Rilevare i Picchi di Rete Identificati dal WAF per la Piattaforma Elastic Stack

Alex Verbniak Ingegnere di Sicurezza Senior

Add to my AI research

Ci sono molti casi interessanti che puoi trovare mentre indaghi sulle anomalie nei baseline del traffico, ad esempio, in FTP, SSH o HTTPS. Questa guida descrive come utilizzare il “Imperva WAF – Kibana Dashboard, Watcher e Machine Learning per ELK Stack” Content Pack per rilevare picchi anomali di attacchi identificati da WAF da un singolo IP a una singola applicazione web.

Scaricare il Content Pack per rilevare picchi di rete per l’Elastic Stack

1. Accedi alla Piattaforma SOC Prime con il tuo account associato al lavoro.
2. Vai a Threat Detection Marketplace > Cominciamo.
3. Seleziona Cerca dal pannello di navigazione.
4. Nel campo Contenuto Cerca , digita “imperva waf”.
5. Clicca su “Imperva WAF – Kibana Dashboard, Watcher e Machine Learning per ELK Stack Content Pack” per aprire la pagina dell’elemento del contenuto.
6. Controlla le sezioni Dipendenze and Requisiti di origine del log per vedere se il tuo sistema soddisfa i requisiti per il deployment del contenuto.
7. Clicca sul pulsante Scarica .

Scarica il "Imperva WAF - per ELK Stack" Content Pack

Nota: La disponibilità del contenuto di rilevazione dipende dal tuo attuale livello di abbonamento SOC Prime. Scopri di più su https://my.socprime.com/pricing/

Implementazione dei contenuti nella tua istanza Kibana

Accedi a Kibana e importa il contenuto utilizzando i seguenti passaggi:

Crea un nuovo lavoro ML (Machine Learning) cliccando sul pulsante Crea nuovo lavoro nell’angolo in alto a destra della pagina.
Seleziona il pattern dell’indice richiesto o una ricerca salvata Imperva WAF logs.
Seleziona la tessera Avanzato dalla lista di wizard per creare un lavoro avanzato.
In the Modifica JSON scheda, incolla la configurazione JSON del Lavoro ML scaricato.
Clicca sul pulsante Successivo pulsante per passare la validazione.
Nota: Nel caso tu abbia un modello di campo diverso, apporta le modifiche corrispondenti nel codice JSON.
Dopo una validazione riuscita, salva le modifiche per completare la creazione del lavoro cliccando sul pulsante Inizia . Qui, puoi specificare l’intervallo di tempo o impostare il lavoro su Ricerca in tempo reale.
Come risultato, otterrai la visualizzazione dei picchi di rete o dell’attività anomala del traffico SSH che necessitano di investigazione.

Hai domande? Contattaci tramite la chat della Piattaforma SOC Prime o mettiti in contatto con noi su Discord.

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis Prenota un incontro

More SIEM & EDR Articles

Giu 18/2025 17 min di lettura SIEM & EDR Intelligenza Artificiale nella Cyber Threat Intelligence by Veronika Zahorulko

Ott 31/2024 6 min di lettura SIEM & EDR Guida Pratica alla Conversione degli IOC in Query SIEM con Uncoder AI by Alla Yurchenko

Set 24/2024 7 min di lettura SIEM & EDR Cybersecurity Agnostica ai Vendor: Adattarsi al Futuro del Rilevamento delle Minacce by Eugene Tkachenko