User guide

Back

Informazioni Generali

Visione generale del sistema

Attack Prophecy® è lo strumento ideale per la protezione di servizi web da attacchi informatici

Attack Prophecy® è un avanzato sistema per la rilevazione e protezione contro intrusioni informatiche su servizi web, frutto di ricerca universitaria di frontiera e rigorosamente made in Italy.

Attack Prophecy® implementa un meccanismo essenzialmente composto da tre fasi:

  1. Addestramento
  2. Rilevazione
  3. Protezione

Il sistema si addestra costantemente osservando il traffico web scambiato dai servizi web per estrarne il profilo legittimo o normale.

Attraverso una moltitudine di modelli specializzati è in grado non solo di rilevare traffico anomalo, ma di categorizzarlo per rilevare diverse tipologie di attacchi informatici. In questo modo è possibile evidenziare anche attacchi molto sofisticati, ad esempio, creati su misura per i servizi web che i tradizionali sistemi di rilevazione o Web Application Firewall (WAF) non sarebbero in grado di rilevare.

L’operatore può verificare le segnalazioni del sistema (confermarle o etichettarle come legittime) e stabilire in pochi passaggi delle regole di protezione per i servizi web.

Requisiti per accedere all’interfaccia di Attack Prophecy.

Per poter utilizzare l’interfaccia di Attack Prophecy è sufficiente disporre di un qualunque pc fisso o portatile di ultima generazione in cui sia stato installato un web-browser. Sarà possibile quindi accedere all’interfaccia del sistema attraverso un qualsiasi browser, all’indirizzo stabilito in fase di configurazione dai tecnici Pluribus One. L’accesso è garantito previa autenticazione basata su nome utente e password stabilite in fase di installazione o create successivamente attraverso la relativa sezione di amministrazione.

Macro categorie di Attacco

Attack Prophecy® è in grado di fornire supporto nella difesa dalle seguenti macro-categorie di attacco:

  • Violazioni Input.
  • Siti Collegati.
  • Information Leakage.
  • Forza Bruta.
  • Probing.
  • Autenticazione Client.

Attack Prophecy è inoltre in grado di stimare la “reputazione” di ogni client che interagisce con i servizi client esposti nel sistema sotto osservazione. Questa “reputazione” è basata sulla presenza o meno di botnet malevole nell’autonomous system di appartenenza.

Nei prossimi sotto paragrafi descriviamo brevemente ciascuna macro-categoria di attacco.

Violazioni Input

Questa macro categoria ingloba tutte le intrusioni informatiche che prevedono l’utilizzo di input malevoli (anomali) verso server o applicazioni web. Ad esempio, in questa categoria fanno parte attacchi di injection molto diffusi come SQL/XPath/OS/LDAP Injection, Path Traversal, Remote File Inclusion, Cross Site Scripting.

In generale, i moduli relativi a questa categoria sono in grado di rilevare qualsiasi attacco preveda l’invio di input “inaspettato” (metodi, protocolli, nomi di dominio, URI, attributi URI) verso il server e le applicazioni web, al fine di sfruttarne delle vulnerabilità.

Siti Collegati

Questa macro categoria ingloba tutti gli attacchi informatici che prevedono l’utilizzo di contenuti relativi ai servizi monitorati su siti/nomi di dominio collegati. Un classico esempio sono le pagine web di Phishing, una tecnica di social engineering volta all’acquisizione di informazioni confidenziali da utenti vittima.

Tali siti sono tipicamente confezionati violando siti web legittimi, ma vulnerabili, al fine di ospitare la pagina phishing utilizzando contenuti del sito target (di cui si intende spacciare l’identità) per massimizzare la somiglianza visiva.

