O WAF (Web Application Firewall) da XLabs é uma solução avançada de segurança que protege aplicações web contra ataques e atividades maliciosas. Para garantir uma maior compreensão e análise das atividades em sua aplicação, o WAF da XLabs oferece três tipos de logs: Logs de Acessos, Logs de Eventos de WAF e Logs de Eventos de WebIPS.
Neste post, explicaremos em detalhes cada um desses logs e como eles ajudam a manter a segurança de suas aplicações web.
Logs de Acessos
Os Logs de Acessos são registros simples que incluem informações sobre o usuário que está acessando a aplicação. Cada linha de log contém informações como:
- IP do usuário;
- Aplicação acessada;
- URL de end-point acessada;
- Código HTTP de resposta (200, 404, 400, 500, 502, etc.);
- Tamanho da resposta em bytes;
- User-Agent do usuário.
Esses logs são semelhantes aos encontrados em servidores web como Nginx e Apache, e são úteis para analisar padrões de tráfego e identificar possíveis problemas de desempenho ou acessibilidade. Estão disponíveis no plano “Plus” de WAF, através da integração com o Elasticsearch.
Imagem 1: Mostra a integração do WAF com Elasticsearch e Kibana.
Logs de Eventos de WAF
Os Logs de Eventos de WAF são registros detalhados de tentativas de ataques ou requisições que foram detectadas como possivelmente maliciosas pelo WAF da XLabs. Esses logs contém informações adicionais, como:
- Cabeçalho HTTP completo;
- Corpo da requisição (em caso de POST ou PUT);
- Detecção de atividades maliciosas (match);
- Localização do IP baseada em GeoIP;
- Porcentagem de reputação maliciosa do IP (em alguns casos).
Com essas informações, os administradores podem determinar se as requisições são maliciosas e decidir se ativam ou não as mitigações do WAF em caso de ataques confirmados. Estes logs você encontrará em todas as versões do WAF, mas para histogramas desses eventos, somente na versão Plus.
Imagem 2: Mostra histograma simples de 12h no painel principal.
Imagem 3: Mostra os eventos de WAF em nosso painel.
Imagem 4: Mostra os cabeçalhos HTTP do evento de WAF.
Logs de Eventos de WebIPS
O WebIPS (Intrusion Prevention System) é um sistema que previne intrusões em aplicações web. Os Logs de Eventos de WebIPS da XLabs fornecem informações sobre análises preditivas realizadas na borda da CDN pela inteligência artificial do WAF da XLabs, bloqueando ataques reais e confirmados. Esses logs incluem:
- Informações dos Logs de Acessos;
- Informações dos Logs de Eventos de WAF;
- Confirmação do ataque (match).
Além disso, o WebIPS atua na camada de rede, bloqueando IPs maliciosos em uma lista de bloqueio dinâmica, aumentando ainda mais a proteção contra atividades maliciosas. Esta funcionalidade você possui em todos os planos de WAF, mas para histogramas desses eventos, somente na versão Plus.
Imagem 5: Mostra os eventos de inteligência em WAF no painel.
Imagem 6: Mostra os cabeçalhos HTTP do evento detectado pela IA.
Imagem 7: Mostra informações do IP como geolocalização e reputação do mesmo.
Conclusão
Compreender os diferentes tipos de logs oferecidos pelo WAF da XLabs é essencial para garantir a segurança e integridade das suas aplicações web. A análise desses logs permite que os administradores identifiquem e respondam a possíveis ameaças, mantendo seus sistemas protegidos e funcionando de maneira eficiente.
Sua empresa ainda não é protegida pelo WAF da XLabs? Faça agora mesmo uma demonstração gratuita de 15 dias e comprove a eficácia na prática!
