Newsfeed和警报

tCell控制台有一个Newsfeed功能,它可以识别与tCell应用程序相关的重要事件。你可以在概述中查看特定应用程序的Newsfeed,或所有tCell应用程序的重要事件的合并Newsfeed。

以下是大致从优先级排序到较低优先级的事件类型。

Newsfeed

检测到内联脚本可疑的XSS攻击

运行在客户端浏览器的tCell javascript代理(jsagent)报告了一个脚本,该脚本被认为是XSS攻击的一部分。这通常代表了对web应用程序的成功利用,无论是浏览器本地反射,还是通过应用服务器的反射。

检测到疑似指挥注射

tCell代理已经识别出在appServer中执行的外部命令,这些命令没有按照策略中的预期配置。

在新安装中,这可以简单地表示预期的应用行为。一旦将预期的命令添加到策略中,如果尝试新的非预期的命令,就会发生这些事件。根据您的配置模式,这可能会被阻塞,然后报告,或者只是报告。

疑似密码攻击

TCell已经确定了一系列从单个客户端IP或分布式方式以持续的方式进行的登录尝试。TCell将识别攻击是否针对特定的用户名,或者在许多用户名中是广泛的频谱。

此外,TCELL通常可以通过尝试模式推断,账户可能会受到损害。

检测到新的软件包漏洞

代理提供的一些包名称,版本号和签名是新标识为包含漏洞。

这可能发生在三种不同的情况下:

  • 您刚刚首次提出了代理人,它报告了已知包含漏洞的包版本。
  • 已知已知已知包含漏洞的代理部署中的新软件包或新软件包版本。
  • 报告的软件包没有发生更改,但TCELL服务已收到新的漏洞信息,以便现在已知预先存在的包易受攻击。

我们建议您详细审查CVE信息,以决定采取何种行动。在某些情况下,可能存在影响包版本的漏洞,但仅在特定的配置或操作系统中。

IP被标记为可疑

tCell服务确认了一个IP地址发送了可疑活动。如果设置为仅报告模式,可疑角色特性只会在Newsfeed、警报和API中识别问题。在阻断模式下,来自这些ip的请求可能会被部分或全部阻断。

通常,可疑ip将保持自动标记,直到可疑请求停止24小时期间。

当攻击者开始探测您的网站时,这可以按预期发生。也可能发生,因为已经发生了误报的模式。在部署时,这是审查此客户IP所取得的请求的好机会,以确保您的政策适合您。在成熟的配置中,它可能代表对潜在攻击者采取主动行动的机会。

CSP错误配置检测

tCell已经确定了跨许多客户端的CSP(内容安全策略)报告的广泛模式。这可能意味着您的网站打算加载资源,但当前的CSP设置没有将其列为有效资源。

TCell是向您建议您,您应该将这些已标识的Web资源添加到CSP配置中。

检测到内联脚本配置错误

TCell在许多客户端上识别了JavaScript代理(JSagent)的广泛的内联脚本报告模式。这可能意味着您的网站故意包括当前根据预期标记的内联脚本。

tCell建议您应该将这些内联脚本添加到预期的内联脚本签名列表中。

新包(s)

代理商是报告过去未报告的包裹或包装版本。添加新代理时会发生这种情况(初始的包报告集全部被认为是新的),或者在部署中升级软件包时,例如使用更新的库部署新版本的应用程序时。

如果包装部署到未打算的环境,也可能发生这种情况。

检测到的新路线

代理商正在报告过去未报告的路线ID。当您添加新代理时发生这种情况(初始路由设置全部被认为是新的)。当新的路由添加到您的应用程序中,例如使用新的公开功能部署一个版本的应用程序或在某些情况下,在某些情况下将其联系到URL路径时,此外,这也会发生这种情况。

如果路由逻辑部署到未打算的环境,则可能会发生这种情况。

保护区模式改变

当启用或禁用tCell的顶级特性区域时,会创建一个事件,记录所更改的顶级特性。

配置更改

每当更改tCell应用程序的配置时,都会创建一个事件,记录受影响的配置区域、更改的值和做出更改的用户。这种类型的事件发生在所有没有启用或禁用顶级特性的配置更改。

警报

对于所有新的新闻提要事件类别,您可以通过配置Alerting选择在这些事件发生时让tCell主动通信。

警报可以发送:

  • 通过电子邮件
  • Slack™频道
  • 微软团队™
  • 通过一般的人

电子邮件、Slack™和Microsoft Teams™中的内容旨在供人们阅读,并包括返回到tCell新闻提要项目的链接,以获得更多信息。一般的webhook,尽管它们包含相同的信息,但它们是用于编程使用的,并被记录在利用人的通知

设置警报

配置警报涉及选择目的地的组合来接收警报,以及发送给这些目的地的警报类型。

您必须首先配置Destination。Slack和Microsoft Teams目的地可以使用内联帮助。电子邮件目的地只需要一个有效的裸电子邮件地址(user@domain.tld)。

创建一个Slack目的地

  • 使用您已配置的现有Slack传入Webhook,或为此集成配置新一个:
    • 使用浏览器登录到所需的Slack域。
    • 按照ui帮助中的链接,或者导航到自定义集成> Incoming Webhooks > New Configuration。
    • 尽管slack配置要求您选择一个通道,但您可以在tCell UI中覆盖它。
  • 将Webhook URL复制出闲置的UI。
  • 在tCell web UI中,选择Settings -> Alerts,并单击destination部分中的+Add。
  • 选择“松弛”的目标类型
  • 将WebHook URL粘贴到下一个字段中。
  • 输入@user或#通道接收这些警报。
  • 选择要发送到此目的地的警报类型集。对于测试,您可能希望启用Config Changed,因为它们很容易生成。

创建MS Teams目的地

按照ui in-ui帮助或遵循URL访问Microsoft文档中的说明:https://docs.microsoft.com/en-us/microsoftteams/platform/concepts/connectors#setting-up-a-custom-incoming-webhook

一般流程是:

  • 登录Microsoft团队
  • 转到您希望接收警报的频道。
  • 选择更多选项(...)并选择连接器
  • 选择连接器类型Incoming Webhook并选择Add
  • 为webhook选择一个名称,并选择Create。
  • 复制webhook URL。
  • 选择做
  • 在tCell web UI中,选择Settings -> Alerts,并单击destination部分中的+Add。
  • 选择“Microsoft团队”的目标类型
  • 将WebHook URL粘贴到下一个字段中。
  • 选择要发送到此目的地的警报类型集。对于测试,您可能希望启用Config Changed,因为它们很容易生成。