WAF安全報(bào)表
Web應(yīng)用防火墻(Web Application Firewall,簡(jiǎn)稱WAF)安全報(bào)表向您展示WAF各個(gè)防護(hù)模塊的防護(hù)記錄。您可以使用安全報(bào)表查看WAF已防護(hù)域名的Web安全、Bot管理、訪問(wèn)控制/限流防護(hù)記錄,進(jìn)行業(yè)務(wù)安全分析。
前提條件
查看安全報(bào)表
WAF實(shí)例根據(jù)所屬地域的不同,在華東1(杭州)和新加坡分別設(shè)置了管控平面。其中,中國(guó)內(nèi)地的WAF實(shí)例將使用華東1(杭州)的管控平面實(shí)現(xiàn)管控,非中國(guó)內(nèi)地的WAF實(shí)例將使用新加坡的管控平面實(shí)現(xiàn)管控。
通過(guò)安全報(bào)表頁(yè)面,您可以集中查看已接入防護(hù)全量資源的防護(hù)數(shù)據(jù)統(tǒng)計(jì)及日志信息。我們將基于您購(gòu)買(mǎi)的不同地域WAF實(shí)例所對(duì)應(yīng)的管控平面,向您進(jìn)行圖表和信息展示 。
登錄Web應(yīng)用防火墻控制臺(tái),在頂部菜單欄,選擇WAF實(shí)例的資源組和地域(中國(guó)內(nèi)地、非中國(guó)內(nèi)地)。
在左側(cè)導(dǎo)航欄,選擇。
在安全報(bào)表頁(yè)面,通過(guò)頁(yè)簽選擇要查看的報(bào)表類型(Web安全、Bot管理、訪問(wèn)控制/限流),查看對(duì)應(yīng)報(bào)表。
關(guān)于不同報(bào)表的具體說(shuō)明,請(qǐng)分別參見(jiàn)以下內(nèi)容:
Web安全報(bào)表說(shuō)明
Web安全報(bào)表展示了Web入侵防護(hù)、防敏感信息泄露、賬戶安全、主動(dòng)防御模塊的防護(hù)記錄,單擊頁(yè)簽可以切換報(bào)表。不同模塊的報(bào)表說(shuō)明如下:
Web入侵防護(hù):展示WAF阻斷的所有Web應(yīng)用攻擊,分為攻擊統(tǒng)計(jì)分析圖表(位于頁(yè)面上半部分)和攻擊事件記錄(位于頁(yè)面下半部分)。
具體說(shuō)明如下:攻擊統(tǒng)計(jì)分析圖表包括安全攻擊類型分布、攻擊來(lái)源IP TOP5和攻擊來(lái)源區(qū)域 TOP5。
您可以在攻擊統(tǒng)計(jì)分析圖表上方(圖示①區(qū)域),設(shè)置域名、查詢時(shí)間,搜索某個(gè)域名在指定時(shí)間范圍內(nèi)的數(shù)據(jù)。
攻擊事件記錄展示了Web攻擊的詳細(xì)信息,包括攻擊IP、所屬區(qū)域、攻擊時(shí)間、攻擊類型、攻擊URL、請(qǐng)求方法、請(qǐng)求參數(shù)、規(guī)則動(dòng)作、規(guī)則ID和攻擊概率。
您可以在攻擊事件記錄表格上方(圖示②區(qū)域),使用以下字段篩選您關(guān)注的記錄:防護(hù)模塊、攻擊類型、攻擊IP、防護(hù)規(guī)則ID、防護(hù)動(dòng)作。
您可以對(duì)攻擊事件記錄執(zhí)行以下操作:
單擊攻擊事件記錄操作列下的查看詳情,可以查看攻擊詳情。
如果您確認(rèn)某條攻擊事件記錄是正常業(yè)務(wù)請(qǐng)求,后續(xù)不希望WAF阻斷具有相同特征的請(qǐng)求,可以單擊攻擊事件記錄操作列下的誤報(bào)屏蔽。
該操作將根據(jù)當(dāng)前攻擊事件記錄的特征,自動(dòng)生成一條Web入侵防護(hù)白名單規(guī)則,使WAF后續(xù)不對(duì)具有相同特征的請(qǐng)求執(zhí)行對(duì)應(yīng)的系統(tǒng)規(guī)則檢測(cè)。在彈出的新建規(guī)則對(duì)話框,您只需為自動(dòng)生成的規(guī)則設(shè)置規(guī)則名稱,并單擊保存。