Information Leakage

Questa macro categoria ingloba tutti gli attacchi informatici che fanno leva su vulnerabilità umane o applicative per l’ottenimento di informazioni confidenziali dai siti monitorati (fuga di informazioni). Lo stesso modello può essere in grado anche di rilevare la presenza di contenuti malevoli presenti sui siti monitorati, inseriti in seguito a una compromissione (es. pagine di phishing, JavaScript, file binari, PDF malware), attraverso l’evidenziazione di una tipologia di contenuti sospetta per un certo prefisso URI. Per esempio, il modello Information Leakage è in grado di rilevare la presenza di un contenuto sospetto come la pagina dell’esempio di Phishing precedentemente citato, qualora il <sito violato> venisse monitorato da Attack Prophecy e la pagina venisse caricata su un percorso che normalmente eroga contenuti diversi da HTML (es., immagini, JavaScript).

Forza Bruta

Questa macro categoria ingloba tutti gli attacchi automatici caratterizzati da un numero elevato e ripetitivo di richieste verso i servizi web. A titolo di esempio, in questa categoria ricadono attacchi per l’ottenimento di credenziali di accesso su una pagina di login, o per il dump automatizzato dei contenuti, o per interrogazione automatizzata dei servizi.

Probing

Questa macro categoria ingloba tutti gli attacchi automatici caratterizzati da un numero elevato di richieste fallite verso i servizi web. In questa categoria cadono attacchi di information gathering per l’enumerazione delle risorse vulnerabili, ed errori di configurazione sui servizi.

Il tipico caso di questi attacchi sono scansioni per l’individuazione di applicazioni web (es. Content Management System open-source) la cui vulnerabilità è nota, oppure per l’individuazione dei metodi e protocolli supportati dal server, nel tentativo di utilizzarlo impropriamente (es. come proxy).

Autenticazione Client

Questa macro categoria è relativa agli attacchi che coinvolgono il furto di credenziali degli utenti dei servizi web. Tali attacchi sono spesso evidenziabili attraverso connessioni provenienti da paesi, autonomous system, o identificativi client diversi da quelli solitamente usati dall’utente, oppure provenienti da autonomous system spesso coinvolti in attività illecite, ovvero fortemente popolati da botnet.

Organizzazione del manuale.

Questo manuale è diviso nelle seguenti sotto sezioni:

  • Informazioni Generali – una breve introduzione ad Attack Prophecy e a come è organizzato questo manuale.
  • Per Iniziare – una guida al primo utilizzo della interfaccia.
  • Guida al sistema – una guida ad Attack Prophecy, dal funzionamento generale ad una guida di riferimento per le singole schermate.

Per iniziare

Requisiti per l’utilizzo del sistema

I requisiti hardware e software minimi per poter accedere alla interfaccia di Attack Prophecy sono decisamente contenuti:

  • computer di ultima generazione fisso o portatile.
  • connessione di rete ad alta velocità.
  • web-browser.

L’interfaccia di Attack Prophecy è stata sviluppata ed ottimizzata per i web-browser Mozilla Firefox e Google Chrome; l’utilizzo della piattaforma tramite altri web-browser o tramite dispositivi mobile non è impedito ma potrebbe causare comportamenti inaspettati e per tanto è caldamente sconsigliato.

Indipendentemente dal web-browser scelto, è necessario assicurarsi che esso rispetti i seguenti requisiti:

  • il browser deve essere aggiornato all’ultima versione.
  • Il browser deve avere la abilitata l’esecuzione di codice JavaScript.

In caso di dubbi o problemi si suggerisce di consultare l’amministratore di sistema o l’addetto IT aziendale.

Credenziali di accesso

L’interfaccia di Attack Prophecy può essere utilizzata da una vasta tipologia di utenti che, a seconda della tipologia di installazione effettuata, potranno raggiungerla attraverso vari tipi di connessione: dalla rete interna, tramite VPN, tramite IP pubblico, etc.

