Uyarı geldiğinde ilk adım


Bir WAF veya log uyarısı gördüğünde ilk yapılacak şey paniğe kapılmak değil, olayı sınıflandırmaktır. Uyarı tekil mi, tekrar ediyor mu, hangi IP’den geliyor, hangi endpoint hedeflenmiş ve uygulama buna nasıl cevap vermiş gibi sorular cevaplanmalıdır.



Triage mantığı


Triage, olayın önceliğini belirleme sürecidir. Admin paneline gelen SQLi denemesi ile public blog aramasına gelen tekil garip istek aynı öncelikte olmayabilir. Hedeflenen alanın hassasiyeti önemlidir.



Bakılacak temel alanlar



  • IP adresi ve kullanıcı ajanı

  • HTTP metodu ve istek yolu

  • Payload veya eşleşen WAF kuralı

  • Risk skoru ve aksiyon

  • Aynı IP’den gelen diğer istekler

  • Uygulama hata logları



Yanlış pozitifleri ayırmak


Her WAF uyarısı gerçek saldırı değildir. Teknik blog yazısı içinde geçen kod örnekleri, admin tarafından girilen HTML içerikler veya güvenlik laboratuvarı payloadları yanlış pozitif üretebilir. Bu yüzden bağlam önemlidir.



Aksiyon planı


Gerçek saldırı belirtisi varsa IP geçici engellenebilir, ilgili endpoint kontrol edilebilir, loglar saklanabilir ve gerekiyorsa kod tarafında ek doğrulama yapılabilir. Olay sonrası alınan dersler mutlaka not edilmelidir.