Catalog
CMC Cloud WAAP
CMC Cloud WAAP
| Pack name | CMC Cloud WAAP |
| Version | 1.1.2 |
| Vendor | CMC Telecommunication Infrastructure Corporation |
| Capabilities | Parser · Streaming Rules · Correlation Rules · Dashboard |
| Categories | WAF · Web Security · Application Security · Network |
Overview
Pack cung cấp giám sát bảo mật toàn diện CMC WAAP (Web Application and API Protection) trên SecOps platform, bao gồm:
- Parser — chuẩn hóa 2 loại log WAAP (JSON access log + CCLOUD_WAAP error log) sang ECS
- 7 streaming rules — phát hiện WAF threat, SQL injection, XSS, path traversal, multi-threat combined, rate limit, HTTP 5xx từ external IP
- 4 correlation rules — phát hiện high-volume attack, multi-domain scan, error spike, persistent attacker
- 1 dashboard — 13 chart giám sát SOC web application security
Yêu cầu trước khi cài đặt
| Yêu cầu | Chi tiết |
|---|---|
| CMC WAAP service | Active WAAP subscription với CCLOUD_WAAP |
| Log shipper | Filebeat (json.keys_under_root: true cho access log) hoặc Fluent Bit/Logstash |
| Tag log source | vendor = nginx và service = waap |
| Quyền platform | Role Content Pack Manager |
Định dạng log bắt buộc
Loại 1 — JSON Access Log (flat JSON, không cần wrapper):
{
"@timestamp": "2026-01-15T07:16:57.278Z",
"timestamp": "2026-01-15T07:17:00.124Z",
"remote_addr": "203.0.113.42",
"request": "GET /api/v1/products HTTP/1.1",
"status": "200",
"host_header": "app.example.com",
"server_name": "app.example.com"
}
Loại 2 — WAAP Error Log (raw error line wrapped trong JSON):
{
"message": "<raw CCLOUD_WAAP error log line>",
"timestamp": "2026-01-15T07:17:01.000Z"
}
Parser phân biệt loại log: có
remote_addr→ access log; cómessagevới CCLOUD_WAAP pattern → error log.
Ví dụ log hợp lệ
Access log — normal request:
{"@timestamp":"2026-01-15T07:16:57.278Z","timestamp":"2026-01-15T07:17:00.124Z","remote_addr":"203.0.113.42","request":"GET /api/v1/products?category=electronics HTTP/1.1","status":"200","body_bytes_sent":"183891","request_time":"1.389","http_referer":"https://example.com/products","http_user_agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64)","host_header":"app.example.com","server_name":"app.example.com","upstream_addr":"10.0.1.20:8080","request_id":"a1b2c3d4e5f6a1b2c3d4e5f6a1b2c3d4"}
Access log — WAF threat detected:
{"@timestamp":"2026-01-15T07:20:00.000Z","timestamp":"2026-01-15T07:20:00.500Z","remote_addr":"198.51.100.55","request":"GET /admin?id=1' OR '1'='1 HTTP/1.1","status":"403","body_bytes_sent":"0","request_time":"0.001","host_header":"app.example.com","server_name":"app.example.com","threat_status":"blocked","threat_type":"sql_injection","threat_rule":"SQL_INJECTION_GENERIC","threat_score":"95","request_id":"b2c3d4e5f6a1b2c3d4e5f6a1b2c3d4e5"}
WAAP error log:
{"message":"2026/01/15 07:25:00 [error] 1234#1234: *5678 CCLOUD_WAAP: WAF blocked request from 198.51.100.55, rule: XSS_REFLECTED, uri: /search?q=<script>alert(1)</script>, host: app.example.com","timestamp":"2026-01-15T07:25:00.000Z"}
Access log với
threat_status = "blocked"và WAAP error log đều kích hoạt WAF detection rules.