Si tenga presente che le tipologie di connessioni disponibili possono variare nel tempo o da utente ad utente. Nel resto del testo si userà l’espressione “avere accesso” per indicare il fatto che l’utente stia accendendo alla interfaccia, indipendentemente da quale metodo sia effettivamente utilizzato. Allo stesso modo, nel resto del testo il termine “credenziali di accesso base” farà riferimento a tutti i “passaggi” e adempimenti tecnici necessari per avere accesso secondo la modalità di connessione scelta.

Primo accesso

Per accedere alla interfaccia di Attack Prophecy sono necessarie delle credenziali di accesso:

  • Credenziali di accesso base (ad es. VPN, indirizzo nella rete locale, etc..).
  • Nome Utente.
  • Password.

Per accedere al sistema occorre innanzitutto visitare la pagina di Login nel proprio web-browser. In questa schermata è necessario inserire Nome Utente e Password.

In caso di successo, verrà mostrata la schermata principale di Attack Prophecy dove sono presenti informazioni riassuntive sugli eventi sospetti rilevati e sulle loro relative categorie oltre che, in generale, sullo stato del sistema protetto.

In caso di errore verrà mostrata la stessa schermata con una notifica, sarà quindi possibile inserire nuovamente le credenziali.

La procedura da eseguire per accedere al sistema non cambia dopo il primo accesso ed è sufficiente quindi svolgere ogni volta gli stessi passaggi.

Guida al Sistema

Informazioni Generali

L’interfaccia grafica di AP consente all’utente di avere accesso alle molteplici funzionalità del programma in modo coerente e ordinato. I risultati sono presentati in varie modalità (ad es. grafici, tabelle, statistiche, ecc..) e tramite varie interfacce di input è possibile interagire in modo “attivo” con il sistema.

Le funzionalità principali del sistema accessibili tramite l’interfaccia sono:

  • Interfaccia per la gestione dell’accesso al sistema.
  • Visione riassuntiva dello status del sistema con statistiche e informazioni aggregate.
  • Visione delle ultime segnalazioni con possibilità di filtraggio, ricerca e classificazione.
  • Gestione delle regole di protezione: creazione, cancellazione, bloccaggio regole.
  • Amministrazione del sistema, visione dei log e gestione degli accessi.
  • Gestione delle “istantanee” generate dal sistema relativamente a pagine web di interesse.
  • Accesso a documenti di sistema quali manuale utente e licenze d’uso.

Il sistema garantisce l’accesso alle varie funzionalità tramite una applicazione web ottimizzata per la fruizione su computer portatili e fissi dotati di browser web di ultima generazione.

La navigazione della interfaccia è supportata da un menu principale, situato a sinistra della schermata, da una barra superiore per la gestione del profilo utente e degli accessi e da una barra di navigazione “bread crumb” che mostra costantemente all’utente quale pagina è attualmente visualizzata. La schermata principale mostra elementi diversi a seconda di quale voce del menu sinistro sia stata selezionata; le varie schermate sono note come “viste” perché, di fatto, consentono di vedere uno dei tanti “aspetti” del software.

L’interfaccia si compone delle seguenti viste, per ognuna delle quali si riporta una breve descrizione e il nome sia in italiano che in inglese:

  • Login (pagina di Accesso) – questa vista contiene dei semplici campi di inserimento testo attraverso i quali l’utente può inserire le proprie credenziali di accesso.
  • Home o Dashboard (Schermata di riepilogo) – questa vista mostra una serie di grafici e dati aggregati allo scopo di consentire una visione rapida dello status del sistema.
  • Explorer (Segnalazioni) – questa vista consente di ispezionare il traffico partendo da segnalazioni e passando alle richieste che le hanno generate. È possibile filtrare le segnalazioni e generare al volo delle regole.
  • Protection (Protezione) – questa vista consente la gestione delle regole.
  • Snapshots (Instantanee) – questa vista consente la visione delle istantanee generate dal sistema.
  • Administration (Amministrazione) – questa vista, e relative sotto viste, consente di gestire il lato amministrativo del software.
  • Documents (Documenti) – questa vista consente la consultazione di documenti relativi al software quali, per esempio, il manuale utente e la guida alle licenze.

