Host Name/URL را دارید در صفحه ی تنظیمات در مرحله ی قبل و در منوی سمت راست در نوار بالای صفحه بر روی گزینه ی Exception  کلیک کرده و سپس گزینه ی Create New را انتخاب کنید.


نکته:

  •  Element Type: توسط این فیلد می توانید نوع عنصری که توسط آن قصد ایجاد یک Rule Exception برای Signature فوق را دارید، مشخص کنید. این فیلد دارای گزینه های زیر می باشد:
  1. HTTP Method
  2. Client IP
  3. Host
  4. URI
  5. Full URL
  6. Parameter
  7. Cookie

توجه شود با انتخاب هر کدام از عناصر بالا،در ادامه گزینه های متفاوتی جهت تنظیمات خواهید داشت.

  •  با انتخاب گزینه ی HTTP Method برای فیلد Element Type گزینه های زیر را جهت انجام تنظیمات خواهید داشت:


نکته:

  • فیلد Operation دارای دو گزینه می باشد:

  1. Include: با انتخاب این گزینه Signature بر روی درخواست هایی که شامل HTTP Method مشخص شده در تنظیمات فوق می باشند، هیچ اسکنی را انجام نمی دهد .
  2. Exclude: با انتخاب این گزینه Signature تنها بر روی درخواست هایی که شامل HTTP Method مشخص شده در تنظیمات فوق می باشند، اسکن را انجام می دهد .
  • توسط فیلد HTTP Method روش هایی را جهت شامل شدن یا شامل نشدن درخواست در لیست استثنا انتخاب می کنید.

  •  با انتخاب گزینه ی Client IP برای فیلد Element Type گزینه های زیر را جهت انجام تنظیمات خواهید داشت:


نکته:

  • فیلد Operation دارای دو گزینه می باشد:
  1. Equal: با انتخاب این گزینه Signature بر روی درخواست هایی که IP Address  کاربر با مقدار مشخص شده برای فیلد Client IP در تنظیمات فوق یکی باشد هیچ اسکنی را انجام نمی دهد.
  2. Not Equal: با انتخاب این گزینه، Signature بر روی درخواست هایی که IP Address کاربر با مقدار مشخص شده برای فیلد Client IP در تنظیمات فوق یکی نباشد هیچ اسکنی را انجام نمی دهد. در واقع اگر IP Address کاربر با مقدار مشخص شده برای فیلد Client IP در تنظیمات فوق یکی باشد اسکن توسط Signature انجام خواهد شد.
  • توسط فیلد Client IP یک IP Address جهت مقایسه با IP Address کاربری که فرستنده ی Request است، مشخص کنید.
  • با انتخاب گزینه ی Host برای فیلد Element Type گزینه های زیر را جهت انجام تنظیمات خواهید داشت:


نکته:

  • فیلد Operation دارای دو گزینه می باشد:
  1. String Match: با انتخاب این گزینه، باید برای فیلد Value در تنظیمات فوق قسمتی از یک Host Name را وارد کنید.
  2. Regular Expression Match: با انتخاب این گزینه، باید برای فیلد Value در تنظیمات فوق یک Regular Expression وارد کنید.
  • توسط فیلد Value، با توجه به گزینه ای که برای فیلد Operation انتخاب کردید، یک مقدار جهت مقایسه با مقدار فیلد Host در HTTP Request وارد کنید. در صورتی که مقدار فوق با مقدار فیلد Host در HTTP Request یکی باشد، Signature فوق هیچ اسکنی را بروی Request انجام نمی دهد.
  • با انتخاب گزینه ی URL برای فیلد Element Type گزینه های زیر را جهت انجام تنظیمات خواهید داشت:


نکته:

