Ein typischer WAAP-Bericht öffnet mit "12.483 Angriffe in diesem Monat blockiert" und fährt mit geografischen Kuchendiagrammen und Top-10-Angreifer-IP-Listen fort. Das kann einen CISO auf der Überschriftenebene zufriedenstellen, beantwortet aber nicht die Fragen auf Architektur- und Regulatorebene: "Welcher Prozentsatz unserer Angriffsvolumen trifft OWASP A03 Injection?", "Welche OWASP API Top 10-Kategorien zeigen den stärksten Druck?", "Aus welchen Ländern, zu welchen Stunden und über welches Argument sehen wir CWE-89 SQLi-Versuche?"
Diese Fragen brauchen mehr als ein Standard-WAAP-Analysepanel. Ihre Beantwortung erfordert, dass die Angriffs-ID an OWASP-Kategorien, CWE-Codes und Risikostufen an der Quelle gebunden ist. Gängige WAAP-Produkte behandeln die Angriffs-ID als alphanumerischen Code; sie binden sie nicht an eine kuratierte Taxonomie. In ihrem Bericht sehen Sie "attack id 942100" — nicht "OWASP A03".
Die zweite Lücke ist die Kontextkorrelation. Über welches Argument (Formularfeld, Query-Parameter, JSON-Body-Feld) der Angriff ankam, mit welcher HTTP-Methode, welcher Body-Größe, welchem User-Agent, zu welcher Stunde — diese Informationen leben in der Regel in separaten Panels. Der Operator verbindet sie mental. Zusammengesetzte Fragen wie "OWASP A03 × JSON body scope × bestimmter ASN" werden vom Bericht nicht direkt beantwortet.
Die dritte Lücke ist die Exekutiv- und Regulatoransicht. Wenn ein Prüfer fragt "In den OWASP Top 10-Kategorien, welcher Angriffstyp war in den letzten sechs Monaten am stärksten?", muss der Operator Angriffs-IDs manuell OWASP-Kategorien zuordnen und Spaltensummen von Hand berechnen.
TR7 WAAP-Reporting schließt alle drei Lücken: Regeln und Angriffs-IDs werden als erstklassige Berichtsachse in OWASP Web Top 10, OWASP API Top 10 und CWE-Taxonomien vorausgezeichnet; aussagekräftige Korrelationskombinationen sind in die Berichtsstruktur eingebaut; und kategorienbasierte Ansichten werden zu Standardfolien für Exekutiv- und Audit-Reporting.
TR7 entwirft den WAAP-Angriffsbericht als Unternehmens-Reporting-Oberfläche, auf der Kategorientaxonomie, Korrelationsachsen, Risikostufe und geografische Intensität in einem Dokument zusammenfließen.
Das TR7 WAAP-Regelwerk mit 3.000+ Regeln ist vorab auf OWASP Top 10 (2021) Web, OWASP API Security Top 10 (2023) und die anwendbaren CWE-Codes abgebildet. Wenn eine Angriffs-ID eintrifft, ist bereits bekannt, welche Kategorien zutreffen — Operatoren müssen sie nicht manuell zuordnen.
Angriffe werden als separate Balken-/Kuchen-+Top-N-Tabellenabschnitte über 14 Korrelationsachsen dargestellt. Zusammengesetzte Fragen wie "Kategorie X × Argument Y × Land Z" werden durch das Lesen zwischen Berichtsabschnitten beantwortet, nicht durch mentales Zusammenfügen von Panels.
Über die primären Achsen hinaus werden aussagekräftige Kombinationen (OWASP A03 × JSON body scope, OWASP A01 × bestimmter Host-Header, CWE-89 × ASN-Verteilung, API4 × HTTP-Methode) als Standard-Berichtsfolien geliefert. Die meisten Audit- und Exekutivfragen werden direkt durch diese Kombinationen beantwortet.