Tutte le viste principali sono raggiungibili tramite il menu di navigazione presente nella parte sinistra della schermata. Ad ogni vista principale possono corrispondere varie sotto viste, queste possono essere schermate differenti, finestre modali o parti della schermata raggiungibili tramite controlli a schermo.

I prossimi paragrafi descriveranno in dettaglio le funzionalità racchiuse nelle varie schermate dell’interfaccia grafica di Attack Prophecy oltre che quelli che sono gli elementi ricorrenti presenti in più viste (es: barra superiore, menu sinistro).

Elementi ricorrenti nell’interfaccia

Alcuni elementi della interfaccia sono “ricorrenti”, ovvero sono presenti in ogni schermata, o vista, oppure sono utilizzati spesso e sempre con la stessa funzione.

Barra Superiore

La barra superiore dell’interfaccia mostra un messaggio di benvenuto, il nome dell’utente correntemente loggato al sistema ed un pulsante che, alla pressione mostra un menu dal quale è possibile uscire dal sistema oppure passare ad una videata che consente di cambiare la password associata all’utente corrente.

Nella schermata per il cambio password sono presenti dei campi di inserimento testo tramite i quali è possibile digitare la nuova password e, per questioni di sicurezza, confermare con doppio inserimento la nuova password e inserire anche la password attuale.

Menu a sinistra

Il menu a sinistra riporta una serie di pulsanti tramite i quali è possibile passare ad ognuna delle viste principali. Per alcune viste il sistema provvede a mostrare un elenco di sotto viste direttamente raggiungibili tramite un menu a tendina.

Al momento della stesura del manuale, le viste direttamente raggiungibili sono: Home, Explorer, Protection, Snapshots, Administration, Documents.

Breadcrumb

La “Breadcrumb” è una barra orizzontale che si trova in molte schermate di Attack Prophecy e si compone di vari elementi che, in scala gerarchica, indicano all’utente quale “parte” del sistema è attualmente visibile.

La breadcrumb consente di tenere traccia del percorso seguito dall’utente nell’esplorazione dei dati, permettendo di navigare attraverso schermate e sotto schermate e di tornare indietro alle precedenti tramite un semplice click.

Tabella dati

Il sistema fa ampio uso di tabelle per mostrare i dati e consentire la loro esplorazione oltre che l’esecuzione di varie operazioni. Quale che sia la tabella mostrata a schermo, alcune caratteristiche cambieranno (es: intestazioni, numero righe e colonne, contenuto, etc) mentre altre saranno sempre disponibili.

Nella interfaccia di Attack Prophecy è spesso possibile ordinare la tabella secondo l’ordine ascendente o discendente del contenuto di certe colonne; quando questo è possibile un simbolo con delle frecce accompagna l’intestazione della colonna corrispondente.

Un altro elemento comune è la possibilità di selezionare alcune righe tramite una casella di spunta posta nella prima colonna sinistra; a questa funzionalità si accompagna l’ulteriore possibilità di selezionare tutte le righe mostrate a schermo tramite la casella di spunta presente in alto a sinistra nella tabella.

Barra di Paginazione

Il sistema fa uso di un sistema unificato per la paginazione così da consentire all’utente di scorrere lunghi elenchi di elementi. La barra di paginazione è usata prevalentemente nelle viste con tabelle. La barra di paginazione riporta l’elenco totale di elementi, il numero di pagina correntemente visualizzato, una serie di pulsanti per scorrere la pagina. Tramite la barra di paginazione è sia possibile scorrere le pagine singolarmente o digitare il numero di pagina alla quale si vuole andare e, infine, in certe viste è possibile scegliere il numero di elementi da mostrare per ogni pagina.