  • فیلد Operation دارای دو گزینه می باشد:
  1. String Match: با انتخاب این گزینه، باید برای فیلد Value در تنظیمات فوق قسمتی از یک URI را وارد کنید.
  2. Regular Expression Match: با انتخاب این گزینه، باید برای فیلد Value در تنظیمات فوق یک Regular Expression وارد کنید.
  • توسط فیلد Value، با توجه به گزینه ای که برای فیلد Operation  انتخاب کردید، یک مقدار جهت مقایسه با URL مربوط به HTTP Request وارد کنید. در صورتی که مقدار فوق با مقدار متناظر در URL مربوط به HTTP Request یکی باشد، Signature فوق هیچ اسکنی را بروی درخواست انجام نمی دهد. در مقدار دهی به این فیلد به موارد زیر توجه شود:
  1.  مقدار ی که برای فیلد فوق وارد می کنید شامل پارامتر ها نشود. به عنوان مثال پارامتر testpage.php/ برای http://www.test.com/testpage.php?a=1&b=2
  2. اگر برای فیلد Operation گزینه ی String Match را انتخاب کرده اید، مقدار فیلد Value را با یک slash شروع کنید. اگر برای فیلد Operation گزینه ی Regular Expression Match را انتخاب کرده اید نیازی نیست که حتما مقدار فیلد Value با یک slash شروع شود.
  3.  مقدار ی که برای فیلد فوق وارد می کنید شامل یک Domain Name یا پارامتر ها نشود. اگر قصد وارد کردن یک Domain Name یا پارامتر ها را برای فیلد Value دارید، باید برای فیلد Element Type به ترتیب یکی از گزینه های Host یا Full URL را انتخاب کنید.

  • با انتخاب گزینه ی Full URI برای فیلد Element Type گزینه های زیر را جهت انجام تنظیمات خواهید داشت:

نکته:

  • تمامی تنظیمات در این مورد مشابه مرحله ی قبلی می باشد با این تفاوت که:
  1.  مقدار ی که برای فیلد Value وارد می کنید می تواند شامل پارامتر ها شود. به عنوان مثال پارامتر testpage.php?a=1&b=2/ برای http://www.test.com/testpage.php?a=1&b=2
  2.  مقدار ی که برای فیلد Value وارد می کنید شامل یک Domain Name نشود. اگر قصد وارد کردن یک Domain Name را برای فیلد Value دارید، باید برای فیلد Element Type گزینه ی Host را انتخاب کنید.
  • با انتخاب گزینه ی Parameter برای فیلد Element Type گزینه های زیر را جهت انجام تنظیمات خواهید داشت:



نکته:

  • فیلد Operation دارای دو گزینه می باشد:
  1. String Match: با انتخاب این گزینه، باید برای فیلد Name در تنظیمات فوق قسمتی از یک پارامتر را وارد کنید.
  2. Regular Expression Match: با انتخاب این گزینه، باید برای فیلد Name در تنظیمات فوق یک Regular Expression وارد کنید.
  • توسط فیلد Name، با توجه به گزینه ای که برای فیلد Operation انتخاب کردید، یک مقدار جهت مقایسه با مقدار پارامتر در HTTP Request وارد کنید. در صورتی که مقدار فوق با مقدار پارامتر موجود در HTTP Request یکی باشد، Signature فوق هیچ اسکنی را بروی درخواست انجام نمی دهد.
  • Check Value of Specified Element: با فعال کردن این گزینه می توانید یک پارامتر دیگر را نیز جهت مقایسه با پارامتر موجود در HTTP Request وارد کنید. 
  • با انتخاب گزینه ی Cookie برای فیلد Element Type گزینه های زیر را جهت انجام تنظیمات خواهید داشت:


نکته:

  • فیلد Operation دارای دو گزینه می باشد:
  1. String Match: با انتخاب این گزینه، باید برای فیلد Name در تنظیمات فوق نام یک کوکی وارد کنید.
  2. Regular Expression Match: با انتخاب این گزینه، باید برای فیلد Name در تنظیمات فوق یک Regular Expression وارد کنید.
  • توسط فیلد Name، با توجه به گزینه ای که برای فیلد Operation انتخاب کردید، یک مقدار جهت مقایسه با نام کوکی در HTTP Request وارد کنید. در صورتی که مقدار فوق با مقدار پارامتر موجود در HTTP Request یکی باشد، Signature فوق هیچ اسکنی را بروی درخواست انجام نمی دهد.
  • Check Value of Specified Element: با فعال کردن این گزینه می توانید نام یک کوکی دیگر را نیز جهت مقایسه با نام کوکی موجود در HTTP Request وارد کنید. 

