saas
介紹上週宣布了 F5使用 F5 分布式雲 WAAP 的 AI ML 功能檢測惡意使用者(第 1 部分)。本文擴充套件了這篇介紹性文章,重點介紹用於檢測和防止惡意使用者活動的配置,並演示了如何根據 WAF 安全事件檢測和防禦惡意客戶端。
在本系列的第二部分中,我們將展示更多場景,涵蓋 F5 分布式雲平台惡意使用者檢測和防禦功能的見解。
saas
演示(使用單個負載均衡器 ML 配置)。在此演示中,我們將在應用設定的配置中設定失敗登入嘗試次數的閾值,以將任何後續請求標記為惡意使用者事件,應用防禦規則來限制訪問,我們還將通過 F5 分布式雲控制台中提供的各種使用者識別符號型別來檢測客戶端。
第 1 步使用文件中提到的多負載均衡器 ML 配置來啟用惡意使用者檢測。
注意:配置負載均衡器時,請務必從“ML Config”下拉選單中選擇“Multi Load Balancer Application”選項。
步驟二:為負載均衡新增惡意使用者防禦規則在“安全配置”中,選擇“選擇質詢型別”中的“基於策略的質詢”選項,然後單擊下面的“配置”。 在“惡意使用者防護設定”中,選擇“自定義”。
建立規則後,選擇並應用自定義防禦規則,儲存並退出。 或者單擊“建立新的惡意使用者防禦”,新增名稱,設定適當的威脅級別和相應的操作,然後單擊“繼續”、“應用”、“儲存”和“退出”。
注意:您還可以選擇“預設”惡意使用者防護設定,該設定已經定義了防禦規則,是推薦的設定。
步驟 3進入主頁->WAAP->管理->AI&ML->應用設定,點選“新增應用設定”。
步驟 4輸入名稱,然後轉到“AppType”設定部分。 點選“新增專案”。
步驟 5單擊“選擇應用型別”下拉選單,然後選擇您在執行第 1 步時在負載均衡器中配置的應用型別。
步驟 6點選“配置”,開啟“使用者行為分析設定”的配置,根據需要調整設定值。 出於演示目的,我們已將登入失敗活動的閾值設定為 5。
步驟 7應用並新增配置,然後單擊“S**e and Exit”以建立應用設定物件。 注意:定義網際網絡使用者的獨特身份至關重要,因為它有助於通過學習他們在應用程式中所做的事情來形成對他們的好或壞的感覺。 步驟 8進入主頁->WAAP->管理>共享物件>使用者標識,然後單擊“新增使用者標識”。
新增名稱點選“使用者識別規則”中的“配置”,點選“新增專案”。
使用者 ID
設定並應用使用者識別符號型別,然後將您建立的使用者身份策略新增到負載均衡器。
步驟 9如果使用者發出的登入請求數超過配置的應用登入嘗試失敗閾值限制,則具有識別符號的使用者將返回響應 401。
可用於定義使用者的識別符號:預設使用者識別符號型別設定為“客戶端 IP 位址”。 與上一篇文章一樣,讓我們首先將 IP 位址視為客戶端識別符號。 在此演示中,我們將按照上述步驟設定其他可用選項以生成登入失敗事件,並驗證是否根據配置的使用者身份策略檢測到使用者。 以下是配置的使用者身份規則和使用者介面儀表板的螢幕截圖,其中顯示了相關配置的結果:
根據提交的引數。
基於 HTTP 請求標頭名稱
根據 cookie 名稱。
基於客戶端 IP 位址所在的 ASN
根據 TLS 指紋
基於客戶端 IP 位址和 HTTP 請求標頭名稱的組合。
基於客戶端 IP 位址和 TLS 指紋組合。
saas
結論在本文中,我們將演示如何通過使用非常簡單的配置來配置負載均衡器來響應登入遍歷攻擊,該配置要求你使用各種客戶端標識型別以非常低的誤報風險檢測和防禦這些攻擊。