Pulsante di ritorno rapido in alto

Nelle pagine il cui contenuto richiede all’utente di scorrere verso il basso è presente un pulsante a comparsa recante una freccia che punta verso l’alto. Alla pressione di questo pulsante l’interfaccia scorre verso l’alto in automatico fino a mostrare l’inizio pagina.

Guida di riferimento – Vista Home & Dashboard

Lo scopo principale di questa vista è quello di consentire all’utente di avere una rapida visione di insieme dello status del sistema. In particolare vengono mostrate le principali sorgenti di segnalazioni (Top Alert Sources) e l’andamento delle segnalazioni giornaliere. Vediamo in dettaglio gli elementi della pagina.

Barra Superiore

La barra superiore sostituisce la più comune bread crumb mostrata nel resto della interfaccia. Questa barra mostra informazioni relative all’ultimo aggiornamento del sistema, l’ultima segnalazione e l’ultima attività da parte di utenti loggati.

Grafici e Statistiche

I due grafici Top Alert Sources e Daily Alerts mostrano rispettivamente le fonti principali che stanno generando segnalazioni (alerts) e l’andamento giornaliero delle segnalazioni stesse.

Nel grafico Top Alert Sources, per ogni fonte di segnalazioni sono riportate varie informazioni: indirizzo IP, data segnalazione, nazione, Autonomous System oltre che il di eventi sospetti associati a quella sorgente. Alla pressione sulla riga corrispondente ad una fonte, il sistema provvederà a passare alla schermata Explorer con un filtraggio preimpostato per mostrare le segnalazioni corrispondenti alla fonte selezionata.

Nel grafico Daily Alerts è riportato il numero di segnalazioni giornaliere per ogni macro categoria di attacco relativamente ad una finestra temporale di ampiezza corrispondente al numero di date disponibili per le rilevazioni. I colori usati in questo grafico per le macro categorie sono gli stessi utilizzati nella barra inferiore. Alla pressione n corrispondenza dei punti individuati per le rilevazioni di una particolare giornata, il sistema provvederà a passare alla schermata Explorer con un filtraggio preimpostato per mostrare le segnalazioni corrispondenti alla data selezionata.

Barra inferiore

La barra inferiore mostra un riquadro per ognuna delle macro categorie di segnalazione utilizzate nel sistema. Ogni riquadro ha lo stesso colore di sfondo utilizzato in tutto il sistema per indicare la data macro categoria (ad esempio: nel grafico Daily Alerts, nelle icone della schermata Explorer, etc.). Ogni riquadro riporta il numero di segnalazioni rilevate dal sistema nell’ultima finestra temporale, relativamente ad una data macro categoria; questo valore è, di fatto, la somma delle segnalazioni giornaliere mostrate nel grafico Daily Alerts.

Alla pressione su uno dei riquadri, il sistema provvederà a passare alla schermata Explorer con un filtraggio preimpostato per mostrare le segnalazioni corrispondenti alla macro categoria selezionata su tutte le date disponibili.

Guida di riferimento – Vista Explorer

Lo scopo principale di questa vista è quello di consentire all’utente di esplorare quali segnalazioni sono state generate dal sistema in seguito a vari eventi identificati come sospetti perché potenzialmente indicativi di un tentativo di attacco.

Tramite la tabella presente in questa pagina e grazie ad alcuni input per il filtraggio, è quindi possibile esplorare le segnalazioni e, una volta trovata una di particolare interesse, consultare informazioni più dettagliate (ad esempio le request ricevute dal sistema e che hanno generato la segnalazione).

Questa vista è una tra le più complesse tra quelle presenti in Attack Prophecy e si compone di vari elementi, vediamoli in dettaglio.

Barra superiore

Contiene due linguette attraverso le quali è possibile passare da una modalità “Events (eventi)” (in cui si sono mostrate informazioni su una o più segnalazioni) ad una modalità “Rule (regole)” (in cui è possibile visionare e modificare le regole di protezione relative alle segnalazioni mostrate).

Questa barra mostra anche informazioni relative all’ultimo aggiornamento, all’ultima segnalazione e l’ultimo feedback da parte dell’utente.