TR7 WAAP-Reporting läuft innerhalb desselben Appliance, der den Traffic bedient. Die vollständige Pipeline von Angriffsprotokollen bis zur PDF-Generierung lebt auf dem Gerät. Gängige WAAP-Produkte erfordern eine separate Management-Plattform mit eigener Lizenz, Kapazität und Betriebskosten.
WAAP-Angriffs-Reporting mit 14 Korrelationsachsen, OWASP / API / CWE-Taxonomie, einem sechsstufigen Risikohistogramm, Pro-Host-Group-Detail und Marken-Unternehmens-PDF.
Der Bericht gruppiert Angriffe nach OWASP Top 10 (2021) Web-Kategorien: A01 Broken Access Control, A02 Cryptographic Failures, A03 Injection, A04 Insecure Design, A05 Security Misconfiguration, A06 Vulnerable Components, A07 Authentication Failures, A08 Software & Data Integrity, A09 Logging Failures, A10 SSRF. Für jede Kategorie werden Angriffsanzahl, Risikostufen-Verteilung, Top-N-Pfad und Top-N-Land als separate Abschnitte dargestellt.
API-Angriffe werden gegen OWASP API Security Top 10 (2023) dargestellt: API1 Broken Object Level Authorization, API2 Broken Authentication, API3 Broken Object Property Level Authorization, API4 Unrestricted Resource Consumption, API5 Broken Function Level Authorization, API6 Unrestricted Access to Sensitive Business Flows, API7 Server-Side Request Forgery, API8 Security Misconfiguration, API9 Improper Inventory Management, API10 Unsafe Consumption of APIs.
Jeder Angriff wird mit anwendbaren CWE-Codes getaggt; CWE-89 (SQL Injection), CWE-79 (XSS), CWE-77 (Command Injection), CWE-22 (Path Traversal), CWE-352 (CSRF), CWE-918 (SSRF) und andere erscheinen als Berichtsabschnitte. Sicherheitsforscher und Audit-Teams sprechen in Standard-Taxonomien.
Angriffe werden als separate Abschnitte dargestellt über: Quell-IP, Land, Stadt, User-Agent, Besucher (IP + UA), Body-Größe, WAAP-Inspektionszeit (wafTime), Tagesstunde, Angriffs-ID, Angriffsbereich (form / header / query / json / xml / path / raw / cookie), Risiko-Score, Argumentvariablenname (arg), Host-Header, Pfad, HTTP-Methode. Jede Achse: Balken-/Kuchendiagramm gepaart mit einer Top-N-Tabelle.
Angriffe werden in sechs Risikostufen aufgeteilt: structural (strukturell), very high (sehr hoch), high (hoch), medium (mittel), low (niedrig), very low (sehr niedrig). Die strukturelle Stufe deckt TR7-spezifische strukturelle Anomalieerkennung ab (HTTP-Protokoll-Missbrauch, Bot-Verhalten, DDoS-IP-Signaturen), die außerhalb des OWASP-CRS-Regelbereichs liegt.
Wenn ein vService mehrere Host-Groups trägt, öffnet ein dedizierter Angriffsberichtsabschnitt pro Host-Group, und ein Cross-Group-Zusammenfassungsabschnitt präsentiert Host-Groups nebeneinander. Der Operator sieht sowohl den organisationsweiten Druck als auch die Pro-Host-Group-Ansicht im selben Bericht.
Der PDF-Bericht öffnet mit einem Marken-Cover, das Organisationslogo, vService-Name und Datumsbereich enthält. Der Zusammenfassungsabschnitt öffnet mit Angriffsintensität auf einer vollständigen SVG-Weltheatmap, gefolgt von Mini-Zeitreihendiagrammen zu Gesamtanfragen vs. blockierten Anfragen.
Über die primären Achsen hinaus werden Kategorie-Kombinationen (OWASP A03 × JSON body scope, API4 × HTTP-Methode, CWE-89 × ASN, structural × Land) automatisch als Standard-Berichtsabschnitte generiert. Die meisten Audit- und Regulatorfragen erhalten eine direkte Antwort aus diesen Kombinationen.
