Um relatório WAAP típico abre com "12.483 ataques bloqueados este mês" e continua com gráficos de pizza geográficos e listas de top-10 de IPs atacantes. Isso pode satisfazer um CISO no nível do título, mas não responde às perguntas de nível arquitetural e de regulador: "Qual percentual do nosso volume de ataques atinge OWASP A03 Injection?", "Quais categorias do OWASP API Top 10 mostram a maior pressão?", "De quais países, em quais horas, em qual argumento vemos tentativas CWE-89 SQLi?"
Essas perguntas precisam de mais do que um painel de análise WAAP padrão. Respondê-las requer que o ID do ataque seja vinculado a categorias OWASP, códigos CWE e níveis de risco na origem. Os produtos WAAP comuns tratam o ID do ataque como um código alfanumérico; eles não o vinculam a uma taxonomia curada. Em seu relatório, "attack id 942100" é o que você vê — não "OWASP A03".
A segunda lacuna é a correlação de contexto. Qual argumento (campo de formulário, parâmetro de query, campo de corpo JSON) o ataque chegou, qual método HTTP, qual tamanho de corpo, qual user-agent, em que hora — esses geralmente vivem em painéis separados. O operador os une mentalmente. Perguntas compostas como "OWASP A03 × escopo JSON body × ASN específico" não são respondidas diretamente pelo relatório.
A terceira lacuna é a visão executiva e de regulador. Quando um auditor pergunta "Nas categorias OWASP Top 10, qual tipo de ataque foi o pico nos últimos seis meses?", o operador precisa mapear manualmente os IDs de ataque para as categorias OWASP e adicionar totais de colunas manualmente.
O relatório do TR7 WAAP fecha todas as três lacunas: regras e IDs de ataque são pré-etiquetados nas taxonomias OWASP Web Top 10, OWASP API Top 10 e CWE como um eixo de relatório de primeiro nível; combinações de correlação significativas são incorporadas na estrutura do relatório; e visões categoria por categoria tornam-se slides padrão para relatórios executivos e de auditoria.
O TR7 projeta o relatório de ataque WAAP como a superfície de relatório empresarial onde taxonomia de categorias, eixos de correlação, nível de risco e intensidade geográfica convergem em um único documento.
O conjunto de 3000+ regras do TR7 WAAP é pré-mapeado para OWASP Top 10 (2021) Web, OWASP API Security Top 10 (2023) e os códigos CWE aplicáveis. Quando um ID de ataque chega, o sistema já sabe quais categorias se aplicam — os operadores não fazem o mapeamento manualmente.
Os ataques são renderizados como seções separadas de barra/pizza + tabela top-N em 14 eixos de correlação. Perguntas compostas como "categoria X × argumento Y × país Z" são respondidas lendo entre as seções do relatório, não montando painéis mentalmente.
Além dos eixos primários, combinações significativas (OWASP A03 × escopo JSON body, OWASP A01 × host header específico, CWE-89 × distribuição ASN, API4 × método HTTP) são enviadas como slides padrão do relatório. A maioria das perguntas de auditoria e executivas é respondida diretamente por essas combinações.
O relatório do TR7 WAAP roda dentro do mesmo appliance que serve o tráfego. O pipeline completo desde os logs de ataque até a geração de PDF fica no dispositivo. Os produtos WAAP comuns exigem uma plataforma de gerenciamento separada com sua própria licença, capacidade e custo operacional.
Relatórios de ataque WAAP com 14 eixos de correlação, taxonomia OWASP / API / CWE, histograma de risco de seis níveis, detalhe por host group e PDF empresarial com marca.
O relatório agrupa ataques pelas categorias OWASP Top 10 (2021) Web: A01 Broken Access Control, A02 Cryptographic Failures, A03 Injection, A04 Insecure Design, A05 Security Misconfiguration, A06 Vulnerable Components, A07 Authentication Failures, A08 Software & Data Integrity, A09 Logging Failures, A10 SSRF. Para cada categoria, contagem de ataques, distribuição de nível de risco, top-N path e top-N país são renderizados como seções separadas.
Os ataques de API são renderizados contra o OWASP API Security Top 10 (2023): API1 Broken Object Level Authorization, API2 Broken Authentication, API3 Broken Object Property Level Authorization, API4 Unrestricted Resource Consumption, API5 Broken Function Level Authorization, API6 Unrestricted Access to Sensitive Business Flows, API7 Server-Side Request Forgery, API8 Security Misconfiguration, API9 Improper Inventory Management, API10 Unsafe Consumption of APIs.
Cada ataque é etiquetado para os códigos CWE aplicáveis; CWE-89 (SQL Injection), CWE-79 (XSS), CWE-77 (Command Injection), CWE-22 (Path Traversal), CWE-352 (CSRF), CWE-918 (SSRF) e outros aparecem como seções do relatório. Pesquisadores de segurança e equipes de auditoria falam em taxonomias padrão.