Barra di filtraggio

Questa barra contiene vari input attraverso i quali è possibile filtrare le segnalazioni mostrate in funzione della data, del dominio o della tipologia di segnalazione (ad esempio macro categorie). La barra mostra sia il filtraggio attualmente applicato sia le varie opzioni possibili.

Tabella con i dati

Questa tabella riporta informazioni sommarie riguardo alle segnalazioni corrispondenti alle attuali impostazioni di filtraggio. Le varie colonne riportano: tipologia della segnalazione (type), descrizione (description), numero di fonti (sources), numero di richieste (requests), etichetta correntemente applicata e nome utente che la ha assegnata.

Sono inoltre presenti dei campi di input:

  • Casella di spunta per selezionare una o più segnalazioni.
  • Pulsante Inspect per passare alla Sotto Vista Ispezione Alert (per maggiori informazioni consulta il sotto paragrafo).
  • Selettore di etichetta per cambiare l’etichetta relativa alla segnalazione.

Le caselle di spunta consentono di selezionare una o più segnalazioni, sarà possibile quindi cambiare l’etichettatura di tutte tramite la Barra Inferiore di Etichettatura.

Barra inferiore di Etichettatura

Questa barra contiene tutti gli input per cambiare l’etichettatura di più segnalazioni selezionate precedentemente.

Sotto Vista Ispezione Alert

Questa sotto vista viene raggiunta alla pressione del pulsante “inspect” in una riga relativa ad una segnalazione nella vista “Explorer”. Una volta premuto il pulsante la schermata cambia leggermente.

Si noti come la tabella ora mostra come prima riga in alto quella relativa alla segnalazione che si è deciso di ispezionare; le righe sottostanti mostrano in dettaglio ognuna delle fonti che hanno contribuito a generare la segnalazione. Il pulsante “exit”, mostrato nella prima riga al posto del pulsante “inspect” consente di tornare alla schermata precedente. Tutte le righe, esclusa la prima che mostra la segnalazione ispezionata, mostrano un nuovo pulsante nella colonna Requests. Il pulsante reca il numero di Request che sono state generate dalla fonte a cui è associata la riga. Premendo questa pulsante è possibile passare alla Sotto Vista Report sulle Request (per maggiori informazioni si consulti il relativo paragrafo).

Una ulteriore nota su questa sotto vista riguarda la barra di filtraggio in alto:

Come si può notare, ai classici input di filtraggio, vengono aggiunti due nuovi elementi:

  • Pulsanti di filtraggio “pattern” – attraverso questi pulsanti è possibile esplorare l’albero degli elementi relativi alla segnalazione selezionata per l’ispezione, modificando così anche il contesto risultante dai filtri applicati.
  • Pulsante “Switch to All Patterns” – attraverso questo pulsante è possibile mostrare tutti gli elementi analoghi a quelli sotto ispezione, compresi quelli relativi a richieste che non hanno generato segnalazioni, passando così alla Sotto Vista Ispezione Pattern.
  • Box informativo sulle regole – mostra alcune informazioni e suggerimenti sulla creazione di regole relative alla segnalazione che si sta ispezionando oltre che un pulsante per la creazione rapida della regola.

Sotto Vista Ispezione Pattern

Questa sotto vista mostra un punto di vista alternativo per l’analisi del traffico, mostrando tutti i pattern corrispondenti al livello attualmente selezionato nell’albero di ispezione degli elementi delle richieste, compresi quelli che non hanno generato segnalazioni.

Si noti come il funzionamento di questa Sotto Vista sia pressoché identico (ad esempio filtraggio, paginazione, tabella, box informativo, etc..). Allo stesso tempo si noti come la bread crumb segnala che ci si trova in una schermata differente, inoltre il filtraggio per “tipo di evento” cambia in filtraggio per “etichetta assegnata”.