Cài đặt
- Vào Marketplace → tìm "CMC Telecom WAAP Security" → Install
- Kiểm tra Parsers →
waap-parserđang active - Kiểm tra Detection Rules → filter tag WAAP → 11 rules đang enabled
- Mở Dashboards → CMC WAAP Security Overview
Parser — Các trường ECS chính
| ECS Field | Nguồn | Mô tả |
|---|---|---|
event.action | threat_status / derived | blocked, allowed, rate_limited |
http.request.method | Parsed từ request | HTTP method (GET, POST, PUT...) |
http.response.status_code | status | HTTP response status code |
url.full | Parsed từ request | Full URL của request |
url.domain | host_header / server_name | Domain target |
source.ip | remote_addr | IP client |
event.duration | request_time (giây → nanoseconds) | Thời gian xử lý request |
labels.threat_type | threat_type | Loại tấn công: sql_injection, xss, path_traversal... |
Detection Rules
Streaming Rules (7 rules — real-time)
| # | Rule | Severity | Mô tả |
|---|---|---|---|
| 1 | WAF Threat Detected | High | WAF phát hiện request độc hại bất kỳ loại nào |
| 2 | WAF SQL Injection Detected | High | WAF phát hiện SQL injection attempt trong request |
| 3 | WAF XSS Attack Detected | High | WAF phát hiện Cross-Site Scripting attack trong request |
| 4 | WAF Path Traversal Attack | High | WAF phát hiện path traversal (../) attempt |
| 5 | WAF Multi-Threat Combined Attack | Critical | Một request kích hoạt nhiều loại WAF rule cùng lúc — advanced attack |
| 6 | WAF Rate Limit Triggered | Medium | Request bị chặn do vượt rate limit — brute-force hoặc DDoS |
| 7 | WAF HTTP 5xx Error from External IP | Medium | Nhiều lỗi server từ external IP — probe exploit hoặc backend instability |
Correlation Rules (4 rules — pattern)
| # | Rule | Severity | Mô tả | Ngưỡng | Lookback |
|---|---|---|---|---|---|
| 8 | WAF High Volume Threat | High | Nhiều WAF block từ cùng IP trong thời gian ngắn — sustained attack campaign | > 10 lần | 15 phút |
| 9 | WAF Threat Scanning Multiple Domains | High | Cùng IP tấn công nhiều domain — cross-domain scanning hoặc bulk exploit | ≥ 3 threat trên ≥ 3 domain | 15 phút |
| 10 | WAF HTTP Error Spike | Medium | Đột biến HTTP 4xx/5xx từ cùng IP — probe hoặc fuzzing | > 20 lần | 15 phút |
| 11 | WAF Persistent Attacker | Critical | Cùng IP vừa bị rate limit VÀ kích hoạt WAF rules — persistent attack không dừng | ≥ 3 rate-limit + ≥ 3 threat | 30 phút |
Dashboard — CMC WAAP Security Overview
| # | Chart | Loại | Mô tả |
|---|---|---|---|
| 1 | WAF Events Trendline | LINE | Trend threat events theo thời gian |
| 2 | Total Threats | METRIC | Tổng WAF threat events |
| 3 | Rate Limited Requests | METRIC | Tổng request bị rate limit |
| 4 | Unique Attacker IPs | METRIC | Số IP unique tạo ra threats |
| 5 | Targeted Domains | METRIC | Số domain bị tấn công |
| 6 | Top Attacker IPs | BAR | IP tấn công nhiều nhất |
| 7 | Threat Type Distribution | PIE | SQL Injection vs XSS vs Path Traversal... |
| 8 | HTTP Error Status Distribution | PIE | 400 vs 403 vs 404 vs 500... |
| 9 | Top Targeted URLs | BAR | URL bị tấn công nhiều nhất |
| 10 | Attacks by Target Domain | BAR | Domain bị tấn công nhiều nhất |
| 11 | Top Rate Limit Zones Triggered | BAR | Zone rate limit kích hoạt nhiều nhất |
| 12 | Recent Threat Events | TABLE | 20 WAF threat gần nhất |
| 13 | Recent Rate Limit Events | TABLE | 20 rate limit events gần nhất |
SOC Triage nhanh:
- Metric 2 → threats cao → ứng dụng đang bị tấn công chủ động
- Chart 7 → SQL Injection chiếm đa số → nhắm vào database, kiểm tra WAF bypass
- Rule 11 alert (persistent) → xử lý ngay — attacker không bị deterred bởi WAF
- Table 12 → xác nhận URL và IP tấn công, escalate nếu cần
Troubleshooting
| Triệu chứng | Nguyên nhân | Cách xử lý |
|---|---|---|
| Không có event | Sai tag log source | Kiểm tra vendor = nginx và service = waap |
| Access log không parse | JSON format sai | Filebeat cần json.keys_under_root: true để flatten JSON |
threat_type trống | WAF chưa bật threat logging | Kiểm tra CCLOUD_WAAP config — phải bật threat metadata logging |
| WAAP error log không hiển thị | Thiếu message field | Error log wrapper phải có message chứa raw CCLOUD_WAAP log line |
| Parser không khớp | Parser bị tắt | Kiểm tra waap-parser.yaml đang active trong Parsers |
Checklist parser:
- Tag
vendor = nginx+service = waap - Access log: JSON flat với
remote_addr,request,status,timestamp - Error log: JSON có
messagechứa raw CCLOUD_WAAP log -
waap-parser.yamlđang active
Hỗ trợ
- Lỗi platform: Mở ticket tại SecOps support portal
- Góp ý pack: Dùng tính năng feedback trên trang Marketplace
- Tuning rule: Slack
#detection-engineering
Last updated: 2026-06-04 · Vendor: CMC Telecommunication Infrastructure Corporation · Author: secops-team