Как начать работать с Yandex Smart Web Security

1. В консоли управления выберите каталог, в котором вы хотите создать профиль.

2. В списке сервисов выберите Smart Web Security.

3. Нажмите Создать профиль и выберите По преднастроенному шаблону.

   Преднастроенный профиль содержит:

   • базовое правило по умолчанию, включенное для всего трафика с типом действия Запретить;
   • правило Smart Protection, включенное для всего трафика, с типом действия Полная защита.

   Совет

   Создание преднастроенного профиля с полной защитой Smart Protection является предпочтительным. Рекомендуем использовать его, чтобы обеспечить наибольшую безопасность защищаемого ресурса.

4. Введите имя профиля, например test-sp1.

5. В поле Действие для базового правила по умолчанию выберите Запретить.

6. (Опционально) Включите или отключите использование информации об HTTP-запросах для улучшения моделей машинного обучения в разделе Обучение ML-моделей.

7. Нажмите Создать.

1. Выберите профиль test-sp1, созданный ранее.

2. Убедитесь, что на вкладке Правила безопасности есть правило со следующими параметрами:

   • Тип — Smart Protection.
   • Действие — Полная защита.
   • Условия — Весь трафик.

   Это правило отправляет весь трафик, приходящий к защищаемому ресурсу, на автоматическую оценку с помощью алгоритмов машинного обучения и поведенческого анализа. По результатам автоматической оценки:

   • Легитимные запросы направляются к защищаемому ресурсу.
   • Нелегитимные запросы и атаки блокируются.
   • Подозрительные запросы направляются в SmartCaptcha для дополнительной верификации.

1. Справа сверху нажмите Подключить к хосту.

2. В открывшемся окне выберите:

   • Балансировщик.

   • HTTP-роутер.

   • Виртуальный хост. Вы можете подключить профиль безопасности сразу к нескольким хостам.

     Чтобы подключить профиль к еще одному L7-балансировщику, нажмите Добавить балансировщик.

3. Нажмите Подключить.

   На вкладке Подключенные хосты появится подключенный виртуальный хост.

1. В консоли управления выберите каталог, в котором вы хотите создать профиль WAF.
2. В списке сервисов выберите Smart Web Security.
3. Перейдите на вкладку Профили WAF и нажмите Создать профиль WAF.
4. Введите имя профиля, например test-waf-profile-1.
5. По умолчанию в профиле WAF включен набор базовых правил OWASP Core Rule Set. Чтобы посмотреть правила в наборе, нажмите на строку с его описанием.
6. Нажмите Создать.

1. На открывшейся обзорной странице профиля WAF нажмите Настроить набор базовых правил.

2. Установите необходимый Порог аномальности — суммарную аномальность сработавших правил, при которой запрос будет заблокирован, например Умеренный — 25 и выше.

   Рекомендуется начинать с порога аномальности 25 и постепенно снижать его до 5. Чтобы снизить порог аномальности, отработайте ложные срабатывания WAF на легитимные запросы. Для этого подберите правила из базового набора и настройте правила-исключения. Также для тестирования разных порогов аномальности используйте в профиле безопасности режим Только логирование (dry-run).

3. Установите необходимый Уровень паранойи, например 2 и ниже.

   Уровень паранойи классифицирует правила по степени агрессивности. Чем выше уровень паранойи, тем лучше уровень защиты, но и больше вероятность ложных срабатываний WAF.

4. Проверьте включенные в набор правила, при необходимости включите дополнительные или уберите ненужные. При работе с правилами обращайте внимание на значение их аномальности и уровень паранойи.

Любое правило из набора можно сделать блокирующим. Запрос, соответствующий таком правилу, будет заблокирован независимо от установленного порога аномальности. Чтобы сделать правило блокирующим, нажмите справа от него. Если в профиле безопасности включен режим Только логирование (dry-run), запросы не будут заблокированы, даже если они соответствуют блокирующим правилам.

1. Перейдите на вкладку Правила-исключения и нажмите Создать правило-исключение.

2. Введите имя правила-исключения, например exception-rule-1.

3. В блоке Область применения укажите правила из базового набора, для которых будет срабатывать исключение. Вы можете выбрать Все правила или указать конкретные.

4. В блоке Условия на трафик выберите условия для срабатывания правила-исключения.

   Если оставить поле Условия пустым, правило-исключение будет применено ко всему трафику.

5. Нажмите Создать.

1. Перейдите на вкладку Профили безопасности.
2. В списке выберите профиль безопасности, к которому вы хотите подключить профиль WAF, например test-sp1.
3. Нажмите Добавить правило.
4. Введите имя правила, например waf-rule-1.
5. В поле Приоритет задайте значение выше, чем у правил Smart Protection, уже имеющихся в профиле безопасности, например 888800.
6. (Опционально) Чтобы протестировать профиль WAF и отработать ложные срабатывания на легитимные запросы, используйте в профиле безопасности режим Только логирование (dry-run).
7. В поле Тип правила выберите Web Application Firewall.
8. В поле Профиль WAF выберите test-waf-profile-1, созданный ранее.
9. В поле Действие выберите Полная защита.
10. При необходимости задайте условия для сопоставления трафика.
11. Нажмите Добавить.

1. В консоли управления выберите каталог, в котором вы хотите создать профиль ARL.
2. В списке сервисов выберите Smart Web Security.
3. Перейдите на вкладку Профили ARL и нажмите Создать профиль ARL.
4. Введите имя профиля, например test-arl-profile-1.
5. При необходимости добавьте описание профиля и метки.
6. Нажмите Создать.

1. На открывшейся обзорной странице профиля ARL нажмите Добавить правило.

2. Введите имя правила, например arl-rule-1.

3. В поле Приоритет задайте приоритет выполнения правила в рамках профиля ARL, например 1000.

4. (Опционально) Чтобы протестировать правило ARL, включите режим Только логирование (Dry run). В этом режиме запросы блокироваться не будут.

5. В блоке Условия на трафик выберите Весь трафик или При условии.

6. Чтобы задать условия на трафик, в списке Условия выберите один или несколько пунктов:

   • IP — IP-адрес, диапазон адресов, регион IP-адресов или список адресов;
   • HTTP header — строка в заголовке HTTP;
   • Host — домен, на который пришел запрос;
   • HTTP method — метод запроса;
   • Cookie — строка в заголовке cookie.

7. В блоке Подсчет запросов выберите, как считать запросы для применения лимита:

   • Без группировки — подсчет каждого запроса в отдельности;
   • По характеристикам — подсчет количества групп запросов, объединенных одной или несколькими характеристиками.

   1. Выберите характеристику для группировки:

      • Request path — путь запроса;
      • HTTP method — метод запроса;
      • IP адрес — IP-адрес, с которого пришел запрос;
      • Регион — регион, которому принадлежат IP-адреса запросов;
      • Host — домен, на который пришел запрос;
      • HTTP cookie — строка в заголовке cookie;
      • HTTP header — строка в заголовке HTTP;
      • Query params — строка в параметрах запроса.

   2. (Опционально) Включите опцию Учитывать регистр, чтобы характеристики с одинаковыми значениями, но в разном регистре попадали в разные группы.

8. Укажите лимит запросов и выберите промежуток времени, например 1000 запросов за 1 минуту.

9. Нажмите Сохранить правило.

1. Перейдите на вкладку Профили безопасности.
2. В списке выберите профиль безопасности, к которому вы хотите подключить профиль ARL, например test-sp1.
3. Нажмите Редактировать.
4. В списке Профиль ARL выберите test-arl-profile-1, созданный ранее.
5. Нажмите Сохранить.