Il pulsante “Switch to Alerts” consente di tornare alla Sotto Vista Ispezione Alert, mentre il pulsante “exit” presente nella tabella consente di tornare alla vista Explorer principale.

Sotto Vista Report sulle Request

Questa sotto vista è raggiungibile tramite il pulsante “request” sia dalla Sotto Vista Ispezione Alert che dalla Sotto Vista Ispezione Pattern. In questa sotto vista sono mostrate tutte le request ricevute dal sistema che hanno contribuito alla segnalazione ispezionata. Le request sono raccolte per “organizzazione” e sono mostrate con la paginazione così da consentire la navigazione di un grande numero di request. Tramite un piccolo pulsante situato in alto a destra nel riquadro relativo ad una organizzazione, è possibile espandere il riquadro stesso e visionare tutte le request e le relative response in formato “sintetico”.

Per ogni organizzazione viene riportato il nome, la nazione, un indirizzo IP e un “botnet score” ovvero una misura complessiva che indica quanto la relativa organizzazione sia stata osservata come sorgente di attività malevole in rete (100% significa che, secondo le ultime analisi di Pluribus One, le infrastrutture di rete appartenenti a quell’organizzazione vengono regolarmente utilizzate per la gestione di botnet e la realizzazione di attacchi informatici).

Per ogni request vengono riportati almeno i seguenti dati: metodo, URL, host, user-agent, timestamp. Nel caso di alert di tipo Linked Site, un pulsante “Take snapshot” posizionato accanto al campo Referer permette all’utente di richiedere al sistema il salvataggio di una snapshot, che potrà poi essere esaminata tramite l’apposita sezione dell’interfaccia.

Per ogni response vengono riportati: status code, content type, bytes, timestamp.

Guida di riferimento – Vista Protection e sotto viste

Lo scopo principale di questa vista è quello di consentire all’utente di gestire le regole di protezione: visionarle, modificarle, abilitarle e disabilitarle. La vista si suddivide in quattro sotto viste alle quali corrispondono quattro voci nel menu sinistro di Attack Prophecy: Pagina principale, Transport Level, Application Level “Base”, Application Level “Avanzato”.

Questa vista è tra le più complesse presenti in Attack Prophecy, si compone dei seguenti elementi e sotto viste:

Pagina principale

Questa sotto vista è raggiungibile premendo direttamente sul pulsante Protection, mostra informazioni riassuntive su ognuna delle altre sotto viste. In ogni riquadro è presente un link alla relativa sotto vista e vengono inoltre riportati il numero di nuove regole e il numero di regole correntemente caricate. In calce alla pagina è inoltre presente un pulsante per caricare le regole sul Web Application Firewall.

Barra di filtraggio

Questo elemento è presente in tutte le tre sotto viste di Protection (Transport Level, Application Level Base e Application Level Advanced). Tramite un pulsante “filters” posto in alto a destra è possibile chiudere e aprire la barra di filtraggio così da avere più spazio a schermo quando necessario. Questa barra contiene tutti gli input per filtrare le regole mostrate nella tabella dei dati sottostante. La barra di filtraggio include vari filtri e anche una barra di ricerca.

Tabella dei dati delle regole

Questo elemento è presente in tutte le tre sotto viste di Protection. Si tratta di una tabella che riporta tutte le regole relative alla sotto vista corrente. Le colonne riportano: tipo di regola, nome della regola, descrizione sintetica della regola, dominio di riferimento, azione impostata ed eventualmente attiva sul Web Application Firewall, utente che ha inserito la regola, data e ora di inserimento regola, stato del caricamento della regola sul Web Application Firewall, pulsante per l’editing.

Laddove sia necessario, il sistema provvede a fornire una barra per la paginazione e scorrimento della tabella direttamente sotto di essa. Questa tabella è visibile quando la linguetta/tab selezionata è “list”.