Der WAAP-Bericht wird zusammen mit Rohdaten-Protokollverarbeitung, Taxonomie-Tagging, Host-Group-Verteilung, Multi-Format-Generierung und Cluster-Verhalten entworfen.
WAAP-Protokolle werden am Ende jeder Stunde durch die WafLogReporter-Engine in stündliche Aggregate zusammengefasst. On-Demand- und geplante Berichte verknüpfen diese vorverarbeiteten Zusammenfassungen; selbst lange Zeiträume halten die Berichtsgenerierungszeit begrenzt.
OWASP Top 10-, OWASP API Top 10- und CWE-Tags sind an die Regeln selbst angehängt, sodass bei Erreichen des Berichts die Kategorisierung bereits bekannt ist. Wenn OWASP eine neue Revision veröffentlicht, werden die Tags mit dem Regelwerk aktualisiert.
Der Bericht folgt einer nummerierten Hierarchie: 1. Zusammenfassung, 2. [Host-Group-Name] WAAP-Bericht, 2.1, 2.2 Unterabschnitte für jede Dimension. Mehrere Host-Groups setzen sich mit 3., 4. usw. fort. Die Abschnittsreihenfolge priorisiert Argument → Land → Pfad, dann alphabetisch.
PDF (A4, Marken-Cover, Kategorie- und Achsenabschnitte, Weltheatmap), XLSX (ein Tab pro Abschnitt), HTML (öffnet sich von der Operator-Konsole). Dieselbe Engine produziert alle drei Formate parallel; die Format-Wahl ändert nicht den Inhalt des Berichts.
In einem Hochverfügbarkeits-Cluster wird ein gegebener geplanter WAAP-Bericht einmalig vom aktiven Knoten generiert und gesendet. Keine doppelte Zustellung; Ad-hoc-Berichte laufen gegen die Daten, die dem Knoten sichtbar sind, mit dem der Operator verbunden ist.
Von einer Angriffs-ID oder einem Pfad im Bericht springen Operatoren direkt zur auslösenden WAAP-Regel, den zugehörigen Learning-Vorschlägen und der Live-Traffic-Ansicht. Der Bericht fungiert als Ausgangspunkt für einen operativen Workflow, nicht als statisches Dokument.
Das CISO-Büro kann direkt aus dem Bericht beantworten, welche OWASP Top 10-Kategorie in diesem Monat den stärksten Druck zeigte und auf welchem Pfad. Kategoriebezogene Angriffsanzahlen, Risikoverteilung und geografische Intensität werden als Marken-PDF an den Vorstand geliefert.
In Bank-, Behörden- und kritischen Infrastrukturprüfungen fragt der Prüfer nach Angriffsverlauf aufgeteilt nach OWASP-Kategorie und CWE-Code. TR7s Bericht präsentiert diese als Standard-Abschnitte — das Audit-Dossier wird nicht von Hand vorbereitet.
Sicherheitsforscher untersuchen, über welches Argument, welche ASNs und zu welchen Stunden ein bestimmter Angriffstyp (z. B. SQLi-Versuche) auftritt. Cross-Axis-Kombinationsabschnitte (CWE-89 × Argument × ASN × Stunde) sind direkt im Bericht enthalten.
Service-Provider betreiben pro Endkunde einen separaten vService und liefern den monatlichen WAAP-Angriffsbericht jedes Tenants mit eigenem Logo, eigenem Datumsbereich und eigener Sprache. Dieselbe Engine produziert Berichte für Dutzende von Tenants parallel.
3.000+-Regel-Taxonomie, 14 Korrelationsachsen, 6 Risikostufen, aussagekräftige Kategorie-Kombinationen und ein Marken-PDF-Cover. Lassen Sie uns eine Live-Demo auf Ihrem eigenen WAAP-Profil durchgehen.