securyti maps

2026-02-08 11:29:10 -03:00 · 2026-02-08 11:29:10 -03:00 · 0317b5217a
parent dba24f08bc
commit 0317b5217a
1 changed files with 25 additions and 19 deletions
--- a/nginx/snippets/security_maps.conf
+++ b/nginx/snippets/security_maps.conf
@ -156,6 +156,10 @@ map $http_user_agent $is_protocol_violation {
 # 3. Geographic Risk (Requires GeoIP2 .mmdb files)
 map $geoip2_data_country_code $is_high_risk_country {
    default 0;
    "CN" 1; # China
    "RU" 1; # Russia
    "KP" 1; # North Korea
    "IR" 1; # Iran
    "CU" 1; # Cuba
    "SY" 1; # Syria
 }
@ -223,36 +227,38 @@ map $is_bad_bot$is_suspicious_uri$is_suspicious_method$is_malicious_payload$is_h
 }
 # 3. Nível de Risco para Auditoria (Diagnóstico Descritivo JSON)
-map $is_bad_bot$is_suspicious_uri$is_suspicious_method$is_malicious_payload$is_high_risk_country$is_protocol_violation$is_spam_referer $risk_category {
+map $is_bad_bot$is_suspicious_uri$is_suspicious_method$is_malicious_payload$is_high_risk_country$is_protocol_violation$is_spam_referer$is_suspicious_header $risk_category {
-    "0000000" "LIMPO";
+    "00000000" "LIMPO";
-    "~*...1..." "ATAQUE_CRITICO";
+    "~*...1...." "ATAQUE_CRITICO";
-    "~*......1" "ATAQUE_CRITICO";
+    "~*......1." "ATAQUE_CRITICO";
-    "~*[1-9]{3,}" "ATAQUE_CRITICO"; # Combos triplos são críticos
+    "~*.......1" "ATAQUE_CRITICO";
    "~*[1-9]{3,}" "ATAQUE_COORDENADO"; # Combos triplos são coordenados
    "~*[1-9]{2}"  "RISCO_ALTO";         # Combos duplos são risco alto
    default       "SUSPEITO";
 }
-map $is_bad_bot$is_suspicious_uri$is_suspicious_method$is_malicious_payload$is_high_risk_country$is_protocol_violation$is_spam_referer $risk_reason {
+map $is_bad_bot$is_suspicious_uri$is_suspicious_method$is_malicious_payload$is_high_risk_country$is_protocol_violation$is_spam_referer$is_suspicious_header $risk_reason {
-    "0000000" "Trafego limpo";
+    "00000000" "Trafego limpo";
    # Prioridades de Ataque (Combos Triplos+)
-    "~*...1..." "ATAQUE_DIRETO: Payload Malicioso Detectado";
+    "~*...1...." "ATAQUE_DIRETO: Payload Malicioso Detectado";
-    "~*......1" "ATAQUE_DIRETO: Origem de Referer Fraudulento";
+    "~*......1." "ATAQUE_DIRETO: Origem de Referer Fraudulento";
    "~*.......1" "ATAQUE_DIRETO: Cabecalho Suspeito (React2Shell/etc)";
    "~*[1-9]{3,}" "ATAQUE_COORDENADO: Multiplos vetores de risco detectados";
    # Combinações Duplas (Risco Alto)
-    "~*11....." "COMBINACAO: Bot conhecido em local sensivel";
+    "~*11......" "COMBINACAO: Bot conhecido em local sensivel";
-    "~*1...1.." "COMBINACAO: Bot em regiao de alto risco";
+    "~*1...1..." "COMBINACAO: Bot em regiao de alto risco";
-    "~*.1..1.." "COMBINACAO: Acesso sensivel vindo de regiao de risco";
+    "~*.1..1..." "COMBINACAO: Acesso sensivel vindo de regiao de risco";
-    "~*....11." "COMBINACAO: Geo-risco com quebra de protocolo";
+    "~*....11.." "COMBINACAO: Geo-risco com quebra de protocolo";
    "~*[1-9]{2}"  "COMBINACAO: Dois sinais de alerta detectados";
    # Sinais Unitários (Suspeito)
-    "~*1......" "SUSPEITO: Bot conhecido (Scraper/Crawler)";
+    "~*1......." "SUSPEITO: Bot conhecido (Scraper/Crawler)";
-    "~*.1....." "SUSPEITO: Acesso a URI restrita ou sensivel";
+    "~*.1......" "SUSPEITO: Acesso a URI restrita ou sensivel";
-    "~*..1...." "SUSPEITO: Metodo HTTP incomum";
+    "~*..1....." "SUSPEITO: Metodo HTTP incomum";
-    "~*....1.." "SUSPEITO: Origem geografica de alto risco";
+    "~*....1..." "SUSPEITO: Origem geografica de alto risco";
-    "~*.....1." "SUSPEITO: Violacao de protocolo (UA invalido)";
+    "~*.....1.." "SUSPEITO: Violacao de protocolo (UA invalido)";
    default "Atividade anomala detectada";
 }