Tipik WAAP raporu "bu ayda 12.483 saldırı engellendi" benzeri özet bir sayıyla başlar ve coğrafi pasta grafiği, ilk 10 saldıran IP listesi gibi standart panellerle devam eder. Bu görünüm CISO için tatmin edici görünebilir — ama mimari veya regülatör seviyesindeki sorulara yanıt vermez: "OWASP A03 Injection ihlallerimizin yüzdesi nedir?", "API Top 10 hangi kategorilerde en yüksek baskı altındayız?", "CWE-89 SQLi denemeleri hangi ülkelerden, hangi saatlerde, hangi argüman üzerinden geliyor?".
Bu sorular bir tane WAAP analitik panelinin verebileceğinden fazlasını ister. Cevap için saldırı ID'lerini OWASP kategorilerine, CWE kodlarına ve risk seviyelerine bağlamak gerekir. Yaygın WAAP ürünleri saldırı ID'sini ürettiği motor üzerinden kurallı bir taksonomiye bağlamaz; raporda saldırı ID'si bir alfasayısal koddur, OWASP A03 değildir.
İkinci eksiklik bağlam korelasyonu. Saldırının hangi argüman (form alanı, query parametresi, JSON gövde alanı) üzerinden geldiği, hangi HTTP yöntemiyle, hangi gövde boyutuyla, hangi user-agent ile, hangi saatte yoğunlaştığı çoğu üründe ayrı paneller halinde sunulur. Operatör bu panelleri kafasında birleştirmek zorunda kalır; "OWASP A03 Injection + JSON body scope + belirli ASN" gibi birleşik soruları rapor doğrudan yanıtlamaz.
Üçüncü eksiklik regülatör ve yönetim odaklı görünüm. Denetçi "OWASP Top 10 kategorilerinde son altı ayda en yoğun saldırı türü hangisi?" sorusunu sorduğunda; operatörün cevap için saldırı ID'lerini elle OWASP kategorilerine bağlaması, sütun toplamlarını manuel çıkarması gerekir.
TR7 WAAP raporlama bu üç boşluğu kapatmak için kuralları ve saldırı ID'lerini OWASP Web Top 10, OWASP API Top 10 ve CWE taksonomisine baştan etiketleyerek raporun standart bölümleri haline getirir; korelasyon eksenlerinin birleşkelerini rapor mantığına gömer; yönetim ve denetim için kategori-bazlı görünümleri standart slayt haline getirir.
TR7, WAAP saldırı raporunu kategori taksonomisi, korelasyon eksenleri, risk düzeyi ve coğrafi yoğunluğun tek belgede birleştiği bir kurumsal raporlama yüzeyi olarak tasarlar.
3000+ kuraldan oluşan TR7 WAAP kural seti, OWASP Top 10 (2021) Web, OWASP API Security Top 10 (2023) ve ilgili CWE kodlarına önceden eşlenir. Saldırı ID'si rapora geldiğinde otomatik olarak hangi kategorilerle ilişkili olduğu bilinir; operatörün manuel eşleme yapmasına gerek kalmaz.
Saldırılar 14 korelasyon ekseninde ayrı bar/pasta + ilk-N tablo olarak sunulur. Operatör "X kategorisinde, Y argüman üzerinden, Z ülkesinden" gibi birleşik soruları kafasında değil, raporun bölümleri arasında okuyarak yanıtlar.
Yalnız ana eksenler değil — kategori birleşkeleri de (OWASP A03 × JSON body scope, OWASP A01 × belirli host header, CWE-89 × ASN dağılımı, API4 × HTTP yöntemi) raporun standart slaytları arasında yer alır. Denetim ve yönetim sorularının çoğu bu birleşkelerle doğrudan yanıt bulur.
TR7 WAAP raporlaması, trafiği taşıyan aynı cihazda çalışır. Saldırı log'larından raporun PDF üretimine kadar tüm boru hattı cihaz üzerinde. Yaygın WAAP ürünlerinde bu derinlik genellikle ayrı bir yönetim platformuna lisans + kapasite + operasyon yükü olarak gelir.
WAAP saldırı raporu; 14 korelasyon ekseni, OWASP / API / CWE taksonomisi, risk düzeyi histogramı, host grubu detayı ve markalı kurumsal PDF olarak çalışır.
Rapor saldırıları OWASP Top 10 (2021) Web kategorilerine göre gruplar: A01 Broken Access Control, A02 Cryptographic Failures, A03 Injection, A04 Insecure Design, A05 Security Misconfiguration, A06 Vulnerable Components, A07 Authentication Failures, A08 Software & Data Integrity, A09 Logging Failures, A10 SSRF. Her kategori için saldırı sayısı, risk düzeyi dağılımı, ilk-N path ve ilk-N ülke ayrı bölümler halinde gösterilir.
API saldırıları OWASP API Security Top 10 (2023) kategorilerine göre ayrı raporlanır: API1 Broken Object Level Authorization, API2 Broken Authentication, API3 Broken Object Property Level Authorization, API4 Unrestricted Resource Consumption, API5 Broken Function Level Authorization, API6 Unrestricted Access to Sensitive Business Flows, API7 Server Side Request Forgery, API8 Security Misconfiguration, API9 Improper Inventory Management, API10 Unsafe Consumption of APIs.
Her saldırı ilgili CWE kodlarına etiketlenir; CWE-89 (SQL Injection), CWE-79 (XSS), CWE-77 (Command Injection), CWE-22 (Path Traversal), CWE-352 (CSRF), CWE-918 (SSRF) ve diğerleri rapor bölümleri olarak görünür. Güvenlik araştırmacısı ve denetim ekibi standart taksonomide konuşur.
