当前位置:主页 > 查看内容

处理误报事件_Web应用防火墙 WAF_用户指南_管理防护事件

发布时间:2021-09-28 00:00| 位朋友查看

简介:当WAF根据内置的Web基础防护规则和自定义防护规则(CC攻击防护规则、精准访问防护规则、黑白名单规则、地理位置访问控制规则等)检测到符合规则的恶意攻击时,会按照规则中的防护动作(仅记录、拦截等)在 “防护事件” 页面中记录检测到的攻击事件。 如果您……

当WAF根据内置的Web基础防护规则和自定义防护规则(CC攻击防护规则、精准访问防护规则、黑白名单规则、地理位置访问控制规则等)检测到符合规则的恶意攻击时,会按照规则中的防护动作(仅记录、拦截等)在“防护事件”页面中记录检测到的攻击事件。

如果您确认攻击事件为误报事件,则可以通过设置URL和规则ID的忽略(Web基础防护规则)、删除或关闭对应的防护规则(自定义防护规则),屏蔽该攻击事件。将攻击事件处理为误报事件后,“防护事件”页面中将不再出现该攻击事件,您也不会收到该攻击事件的告警通知。

如果您已开通企业项目,您可以在“企业项目”下拉列表中选择您所在的企业项目,查看该企业项目的防护日志。

前提条件

事件详情列表中包含误报攻击事件。

约束条件

  • 仅基于WAF内置的Web基础防护规则拦截或记录的攻击事情可以进行“误报处理”操作。
  • 基于自定义添加的规则拦截或记录的攻击事件,无法执行误报处理操作,如果您确认该攻击事件为误报,可将该攻击事件对应的防护规则删除或关闭对应的防护规则。
  • 同一个攻击事件不能重复进行误报处理,即如果该攻击事件已进行了误报处理,则不能再对该攻击事件进行误报处理。

使用场景

业务正常请求被WAF拦截。例如,您在华为云ECS服务器上部署了一个Web应用,将该Web应用对应的公网域名接入WAF并开启Web基础防护后,该域名的请求流量命中了Web基础防护规则被WAF误拦截,导致通过域名访问网站显示异常,但直接通过IP访问网站正常。

系统影响

拦截事件处理为误报后,“防护事件”页面中将不再出现该事件,您也不会收到该类事件的告警通知。

操作步骤

  1. 登录管理控制台
  2. 进入防护事件页面入口,如图1所示。

    图1 防护事件页面入口

  3. 选择“查询”页签,在网站或实例下拉列表中选择待查看的防护网站或实例,可查看“昨天”“今天”“3天”“7天”“30天”或者自定义时间范围内的防护日志,如图2所示,参数说明如表1表2所示。

    图2 查看防护事件
    表1 防护事件参数说明

    参数名称

    参数说明

    事件类型

    发生攻击的类型。

    默认选择“全部”,查看所有攻击类型的日志信息,也可以根据需要,选择攻击类型查看攻击日志信息。

    防护动作

    防护配置中设置的防护动作,包含:拦截、仅记录、人机验证等。

    源IP

    Web访问者的公网IP地址(攻击者IP地址)。

    默认选择“全部”,查看所有的日志信息,也可以根据需要,选择或者自定义攻击者IP地址查看攻击日志信息。

    URL

    攻击的防护域名的URL。

    事件ID

    标识该防护事件的ID。
    表2 日志列表参数说明

    参数名称

    参数说明

    时间

    发生本次攻击的时间。

    源IP

    Web访问者的公网IP地址(攻击者IP地址)。

    防护域名

    被攻击的防护域名。

    URL

    攻击的防护域名的URL。

    恶意负载

    本次攻击对防护域名造成伤害的位置、组成部分或访问URL的次数。

    例如,SQL注入攻击中的表达式id=1' or 1=1。

    如果是CC攻击,恶意负载表示当时访问URL的次数。

    事件类型

    发生攻击的类型。

    防护动作

    防护配置中设置的防护动作,包含:拦截、仅记录、人机验证等。

    如果需要查看目标域名攻击事件详情,可在事件列表中的“操作”列,单击“详情”

  4. 当攻击事件属于误报时,在该攻击事件所在行的“操作”列,单击“误报处理”,添加误报屏蔽策略,如图3所示,参数说明如表3所示。

    图3 误报处理
    表3 误报处理参数说明

    参数

    参数说明

    取值样例

    防护域名

    发生攻击事件的域名,系统自动获取。

    --

    路径

    误报事件的URL路径,不包含域名。默认为攻击事件的来源路径。

    • 前缀匹配:选择“前缀为”,代表以输入的路径为前缀。例如,需要防护的路径为“/admin/test.php”“/adminabc”,则路径可以填写为“/admin”
    • 精准匹配:选择“等于”,需要防护的路径需要与此处填写的路径完全相等。例如,需要防护的路径为“/admin/test.php”,该规则必须填写为“/admin/test.php”
    说明:
    • 该路径不支持正则,仅支持前缀匹配和精准匹配的逻辑。
    • 路径里不能含有连续的多条斜线的配置,如“///admin”,访问时,引擎会将“///”转为“/”

    --

    规则

    您可以选择以下三种方式进行配置:

    • 按ID:按攻击事件的ID进行配置。
    • 按类别:按攻击事件类别进行配置。
    • 所有内置规则:Web基础防护规则里开启的所有防护规则。

    按类别

    ID

    “规则”选择“按ID”时,需要配置此参数。

    自动读取的内置规则的ID。

    060015

    类别

    “规则”选择“按类别”时,需要配置此参数。

    自动获取的攻击事件类别。

    远程文件包含

    规则描述

    可选参数,设置该规则的备注信息。

    不拦截SQL注入攻击

    高级设置

    如果您只想忽略来源于某攻击事件下指定字段的攻击,可在“高级设置”里选择指定字段进行配置,配置完成后,WAF将不再拦截指定字段的攻击事件。

    在左边第一个下拉列表中选择目标字段。支持的字段有:Params、Cookie、Header、Body、Multipart。
    • 当选择“Params”“Cookie”或者“Header”字段时,根据需求配置子字段。
    • 当选择“Cookie”字段时,“防护域名”“路径”可以为空。
    说明:

    当字段配置为“全部”时,配置完成后,WAF将不再拦截该字段的所有攻击事件。

    Params

    全部

  5. 单击“确认添加”,添加该误报规则。

生效条件

设置误报处理后,1分钟左右生效,攻击事件详情列表中将不再出现此误报。您可以刷新浏览器缓存,重新访问设置了误报屏蔽的页面,验证是否配置成功。

相关操作

拦截事件处理为误报后,该误报事件对应的规则将添加到误报屏蔽规则列表中,您可以在“防护策略”界面的“误报屏蔽”页面查看、关闭、删除或修改该规则。有关配置误报屏蔽规则的详细操作,请参见配置误报屏蔽规则

父主题: 管理防护事件

本站部分内容转载于网络,版权归原作者所有,转载之目的在于传播更多优秀技术内容,如有侵权请联系QQ/微信:153890879删除,谢谢!
上一篇:SetServiceSettings - 运维编排服务 下一篇:没有了

推荐图文

  • 周排行
  • 月排行
  • 总排行

随机推荐