說(shuō)明極少數(shù)情況下,一個(gè)請(qǐng)求可能因同時(shí)觸發(fā)多個(gè)防護(hù)規(guī)則被阻斷,而通過(guò)誤報(bào)屏蔽生成的白名單規(guī)則僅不檢測(cè)其中一個(gè)防護(hù)規(guī)則。這時(shí),您可以手動(dòng)修改白名單規(guī)則中的特定規(guī)則ID參數(shù),將不需要檢測(cè)的其他規(guī)則ID添加進(jìn)來(lái)。
成功創(chuàng)建規(guī)則后,規(guī)則自動(dòng)啟用。您可以在Web入侵防護(hù)-白名單頁(yè)面,查詢、編輯、刪除已有規(guī)則。相關(guān)操作,請(qǐng)參見(jiàn)設(shè)置Web入侵防護(hù)白名單。
關(guān)于Web入侵防護(hù)的設(shè)置方法,請(qǐng)參見(jiàn)設(shè)置規(guī)則防護(hù)引擎。
防敏感信息泄露:展示觸發(fā)了防敏感信息泄露規(guī)則的Web請(qǐng)求記錄,包括攻擊IP、所屬地區(qū)、攻擊時(shí)間、攻擊URL、請(qǐng)求方法、請(qǐng)求參數(shù)、規(guī)則動(dòng)作、規(guī)則ID和攻擊概率。您可以使用域名、查詢時(shí)間搜索某個(gè)域名在查詢時(shí)間范圍內(nèi)的數(shù)據(jù)。
您可以單擊某個(gè)記錄操作列下的查看詳情,查看攻擊詳情。
關(guān)于防敏感信息泄露的設(shè)置方法,請(qǐng)參見(jiàn)設(shè)置防敏感信息泄露。
賬戶安全:展示在賬戶安全中配置的防護(hù)接口上發(fā)生的風(fēng)險(xiǎn)事件記錄,包括所屬域名、接口、異常時(shí)間段、已攔截量/總請(qǐng)求量和告警原因。您可以使用域名、接口、查詢時(shí)間搜索您關(guān)注的記錄。
關(guān)于賬戶安全的設(shè)置方法,請(qǐng)參見(jiàn)設(shè)置賬戶安全。
主動(dòng)防御:展示觸發(fā)了主動(dòng)防御自動(dòng)生成的防護(hù)規(guī)則的Web應(yīng)用攻擊記錄,包括攻擊IP、所屬地區(qū)、攻擊時(shí)間、攻擊URL、請(qǐng)求方法、規(guī)則動(dòng)作、規(guī)則ID和攻擊概率。您可以使用域名、查詢時(shí)間搜索某個(gè)域名在查詢時(shí)間范圍內(nèi)的數(shù)據(jù)。
您可以單擊某個(gè)記錄操作列下的查看詳情,查看攻擊詳情。
關(guān)于主動(dòng)防御的設(shè)置方法,請(qǐng)參見(jiàn)設(shè)置主動(dòng)防御。
Bot管理報(bào)表說(shuō)明
Bot管理報(bào)表展示了網(wǎng)站業(yè)務(wù)的爬蟲(chóng)請(qǐng)求監(jiān)控?cái)?shù)據(jù)和防爬規(guī)則的防護(hù)效果數(shù)據(jù)。您需要單擊左上角防護(hù)域名列表,選擇要查看的域名,通過(guò)指定的查詢時(shí)間,搜索某個(gè)域名在查詢時(shí)間范圍內(nèi)的防護(hù)效果數(shù)據(jù)。WAF對(duì)每個(gè)已配置的防爬場(chǎng)景化規(guī)則提供獨(dú)立的防護(hù)效果報(bào)表。
Bot管理報(bào)表分為防護(hù)效果總覽和場(chǎng)景化防護(hù)效果兩部分。防護(hù)效果總覽展示了總請(qǐng)求量、Bot識(shí)別量和觸發(fā)了不同防護(hù)規(guī)則的爬蟲(chóng)請(qǐng)求數(shù)量的趨勢(shì)圖。
Bot識(shí)別量:通過(guò)多維度的流量特征綜合分析出的機(jī)器流量總和,可以輔助判斷當(dāng)前配置防爬規(guī)則的防護(hù)效果(如果實(shí)際攔截量遠(yuǎn)低于識(shí)別量,表示防護(hù)效果還可以進(jìn)一步優(yōu)化;如果實(shí)際攔截量接近識(shí)別量,表示防護(hù)效果良好)。