نکته:

با انتخاب هر کدام از گزینه های موجود در فیلد Element Type یک فیلد به نام Concatenate را جهت انجام تنظیمات خواهید داشت. این فیلد دارای گزینه های زیر می باشد:


  1. And: با انتخاب این گزینه، در صورت Match شدن درخواست با شرط فوق، این Rule به همراه Rule هایی که قبلا در لیست استثنا بوده اند، در لیست استثنا قرار می گیرند. در واقع این Rule به Rule های قبلی در لیست استثنا اضافه می شود.
  2. Or: با انتخاب این گزینه، در صورت Match شدن درخواست با شرط فوق، تنها این Rule در لیست استثنا قرار می گیرد.

  • در ادامه می توانید مراحل بالا را جهت ایجاد و اضافه کردن Rule های دیگر در لیست استثا تکرار کنید.

    تلفیق Rule های ایجاد شده در لیست استثنا  -  Concatenating Exceptions



همانطور که در شکل مشاهده می کنید تلفیق سه Rule ایجاد شده به قرار زیر می باشد:

  • برای فیلد Concatenate در Rule مشخص شده با ID 2، گزینه ی And انتخاب شده است.
  • برای فیلد Concatenate در Rule مشخص شده با ID 3، گزینه ی Or انتخاب شده است.
  • فیلد Concatenate در Rule مشخص شده با ID 1 تاثیر گذار نمی باشد چون همانطور که در تصویر بالا مشاهده می کنید این Rule در بالای لیست قرار گرفته است.

در نتیجه تلفیق سه Rule فوق به صورت زیر می باشد:

(1 And 2) OR (3)

فیلتر کردن Signature ها  جهت سهولت در پیدا کردن Signature مورد نظر 

شما می توانید Signature ها را باستفاده از یک واژه یا کلمه ی کلیدی فیلتر کنید. می توانید صفحه نمایش Signature ها در یک Signature policy را جهت یافتن سریع آیتم های زیر فیلتر کنید:
  • Signature های غیر فعال شده
  • Signature هایی که شما Action پیش فرض آن ها را به Alert Only تغییر داده اید.
  • Signature های SQL Injection که از ویژگی False Positive Mitigation پشتیبانی کرده و Additional SQL Syntax Validation در آن ها غیر فعال شده.
  • Signature هایی که در رابطه با یک Identifier از نوع CVE می باشند.
  • Signature هایی که توسط یک یا تعداد بیشتری Exception پیکربندی شده اند.

جهت یافتن سریع Signature مورد نظر خود، از منوی سمت چپ به مسیر Web Protection > Known Attacks > Signatures رفته و Signature Policy مورد نظر را انتخاب کنید. سپس از نوار بالای صفحه بر روی گزینه ی Edit یا View کلیک کنید. در صفحه ی جدید، در پایین صفحه، گزینه ی Signature Details را انتخاب کنید و در قسمت Dictionaries بر روی گزینه ی Filters کلیک کرده سپس در سمت راست و توسط فیلد Filter By نوع فیلتر را انتخاب کنید و بر روی گزینه ی Apply کلیک کنید.
Rss Comments
  • There are no comments for this article.
Info Add Comment
Nickname: Your Email: Subject: Comment:
Enter the code below:
Info Ask a Question 
Copyright © 2010-2017 Partian.co - all rights reserved