Catalog

CMC Cloud WAAP

CMC Cloud WAAP

Pack nameCMC Cloud WAAP
Version1.1.2
VendorCMC Telecommunication Infrastructure Corporation
CapabilitiesParser · Streaming Rules · Correlation Rules · Dashboard
CategoriesWAF · Web Security · Application Security · Network

Overview

Pack cung cấp giám sát bảo mật toàn diện CMC WAAP (Web Application and API Protection) trên SecOps platform, bao gồm:

  • Parser — chuẩn hóa 2 loại log WAAP (JSON access log + CCLOUD_WAAP error log) sang ECS
  • 7 streaming rules — phát hiện WAF threat, SQL injection, XSS, path traversal, multi-threat combined, rate limit, HTTP 5xx từ external IP
  • 4 correlation rules — phát hiện high-volume attack, multi-domain scan, error spike, persistent attacker
  • 1 dashboard — 13 chart giám sát SOC web application security

Yêu cầu trước khi cài đặt

Yêu cầuChi tiết
CMC WAAP serviceActive WAAP subscription với CCLOUD_WAAP
Log shipperFilebeat (json.keys_under_root: true cho access log) hoặc Fluent Bit/Logstash
Tag log sourcevendor = nginxservice = waap
Quyền platformRole Content Pack Manager

Định dạng log bắt buộc

Loại 1 — JSON Access Log (flat JSON, không cần wrapper):

{
  "@timestamp": "2026-01-15T07:16:57.278Z",
  "timestamp": "2026-01-15T07:17:00.124Z",
  "remote_addr": "203.0.113.42",
  "request": "GET /api/v1/products HTTP/1.1",
  "status": "200",
  "host_header": "app.example.com",
  "server_name": "app.example.com"
}

Loại 2 — WAAP Error Log (raw error line wrapped trong JSON):

{
  "message": "<raw CCLOUD_WAAP error log line>",
  "timestamp": "2026-01-15T07:17:01.000Z"
}

Parser phân biệt loại log: có remote_addr → access log; có message với CCLOUD_WAAP pattern → error log.

Ví dụ log hợp lệ

Access log — normal request:

{"@timestamp":"2026-01-15T07:16:57.278Z","timestamp":"2026-01-15T07:17:00.124Z","remote_addr":"203.0.113.42","request":"GET /api/v1/products?category=electronics HTTP/1.1","status":"200","body_bytes_sent":"183891","request_time":"1.389","http_referer":"https://example.com/products","http_user_agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64)","host_header":"app.example.com","server_name":"app.example.com","upstream_addr":"10.0.1.20:8080","request_id":"a1b2c3d4e5f6a1b2c3d4e5f6a1b2c3d4"}

Access log — WAF threat detected:

{"@timestamp":"2026-01-15T07:20:00.000Z","timestamp":"2026-01-15T07:20:00.500Z","remote_addr":"198.51.100.55","request":"GET /admin?id=1' OR '1'='1 HTTP/1.1","status":"403","body_bytes_sent":"0","request_time":"0.001","host_header":"app.example.com","server_name":"app.example.com","threat_status":"blocked","threat_type":"sql_injection","threat_rule":"SQL_INJECTION_GENERIC","threat_score":"95","request_id":"b2c3d4e5f6a1b2c3d4e5f6a1b2c3d4e5"}

WAAP error log:

{"message":"2026/01/15 07:25:00 [error] 1234#1234: *5678 CCLOUD_WAAP: WAF blocked request from 198.51.100.55, rule: XSS_REFLECTED, uri: /search?q=<script>alert(1)</script>, host: app.example.com","timestamp":"2026-01-15T07:25:00.000Z"}

Access log với threat_status = "blocked" và WAAP error log đều kích hoạt WAF detection rules.


Cài đặt

  1. Vào Marketplace → tìm "CMC Telecom WAAP Security"Install
  2. Kiểm tra Parserswaap-parser đang active
  3. Kiểm tra Detection Rules → filter tag WAAP → 11 rules đang enabled
  4. Mở DashboardsCMC WAAP Security Overview

Parser — Các trường ECS chính

ECS FieldNguồnMô tả
event.actionthreat_status / derivedblocked, allowed, rate_limited
http.request.methodParsed từ requestHTTP method (GET, POST, PUT...)
http.response.status_codestatusHTTP response status code
url.fullParsed từ requestFull URL của request
url.domainhost_header / server_nameDomain target
source.ipremote_addrIP client
event.durationrequest_time (giây → nanoseconds)Thời gian xử lý request
labels.threat_typethreat_typeLoại tấn công: sql_injection, xss, path_traversal...