觀察模式命中量:設(shè)置為觀察模式的防爬規(guī)則命中的請(qǐng)求量。如果將觀察模式改成防護(hù)模式,這部分流量將被攔截或挑戰(zhàn)(如滑塊校驗(yàn))。
實(shí)際阻斷量:命中防爬規(guī)則中處置動(dòng)作為攔截模式的請(qǐng)求量。
關(guān)于Bot管理的設(shè)置方法,請(qǐng)參見(jiàn)以下文檔:
訪問(wèn)控制/限流報(bào)表說(shuō)明
訪問(wèn)控制/限流報(bào)表展示觸發(fā)了CC安全防護(hù)、掃描防護(hù)和訪問(wèn)控制規(guī)則的Web請(qǐng)求記錄。您可以使用域名、查詢時(shí)間搜索某個(gè)域名在查詢時(shí)間范圍內(nèi)的數(shù)據(jù)。對(duì)于您關(guān)注的數(shù)據(jù),也可以一鍵查詢相關(guān)的日志。
CC安全防護(hù):展示CC防護(hù)趨勢(shì),包括總QPS、自定義CC告警、自定義CC攔截、CC系統(tǒng)攔截的數(shù)量趨勢(shì),和不同規(guī)則類型(包括自定義CC告警、自定義CC攔截、CC系統(tǒng)攔截)的匹配次數(shù)。
單擊某個(gè)規(guī)則類型的匹配次數(shù),將會(huì)跳轉(zhuǎn)到日志服務(wù)頁(yè)面,并自動(dòng)輸入與CC安全防護(hù)模塊相關(guān)的日志查詢語(yǔ)句,方便您進(jìn)一步查詢相關(guān)日志。更多信息,請(qǐng)參見(jiàn)日志查詢。
關(guān)于CC安全防護(hù)的設(shè)置方法,請(qǐng)參見(jiàn)設(shè)置CC安全防護(hù)。
關(guān)于自定義CC防護(hù)規(guī)則的設(shè)置方法,請(qǐng)參見(jiàn)設(shè)置自定義防護(hù)策略。
掃描防護(hù):展示掃描防護(hù)趨勢(shì),包括總QPS、目錄遍歷防護(hù)、協(xié)同防御、高頻Web攻擊、掃描工具封禁的數(shù)量趨勢(shì),和不同規(guī)則類型(包括目錄遍歷防護(hù)、協(xié)同防御、高頻Web攻擊、掃描工具封禁)的匹配次數(shù)。
單擊某個(gè)規(guī)則類型的匹配次數(shù),將會(huì)跳轉(zhuǎn)到日志服務(wù)頁(yè)面,并自動(dòng)輸入與掃描防護(hù)模塊相關(guān)的日志查詢語(yǔ)句,方便您進(jìn)一步查詢相關(guān)日志。更多信息,請(qǐng)參見(jiàn)日志查詢。
關(guān)于掃描防護(hù)的設(shè)置方法,請(qǐng)參見(jiàn)設(shè)置掃描防護(hù)。
訪問(wèn)控制展示訪問(wèn)控制趨勢(shì),包括總QPS、ACL訪問(wèn)控制攔截、ACL訪問(wèn)控制告警、黑名單防護(hù)的數(shù)量趨勢(shì),和自定義規(guī)則的匹配次數(shù)記錄。
單擊某個(gè)自定義規(guī)則的規(guī)則ID,將會(huì)打開(kāi)編輯規(guī)則對(duì)話框,支持查看和修改當(dāng)前自定義規(guī)則的配置。更多信息,請(qǐng)參見(jiàn)自定義規(guī)則參數(shù)描述。
單擊某個(gè)自定義規(guī)則的匹配次數(shù),將會(huì)跳轉(zhuǎn)到日志服務(wù)頁(yè)面,并自動(dòng)輸入與訪問(wèn)控制模塊相關(guān)的日志查詢語(yǔ)句,方便您進(jìn)一步查詢相關(guān)日志。更多信息,請(qǐng)參見(jiàn)日志查詢。
關(guān)于訪問(wèn)控制規(guī)則的設(shè)置方法,請(qǐng)參見(jiàn)設(shè)置自定義防護(hù)策略。
關(guān)于IP黑名單的設(shè)置方法,請(qǐng)參見(jiàn)設(shè)置IP黑名單。