Schermata di editing della regola

Questa schermata è presente nelle viste Transport Level, Application Level “Base” e Application Level “Avanzato” e vi si accede premendo il pulsante “edit” in corrispondenza di una riga della tabella; questa azione comporta il passaggio dalla linguetta “list” a quella “details”. Successivamente si può tornare all’elenco delle regole premendo sulla linguetta “list”.

La schermata mostra una serie di campi di inserimento testo che consentono all’utente di creare o modificare le regole. I singoli campi sono intuitivi (ad esempio descrizione, data di creazione, etc..) e sono abilitati o meno a seconda della tipologia di regola (ad esempio trasporto, applicazione, etc..).

Sotto Vista Transport Level

Questa sotto vista si concentra sulle regole di trasporto, come tutte le viste consente sia di visionare che di editare le regole.

Sotto Vista Application Level “Base”

Sotto vista dedicata alle regole di livello applicazione “base”. Il funzionamento è identico a quello della sotto vista per le regole di livello di trasporto salvo che per la presenza di un pulsante “Load Rules file” in alto a destra nella schermata che consente il caricamento delle regole.

Sotto Vista Application Level “Advanced”

Sotto vista dedicata alle regole di livello applicazione “avanzato”. Il funzionamento è identico a quello della sotto vista per le regole di livello applicazione “base”.

Guida di riferimento – Vista Snapshots

Lo scopo principale di questa vista è quello di consentire all’utente di visionare le varie anteprime (snapshots) generate durante l’ispezione delle richieste. La prima schermata visibile non appena si entra in questa vista mostra una piccola anteprima di alcune delle istantanee presenti nel sistema; tramite la barra di paginazione situata a fondo pagina è possibile scorrere tutte le varie istantanee.

Una volta trovata una istantanea di proprio interesse si avranno due opzioni: visionare l’istantanea ad una risoluzione maggiore, passare ad una schermata con informazioni avanzate; entrambe le opzioni possono essere effettuate muovendo il puntatore del mouse sopra l’istantanea e premendo il pulsante “zoom” o “details”.

Schermata “Details”

In questa schermata vengono mostrate ulteriori informazioni relativamente ad una singola istantanea generata da Attack Prophecy.

Tre riquadri riportano informazioni riguardo Client, Initial Server e Final Server; per ognuno di questi sono riportati: IP, nazione (Country), Autonomous System (AS) e Botnet Level.

Sono inoltre riportate anche le seguenti informazioni: Linked Site, Referer Rank, Referer Domain, Final URL, URL Domain, Final URL Domain, Created by.

Nella pagina è inoltre presente un pulsante che abilita/disabilita la visualizzazione del codice html relativo alla pagina sorgente della istantanea.

Guida di riferimento – Vista Administration

Lo scopo principale di questa vista è quello di consentire all’utente di tenere traccia di alcuni aspetti “amministrativi” del software: gestione accessi, gestione utenti e gruppi utenti, log di accesso.

La schermata principale inizialmente visibile mostra una serie di pulsanti, ognuno dei quali rimanda ad una sottosezione relativa alle funzioni precedentemente elencate.

  • Access attempts – questa sotto sezione mostra l’elenco dei tentativi di accesso al sistema. Per ogni tentativo sono mostrati: data e ora, indirizzo IP, User Agent, Username usato per il tentativo di accesso, Path, numero di tentativi di accesso falliti.
  • Logged Accesses – questa sotto sezione mostra l’elenco degli accessi effettuati al sistema. Per ogni accesso sono mostrati: data e ora di accesso, data e ora di logout, indirizzo IP, Username, User Agent, Path.
  • Groups – questa sotto sezione mostra l’elenco dei gruppi utente attualmente presenti nel sistema; consente la creazione di nuovi gruppi e la modifica di quelli esistenti.
  • Users – questa sotto sezione mostra l’elenco degli utenti attualmente presenti nel sistema; consente la creazione di nuovi utenti e la modifica di quelli esistenti.

Sei interessato alle nostre soluzioni?