Saldırılar şu eksenlerin her birinde ayrı bölümler halinde rapora girer: saldıran IP, ülke, şehir, user-agent, ziyaretçi (IP + UA), gövde boyutu, WAAP işlem süresi (wafTime), gün-saat, saldırı ID, saldırı alanı (scope: form / header / query / json / xml / path / raw / cookie), risk düzeyi (score), argüman değişken adı (arg), host header, path, HTTP yöntemi. Her eksen için bar / pasta grafiği ve ilk-N tablosu.
Saldırılar altı risk katmanına ayrılır: yapısal (structural), çok yüksek (very high), yüksek (high), orta (medium), az (low), çok az (very low). Yapısal kategori, OWASP CRS dışı TR7'ye özgü yapısal anomali tespitlerini (HTTP protokol ihlali, bot davranışı, DDoS-IP imzaları) kapsar.
Aynı vServis altında birden fazla host grubu varsa, her host grubu için ayrı saldırı raporu bölümü açılır; aynı zamanda cross-group özet bölümü tüm host gruplarını karşılaştırılır şekilde sunar. Operatör hem kurum genelinde toplam saldırı baskısını hem de spesifik bir host grubunun durumunu aynı raporda görür.
PDF rapor kurum logosu, vServis adı ve tarih aralığı içeren markalı kapak sayfasıyla başlar. Özet bölümü açılışta saldırı yoğunluğunu coğrafya üzerinde SVG dünya ısı haritasıyla, ardından toplam istek vs engellenen istek mini zaman serisini gösterir.
Sadece ana eksenler değil; kategori birleşkeleri de (OWASP A03 × JSON body scope, API4 × HTTP yöntemi, CWE-89 × ASN, yapısal × ülke) standart rapor bölümleri olarak otomatik üretilir. Denetim ve regülatör sorularının çoğu bu birleşkelerle direkt yanıt bulur.
WAAP raporu; ham log işleme, taksonomi etiketleme, host grubu dağılımı, çoklu format üretimi ve cluster davranışlarıyla birlikte tasarlanır.
WAAP log'ları her saatin sonunda WafLogReporter motoruyla saatlik aggregate'lere dönüştürülür. Talep üzerine üretilen veya zamanlanmış raporlar bu önceden işlenmiş özetleri birleştirir; uzun aralıklı raporlarda bile üretim süresi makul sınırlarda kalır.
OWASP Top 10, OWASP API Top 10 ve CWE etiketleri kuralların kendisine bağlıdır; saldırı rapora geldiğinde otomatik olarak bilgi taşır. Kategoriler güncellendiğinde (OWASP yeni versiyon yayınladığında) etiketler kural setiyle birlikte güncellenir.
Rapor numaralı bölüm hiyerarşisi takip eder: 1. Özet, 2. [Host grubu adı] WAAP raporu, 2.1, 2.2 alt bölümler her dimension için. Birden fazla host grubu varsa 3., 4. olarak devam eder. Bölüm sıralaması argüman → ülke → path öncelikleriyle başlar, sonra alfabetik.
PDF (A4, markalı kapak, kategori ve eksen bölümleri, dünya ısı haritası), XLSX (her bölüm ayrı sekme), HTML (operatör konsolundan açılır). Aynı motor üç formatı paralel üretebilir; format seçimi raporun türünü değiştirmez.
Yüksek erişilebilirlik kümesinde aynı zamanlanmış WAAP raporu yalnızca aktif düğümden bir kez üretilir. Çift gönderim yok; ad-hoc raporlar bağlanılan düğümün sayfalarından çalışır.
Rapordaki saldırı ID'si veya path operatör konsoluna geri tıklanabilir; o saldırıyı oluşturan WAAP kuralı, ilgili öğretici önerileri ve canlı trafik görünümüne kısayol açılır. Rapor durağan bir belge değil, operasyonel iş akışının başlangıç noktası olarak işler.
CISO ofisi aylık olarak "OWASP Top 10 kategorilerinde son ayda en yoğun saldırı türü hangisiydi, hangi path hedef alındı" sorusunu rapordan doğrudan yanıtlar. Kategori bazında saldırı sayıları, risk dağılımları ve coğrafi yoğunluk markalı kapakla PDF olarak yönetim kuruluna sunulur.
Banka, kamu kurumu veya kritik altyapı incelemelerinde denetçi belirli OWASP kategorilerine ve CWE kodlarına göre saldırı geçmişini sorgular. TR7 raporu bu kategorileri standart bölüm olarak sunduğu için, denetim cevap dosyası elle hazırlanmaz.
Güvenlik araştırmacısı belirli bir saldırı türünün (örn. SQLi denemeleri) hangi argüman üzerinden, hangi ASN'lerden, hangi saatlerde geldiğini incelemek ister. Cross-axis birleşke bölümleri (CWE-89 × argüman × ASN × hour) doğrudan rapora dahildir.
Hizmet sağlayıcılar her son müşteri için ayrı vServis çalıştırır; her vServisin WAAP saldırı raporu kendi logosu, kendi tarih aralığı ve kendi dilinde aylık olarak müşteriye gönderilir. Aynı motor onlarca müşteri için paralel üretim yapar.
3000+ kural taksonomisi, 14 korelasyon ekseni, 6 risk katmanı, anlamlı kategori birleşkeleri ve markalı PDF kapak. Kendi WAAP profilinizle canlı bir demoda gezdirelim.