Os ataques são renderizados como seções separadas nos seguintes eixos: IP de origem, país, cidade, user-agent, visitante (IP + UA), tamanho do corpo, tempo de inspeção WAAP (wafTime), hora do dia, ID do ataque, escopo do ataque (form / header / query / json / xml / path / raw / cookie), pontuação de risco, nome da variável de argumento (arg), host header, path, método HTTP. Cada eixo: gráfico de barras/pizza pareado com uma tabela top-N.
Os ataques se dividem em seis níveis de risco: estrutural, muito alto, alto, médio, baixo, muito baixo. O nível estrutural cobre a detecção de anomalias estruturais específica do TR7 (abuso de protocolo HTTP, comportamento de bot, assinaturas DDoS-IP) que fica fora do intervalo de regras OWASP CRS.
Quando um vService carrega múltiplos host groups, uma seção dedicada de relatório de ataque é aberta por host group, e uma seção de resumo cross-group apresenta os host groups lado a lado. O operador vê tanto a pressão em toda a organização quanto a visão por host group no mesmo relatório.
O relatório PDF abre com uma capa com marca contendo logo da organização, nome do vService e intervalo de datas. A seção de resumo abre com a intensidade de ataque em um mapa de calor SVG mundial completo, seguido de mini séries temporais de total de requisições vs. requisições bloqueadas.
Além dos eixos primários, combinações de categorias (OWASP A03 × escopo JSON body, API4 × método HTTP, CWE-89 × ASN, estrutural × país) são geradas automaticamente como seções padrão do relatório. A maioria das perguntas de auditoria e de regulador recebe uma resposta direta dessas combinações.
O relatório WAAP é projetado junto com o processamento de logs brutos, etiquetagem de taxonomia, distribuição por host group, geração em múltiplos formatos e comportamento de cluster.
Os logs WAAP são resumidos em agregados horários pelo motor WafLogReporter ao final de cada hora. Relatórios sob demanda e agendados combinam esses resumos pré-processados; mesmo intervalos longos mantêm o tempo de geração do relatório dentro de limites aceitáveis.
As etiquetas OWASP Top 10, OWASP API Top 10 e CWE são anexadas às próprias regras, de modo que quando um ataque chega ao relatório a categorização já é conhecida. Quando a OWASP publica uma nova revisão, as etiquetas são atualizadas junto com o conjunto de regras.
O relatório segue uma hierarquia numerada: 1. Resumo, 2. Relatório WAAP [nome do host group], subseções 2.1, 2.2 para cada dimensão. Múltiplos host groups continuam com 3., 4. e assim por diante. A ordem das seções prioriza argumento → país → path, depois alfabética.
PDF (A4, capa com marca, seções de categoria e eixo, mapa de calor mundial), XLSX (uma aba por seção), HTML (abre a partir do console do operador). O mesmo motor produz os três formatos em paralelo; a escolha do formato não altera o conteúdo do relatório.
Em um cluster de alta disponibilidade, um dado relatório WAAP agendado é gerado e enviado uma vez, apenas a partir do nó ativo. Sem entrega duplicada; relatórios ad-hoc rodam contra os dados visíveis ao nó ao qual o operador está conectado.
A partir de um ID de ataque ou path no relatório, os operadores saltam diretamente para a regra WAAP que disparou, as sugestões de aprendizado relacionadas e a visão de tráfego ao vivo. O relatório atua como ponto de partida para um fluxo de trabalho operacional, não como um documento estático.
O escritório do CISO pode responder "Qual categoria OWASP Top 10 mostrou a maior pressão este mês, e em qual path?" diretamente do relatório. Contagens de ataque por categoria, distribuição de risco e intensidade geográfica são enviadas como PDF com marca para o conselho.
Em auditorias bancárias, governamentais e de infraestrutura crítica, o auditor pede histórico de ataques agrupado por categoria OWASP e código CWE. O relatório do TR7 apresenta esses como seções padrão — o dossiê de auditoria não é preparado manualmente.
Pesquisadores de segurança investigam em qual argumento, quais ASNs e em quais horas um tipo específico de ataque (p. ex. tentativas SQLi) ocorre. Seções de combinação cross-axis (CWE-89 × argumento × ASN × hora) são incluídas diretamente no relatório.
Os provedores de serviços rodam um vService separado por cliente final e enviam o relatório mensal de ataque WAAP de cada tenant com seu próprio logo, intervalo de datas e idioma. O mesmo motor produz relatórios para dezenas de tenants em paralelo.
Taxonomia de 3000+ regras, 14 eixos de correlação, 6 níveis de risco, combinações de categorias significativas e capa PDF com marca. Vamos guiá-lo por uma demo ao vivo com seu próprio perfil WAAP.