Xavfsizlik hodisalari (Incidents)

Honeypot WAF tizimidagi aniqlangan hujumlar, qoidalar triggerlari va xavfsizlik hodisalarini ko'rish. Maqsad - hodisani tez aniqlash, kontekstini ko‘rish va kerakli javob choralarini bajarish.

1. Umumiy ko‘rinish

  • Sahifa: Xavfsizlik hodisalari.

  • Yuqori panelda filtrlar: Qidiruv (IP / davlat / qator), Domen (Barcha domenlar yoki tanlangan domen), Vaqt oralig‘i (1h/24h/7d/30d/Barcha vaqt), Daraja (Info/Past/O‘rtacha/Yuqori/Kritik).

  • Asosiy ro‘yxat: saralangan hodisalar jadvali (paginatsiya bilan).

  • Har bir satrga “Ko‘rish” (👁) tugmasi mavjud - tafsilot modalini ochadi.

2. Jadval (Columns & behavior)

Jadval ustunlari va ularning ma’nosi:

  • # / Vaqt — Hodisa qayd etilgan vaqt (lokal UTC ko‘rsatiladi).

  • Resurs / Domen — Hodisa aniqlangan domen yoki subdomen. Tugma bosilsa domen sahifasiga o‘tadi.

  • Hujum turi (event_type) — WAF tomonidan klassifikatsiya (misol: SCAN_HTTPX, DIRB_FLOOD, SQL_INJECTION, SUSPICIOUS_REQUEST, GENERIC_SCAN, OWASP_SCANNER_DETECTION).

  • Darajasi (severity)Info / Past / O‘rtacha / Yuqori / Kritik. Rang bilan ko‘rsatiladi.

  • IP manzil — Hujumchi IP (klik bilan whois / passive checks). Geolocation bayrog‘i yonida.

  • Holat (status)Yangi / Ko‘rilmoqda / Tahlil qilingan / Bloklangan / Bekor qilingan.

  • Info — tez xarakatlar (bloklash, qoidaga yuborish, nusxalash request id).

Jadval sarlavchalarini bosib sortlashtirish mumkin (vaqt, daraja, IP).

3. Filtrlar va qidiruv

  • Qidiruv: IP, davlat nomi, request id, hodisa identifikatori, user-agent qismi.

  • Domen filtri: Barcha domenlar / tanlangan domenlar. (Per-domain tahlil uchun bu alohida variant.)

  • Vaqt oralig‘i: tez variantlar va aniq boshlanish/tugash sanasi.

  • Daraja: faqat muayyan severity’larni ko‘rsatish.

  • Qo‘shimcha: “Faqat bloklanganlar” toggle, “Faqat yangi” toggle.

4. Hodisa tafsilotlari modal (Incident details)

Modal ochilganda ko‘riladigan maydonlar:

A. Yuqori darajadagi bloklar

  • Vaqt, IP, mamlakat, domen, hujum turi, severity, holat (status), short summary.

B. Hodisa identifikatorlari

  • incident_id (UUID), rule_id yoki signature_id, request_id (log trace), copy-to-clipboard tugmalari.

C. WAF ma’lumotlari

  • Qaysi WAF modul trigger qildi (misol: OWASP_TOP10, Ratelimit, Bot-Detector), amalga oshirilgan action (blocked, challenged, log_only), trigger tafsiloti (qoidalar va qaysi regex/condition ishladi).

D. Qurilma ma’lumotlari

  • Browser, platform, method (GET/POST), UA, referer, TLS versiya, SNI (agar mavjud).

E. Trafik / so‘rov metrikasi

  • So‘rov hajmi (bytes), javob kodi, response time, edge node ID, ASN, PTR (reversedns) va boshqalar.

F. To‘liq HTTP so‘rov (raw request)

  • Request line va headers (kirilishi mumkin bo‘lgan sensitive data maskalanadi) va agar kerak bo‘lsa body snippets. Nusxalash imkoniyati mavjud.

G. Amalga oshirilgan harakatlar (audit)

  • Qo‘llangan policy, qo‘lda yoki avtomatik qadamlar: IP blok, rate-limit, CAPTCHA/JS challenge, WAF rule created. Har bir action - operator va vaqt bilan.

5. Severity mapping — qanday aniqlanadi

Tizim severity’ni quyidagi tartibda belgilaydi (misol):

  • Kritik - avtomatlashtirilgan SQLi/Remote code exec urinishlari, masalan SQL_INJECTION, RCE.

  • Yuqori - credential stuffing, auth brute-force, L7 flood boshlanishi.

  • O‘rtacha - scanning, directory brute-force (DIRB), generic scans.

  • Past - shubhali so‘rovlar, noto‘g‘ri bot UA.

  • Info - monitoring loglari, rate-limit triggers past darajali.

Severity hisoblash: signature severity + threat_score + repeat_count (bir IP dan qayta urinishlar) → oxirgi baho.

6. Operator amaliyotlari (Actions / Playbook)

Har bir hodisa satrida va modalda quyidagi tezkor amallar bo‘ladi:

  1. Bloklash (Block IP) - Edge firewall’da darhol bloklash, avtomatik qoida yaratish. (IP, ASN yoki /24 bloklash parametrlarini tanlash).

  2. Whitelist / Allow - noto‘g‘ri trigger bo‘lsa, IP yoki UA’ni whitelistga qo‘shish. (Audit log talab qilinadi).

  3. Yangi WAF qoidasi yaratish - indicator (pattern) asosida policy yaratish va staging yoki active rejimida qo‘llash.

  4. Investigate - hodisa bilan bog‘liq barcha so‘rovlarni ochish (time-series) va session playback.

  5. Threat Intel lookup - VirusTotal/AbuseIPDB/Whois havolalari bilan tez tekshirish.

Har bir action auditga yoziladi (operator, vaqt, o‘zgarish).

7. Investigatsiya workflow (recommended)

  1. Triaging - severity va repeat_count ga qarab prioritizatsiya (Kritik → birinchi).

  2. Kontekst yig‘ish - to‘liq HTTP request, user-agent, ASN, backend response, origin IP trace.

  3. Cross-check - boshqa domenlarda shu IP faoliyati bormi? (global threat stream)

  4. Prove - sandbox yoki hozirgi logs orqali payload/SQLi testlarini tekshirish.

  5. Response - kerak bo‘lsa darhol drop / temp ban (15–60 min) va rule yaratish.

  6. Post-action monitoring - 1h davomida monitor qilib, false-positive tekshirish.

8. Ma’lumot saqlash va maxfiylik

  • Hodisa tafsilotlari va raw HTTP request’lar 90 kun saqlanadi (default), so‘rov bo‘yicha retention sozlanadi.

  • Raw request’lar bizda saqlanganda PII/Token’lar maskalanadi (authorization header, cookie qiymatlari - opsional masking sozlamalari bilan).

  • Audit loglar va action history kamida 1 yil audit saqlanadi.

PreviousReal vaqt monitoringiNextXavfsizlik Siyosati

Last updated