Detection Rules

Streaming Rules (7 rules — real-time)

#RuleSeverityMô tả
1WAF Threat DetectedHighWAF phát hiện request độc hại bất kỳ loại nào
2WAF SQL Injection DetectedHighWAF phát hiện SQL injection attempt trong request
3WAF XSS Attack DetectedHighWAF phát hiện Cross-Site Scripting attack trong request
4WAF Path Traversal AttackHighWAF phát hiện path traversal (../) attempt
5WAF Multi-Threat Combined AttackCriticalMột request kích hoạt nhiều loại WAF rule cùng lúc — advanced attack
6WAF Rate Limit TriggeredMediumRequest bị chặn do vượt rate limit — brute-force hoặc DDoS
7WAF HTTP 5xx Error from External IPMediumNhiều lỗi server từ external IP — probe exploit hoặc backend instability

Correlation Rules (4 rules — pattern)

#RuleSeverityMô tảNgưỡngLookback
8WAF High Volume ThreatHighNhiều WAF block từ cùng IP trong thời gian ngắn — sustained attack campaign> 10 lần15 phút
9WAF Threat Scanning Multiple DomainsHighCùng IP tấn công nhiều domain — cross-domain scanning hoặc bulk exploit≥ 3 threat trên ≥ 3 domain15 phút
10WAF HTTP Error SpikeMediumĐột biến HTTP 4xx/5xx từ cùng IP — probe hoặc fuzzing> 20 lần15 phút
11WAF Persistent AttackerCriticalCùng IP vừa bị rate limit VÀ kích hoạt WAF rules — persistent attack không dừng≥ 3 rate-limit + ≥ 3 threat30 phút

Dashboard — CMC WAAP Security Overview

#ChartLoạiMô tả
1WAF Events TrendlineLINETrend threat events theo thời gian
2Total ThreatsMETRICTổng WAF threat events
3Rate Limited RequestsMETRICTổng request bị rate limit
4Unique Attacker IPsMETRICSố IP unique tạo ra threats
5Targeted DomainsMETRICSố domain bị tấn công
6Top Attacker IPsBARIP tấn công nhiều nhất
7Threat Type DistributionPIESQL Injection vs XSS vs Path Traversal...
8HTTP Error Status DistributionPIE400 vs 403 vs 404 vs 500...
9Top Targeted URLsBARURL bị tấn công nhiều nhất
10Attacks by Target DomainBARDomain bị tấn công nhiều nhất
11Top Rate Limit Zones TriggeredBARZone rate limit kích hoạt nhiều nhất
12Recent Threat EventsTABLE20 WAF threat gần nhất
13Recent Rate Limit EventsTABLE20 rate limit events gần nhất

SOC Triage nhanh:

  1. Metric 2 → threats cao → ứng dụng đang bị tấn công chủ động
  2. Chart 7 → SQL Injection chiếm đa số → nhắm vào database, kiểm tra WAF bypass
  3. Rule 11 alert (persistent) → xử lý ngay — attacker không bị deterred bởi WAF
  4. Table 12 → xác nhận URL và IP tấn công, escalate nếu cần

Troubleshooting

Triệu chứngNguyên nhânCách xử lý
Không có eventSai tag log sourceKiểm tra vendor = nginxservice = waap
Access log không parseJSON format saiFilebeat cần json.keys_under_root: true để flatten JSON
threat_type trốngWAF chưa bật threat loggingKiểm tra CCLOUD_WAAP config — phải bật threat metadata logging
WAAP error log không hiển thịThiếu message fieldError log wrapper phải có message chứa raw CCLOUD_WAAP log line
Parser không khớpParser bị tắtKiểm tra waap-parser.yaml đang active trong Parsers

Checklist parser:

  • Tag vendor = nginx + service = waap
  • Access log: JSON flat với remote_addr, request, status, timestamp
  • Error log: JSON có message chứa raw CCLOUD_WAAP log
  • waap-parser.yaml đang active

Hỗ trợ

  • Lỗi platform: Mở ticket tại SecOps support portal
  • Góp ý pack: Dùng tính năng feedback trên trang Marketplace
  • Tuning rule: Slack #detection-engineering

Last updated: 2026-06-04 · Vendor: CMC Telecommunication Infrastructure Corporation · Author: secops-team