Supervisa la actividad de tu bot a con Splunk

Supervisa la actividad de tu bot a con Splunk

  • martes 2 enero, 2024

Bot Risk Scanner (BRS) de Radware es una herramienta gratuita que detecta bots en función de la información de los registros SIEM, exclusiva de Splunk y proporciona información sobre el estado del tráfico entrante. El análisis en profundidad le ayuda a determinar qué acciones debe tomar para evitar cualquier ataque malicioso a sus aplicaciones. Esta herramienta es un servicio de solo monitor conectado a los registros SIEM en Splunk, que clasifica el tráfico entrante como humano o bot según la inteligencia colectiva de bots de Radware.

Por qué Radware Bot Risk Scanner

Bot Risk Scanner de Radware ofrece una solución sin contacto y sin complicaciones para monitorear la actividad del tráfico, especialmente cuando los registros de acceso de su aplicación se almacenan en Splunk. Lo bueno de esto es que no hay necesidad de integraciones externas, gastos generales adicionales en el tablero o instalaciones de hardware adicionales.

Además, Bot Risk Scanner aprovecha la inteligencia colectiva del Bot Manager de Radware para minimizar los falsos positivos, garantizando una evaluación más precisa de las amenazas potenciales. Lo que es aún más atractivo es que puede acceder a todos estos beneficios sin costo alguno, lo que convierte a Bot Risk Scanner en una excelente herramienta para evaluar el perfil de riesgo de su aplicación antes de comprometerse con cualquier solución de bot. Es una forma sencilla y rentable de reforzar su seguridad sin complejidades ni gastos innecesarios.

Pasos para habilitar Bot Risk Scanner

Para comenzar con BRS, siga estos pasos:

Seleccione la aplicación Radware Bot Risk Scanner en Splunk Marketplace

Guardar detalles de configuración:

empresa-splunk

 

Nombre de campo de Splunk: campo de entrada del índice de Splunk de origen [Formato de campo: ip | URL | agente de usuario | referente] En esta IP, URL y agente de usuario son parámetros obligatorios, mientras que el referente es opcional.

Nombre del índice de Splunk: nombre del índice que apunta a los datos en Splunk para su análisis.

Código promocional: este es un campo opcional y, si cree que necesita más cuotas, envíenos un correo electrónico a brs@radware.com y el equipo de Radware compartirá el código promocional único para su cuenta.

ID de correo electrónico: se requiere una identificación de correo electrónico para activar la licencia.

Verifique la búsqueda guardada ( navegue a Configuración > Búsquedas, informes y alertas . Encontrará una búsqueda guardada creada para su revisión) como ejemplo.

Navegue a la pestaña «Panel» para analizar sus datos.

El panel proporciona las siguientes visualizaciones e información:

Recuento de firmas de bots: número total de firmas únicas creadas contra bots (incluye rastreador y agregador) por Radware Bot Risk Scanner.

Solicitud total: número total de paquetes en el índice de origen escaneados por Radware Bot Risk Scanner.

URL afectadas: número total de URL afectadas por ataques de bot.

Solicitudes de bot: número total de paquetes clasificados como bots (incluye rastreador y agregador) por Radware Bot Risk Scanner.

Promedio Duración del ataque | 10 IP principales: tiempo promedio empleado por las 10 direcciones IP principales al realizar ataques de Bot.

tablero-splunk

 

Estadísticas de rastreadores: número total de paquetes clasificados como rastreadores por Radware Bot Risk Scanner.

Tendencia del tráfico de bots: tendencia del tráfico de bots por hora clasificada por Radware Bot Risk Scanner.

Estadísticas del agregador: número total de paquetes clasificados como agregadores por Radware Bot Risk Scanner.

Clasificación de bots: tipos de bots clasificados por Radware Bot Risk Scanner.

gráfico-splunk

 

Ataque principal basado en la dirección IP: lista de IP clasificadas como malas por Radware Bot Risk Scanner junto con ISP, ciudad, país y visitas totales realizadas por IP individual dentro del período seleccionado.

Las 10 URL de referencia principales afectadas por bots: lista de las 10 referencias principales y la cantidad de visitas de bots incorrectos en cada URL dentro del período seleccionado.

Distribución global y 10 ciudades principales según el ataque:

Las 10 URL principales afectadas por bots: lista de las 10 URL principales y la cantidad de visitas de bots incorrectos en cada URL dentro del período seleccionado.

mapa-splunk

 

Limitación y depuración:

No se recomienda cambiar la frecuencia del trabajo de Bot Risk Scanner. Hacerlo aumentaría sus llamadas API generales, que se calcularán en función de su cuota gratuita.

Hay un límite de 50.000 resultados para el comando superior. Consulte las especificaciones aquí limits.conf o en su instancia en [$SPLUNK_HOME/etc/system/README/limits.conf.spec].

El punto final _bump en Splunk se utiliza para forzar una actualización del caché de Splunk. Esto puede resultar útil si ha realizado cambios en la configuración o los datos de Splunk y necesita que los cambios surtan efecto de inmediato.

Conclusión

Si bien Bot Risk Scanner sirve principalmente como herramienta de monitoreo, su capacidad para proporcionar información detallada sobre el tráfico malicioso puede servir como un sólido punto de partida para reforzar la seguridad. Desde solo monitoreo, los usuarios pueden pasar sin problemas a protección activa actualizando a Radware Bot Manager .

El Bot Risk Scanner también puede ser una herramienta invaluable cuando existe un sistema de protección. Ofrece la oportunidad a los equipos de realizar revisiones de pruebas, evaluando exhaustivamente la eficacia de sus capacidades de protección actuales. Si es usuario de Splunk, el escáner gratuito de riesgos de bots de Radware es una herramienta imprescindible para comprender, monitorear y mejorar su postura de seguridad.

 

ventas@advance-nt.com
www.advance-nt.com
whatsapp: 5578679504