全部產品
Search
文件中心

Web Application Firewall:配置CloudMonitor通知

更新時間:Oct 25, 2024

您可以在阿里雲CloudMonitor服務中配置Web Application Firewall(Web Application Firewall,簡稱WAF)的攻擊事件和業務指標的警示通知規則,監控接入WAF的網站。本文介紹如何在CloudMonitor服務配置WAF監控與警示。

前提條件

已完成網站接入。具體操作,請參見使用教程

建立警示連絡人和警示連絡人群組

  1. 登入CloudMonitor控制台

  2. 在左側導覽列,選擇警示服務 > 警示連絡人

  3. 建立警示連絡人。

    1. 警示連絡人頁簽,單擊建立連絡人

    2. 設定警示連絡人面板,填寫警示連絡人的姓名、郵箱和Webhook地址警示通知資訊語言保持預設值自動

      說明

      自動表示CloudMonitor根據當前阿里雲帳號註冊時的語言,自動適配警示通知資訊的語言。

    3. 資訊驗證無誤後,單擊確認

  4. 建立警示聯絡組。

    1. 警示聯絡組頁簽,單擊建立聯絡組

    2. 建立聯絡組面板,填寫警示聯絡組的組名,並選擇警示連絡人後,單擊確認

  5. 大量新增警示連絡人到警示聯絡組。

    1. 警示連絡人頁簽,單擊目標警示連絡人前面的複選,單擊添加到警示聯絡組

    2. 確認資訊對話方塊,單擊目標警示聯絡組,單擊確定

    建立警示連絡人、建立警示聯絡組、大量新增警示連絡人到警示聯絡組後,您配置的WAF監控和警示資訊會發送給警示連絡人。警示連絡人需及時查看警示通知資訊,並對警示進行相應的處理。

設定WAF攻擊事件的監控與警示

  1. 登入CloudMonitor控制台

  2. 在左側導覽列,選擇事件中心 > 系統事件

  3. 事件監控頁簽,單擊右側的舊版事件警示規則,然後單擊建立警示規則

  4. 建立/修改事件警示面板,完成如下配置後,單擊確定

    參數

    說明

    警示規則名稱

    事件警示規則的名稱。

    產品類型

    事件警示規則的雲產品類型,選擇Web Application Firewall

    事件類型

    事件警示規則的事件類型,取值:AttackExceedEvent

    事件等級

    事件警示規則的事件等級。WAF的事件等級均為嚴重

    事件名稱

    事件警示規則的事件名稱。

    說明

    事件名稱下拉式清單中,不帶V3尾碼的事件為WAF 2.0支援監控的事件,帶V3尾碼的事件為WAF 3.0支援監控的事件。關於WAF 2.0支援監控的攻擊事件,請參見支援監控的攻擊事件

    關鍵詞過濾

    警示規則過濾的關鍵詞。取值:

    • 滿足包含上面任何一個關鍵詞:當您的警示規則中包含任何一個關鍵詞時,不發送警示通知。

    • 滿足不包含上面任何一個關鍵詞:當您的警示規則中不包含任何一個關鍵詞時,不發送警示通知。

    SQL Filter

    SQL過濾語句。

    資源範圍

    事件警示的生效範圍,取值:全部資源應用分組

    連絡人群組

    選擇發送警示的連絡人群組。具體操作,請參見建立警示連絡人和警示連絡人群組

    通知方式

    事件警示的層級和通知方式。取值:

    • Critical(電話+簡訊+郵件+WebHook)

    • Warning(簡訊+郵件+WebHook)

    • Info(郵件+WebHook)

    Simple Message Queue (formerly MNS) (SMQ)隊列

    事件警示投遞到Simple Message Queue (formerly MNS) (SMQ)的指定隊列。

    Function Compute

    事件警示投遞到Function Compute的指定函數。

    URL回調

    公網可訪問的URL,用於接收CloudMonitor通過POST請求推送的警示資訊。目前僅支援HTTP協議。關於如何設定警示回調,請參見使用系統事件警示回調(舊版)

    Log Service

    事件警示投遞到Log Service的指定日誌庫。

    通道沉默周期

    警示發生後未恢複正常,間隔多久重複發送一次警示通知。取值:5分鐘、15分鐘、30分鐘、60分鐘、3小時、6小時、12小時和24小時。

    成功建立警示規則後,您可以在當已接入WAF的防護對象上發生攻擊事件時,警示規則中設定的連絡人將會收到相關警示通知。

    您也可以在事件監控頁面,在事件監控列表上的篩選框中,選擇產品為Web Application Firewall,事件名稱為WAF 2.0相關事件,查詢近期發生的WAF監控事件。WAF監控事件

設定WAF業務指標的監控與警示

  1. 登入CloudMonitor控制台

  2. 在左側導覽列,選擇警示服務 > 警示規則

  3. 警示規則列表頁面,單擊建立警示規則

  4. 建立警示規則面板,完成如下配置後,單擊確定

    參數

    說明

    產品

    CloudMonitor可管理的雲產品名稱,選擇Web Application Firewall

    資源範圍

    警示規則作用的資源範圍。取值:

    • 全部資源:警示規則作用於WAF的全部資源上。

    • 應用分組:警示規則作用於WAF的指定應用分組內的全部資源上。

    • 執行個體:警示規則作用於WAF的指定資源上。

    規則描述

    警示規則的主體。當監控資料滿足警示條件時,觸發警示規則。規則描述的設定方法如下:

    1. 單擊添加規則

    2. 添加規則描述面板,設定規則名稱、監控指標類型、監控指標、閾值和警示層級等,單擊確定

      說明

      關於WAF支援監控的業務指標,請參見支援監控的業務指標

    通道沉默周期

    警示發生後未恢複正常,間隔多久重複發送一次警示通知。取值:5分鐘、15分鐘、30分鐘、60分鐘、3小時、6小時、12小時和24小時。

    某監控指標達到警示閾值時發送警示,如果監控指標在通道沉默周期內持續超過警示閾值,在通道沉默周期內不會重複發送警示通知;如果監控指標在通道沉默周期後仍未恢複正常,則CloudMonitor再次發送警示通知。

    生效時間

    警示規則的生效時間,警示規則只在生效時間內才會檢查監控資料是否需要警示。

    警示連絡人群組

    選擇發送警示的連絡人群組。具體操作,請參見建立警示連絡人和警示連絡人群組

    警示回調

    公網可訪問的URL,用於接收CloudMonitor通過POST請求推送的警示資訊。目前僅支援HTTP協議。關於如何設定警示回調,請參見使用閾值警示回調

    說明

    單擊進階設定,可設定該參數。

    Auto Scaling

    如果您開啟Auto Scaling開關,當警示發生時,會觸發相應的伸縮規則。您需要設定Auto Scaling的地區Auto Scaling組Auto Scaling規則

    說明

    單擊進階設定,可設定該參數。

    Log Service

    如果您開啟Log Service開關,當警示發生時,會將警示資訊寫入Log Service的日誌庫。您需要設定Log Service的地區ProjectNameLogstore。關於如何建立Project和Logstore,請參見快速入門

    說明

    單擊進階設定,可設定該參數。

    Simple Message Queue (formerly MNS) (SMQ)MNS-Topic

    如果您開啟Simple Message Queue (formerly MNS) (SMQ)MNS-Topic開關,當警示發生時,會將警示資訊寫入Simple Message Queue (formerly MNS) (SMQ)的主題。您需要設定Simple Message Queue (formerly MNS) (SMQ)的地區和主題。關於如何建立主題,請參見建立主題

    說明

    單擊進階設定,可設定該參數。

    無資料處理方法

    無監控資料時警示的處理方式。取值:

    • 不做任何處理(預設值)

    • 發送無資料警示

    • 視為恢複

    說明

    單擊進階設定,可設定該參數。

    標籤

    警示規則的標籤。包括標籤名稱和標籤值。

    成功建立規則後,您可以在警示規則列表頁面,在列表上的篩選框中,選擇產品為Web Application Firewall3.0監控指標domain分頁的指標,查詢已建立的監控指標警示規則。監控指標

    說明

    WAF支援的監控指標說明如下:

    • domain分頁下的指標為WAF 2.0支援監控的指標。

    • resource分頁下的指標為WAF 3.0支援監控的指標。

    • 執行個體分頁下的指標為混合雲WAF支援監控的指標。其中,不帶V3尾碼的指標為WAF 2.0支援監控的指標,帶V3尾碼的指標為WAF 3.0支援監控的指標。

進階自訂監控

您可以使用Log Service配置自訂業務指標監控和警示。詳細介紹,請參見使用Log Service設定監控與警示

支援監控的攻擊事件

CloudMonitor支援對接入WAF防護的網站網域名稱上發生的Web攻擊、CC攻擊、掃描攻擊、存取控制事件等進行監控和警示。您可以根據事件的嚴重等級,設定以簡訊、郵件、DingTalk等方式接收通知或設定警示回調。具體操作,請參見設定WAF攻擊事件的監控與警示

事件類型

事件名稱

事件含義

事件狀態

事件等級

Attack

waf_event_aclattack

存取控制事件

acl

Critical

Exceed

waf_event_bandwidth_exceed

頻寬超限

overrun

Critical

Attack

waf_event_ccattack

CC攻擊事件

cc

Critical

Exceed

waf_event_qps_exceed

QPS超限

overrun

Critical

Attack

waf_event_webattack

Web攻擊事件

web

Critical

Attack

waf_event_webscan

防掃描事件

webscan

Critical

支援監控的業務指標

CloudMonitor支援對接入WAF防護的網站網域名稱的系統請求資料指標設定異常監控和警示。支援自訂指標異常的判斷方法,並設定通過簡訊、郵件、DingTalk等接收通知或設定警示回調。關於如何配置WAF業務指標監控和警示,請參見設定WAF業務指標的監控與警示

監控項

維度

指標含義

備忘

4XX佔比

網域名稱

每分鐘4XX狀態代碼的佔比(不包含405)。

警示資訊以小數形式呈現

5XX佔比

網域名稱

每分鐘5XX狀態代碼的佔比。

警示資訊以小數形式呈現

存取控制攔截量(5m)

網域名稱

近5分鐘內精準存取控制攔截量,單位:個。

存取控制攔截佔比(5m)

網域名稱

近5分鐘內精準存取控制攔截佔總請求量的佔比。

警示資訊以小數形式呈現

CC防護攔截量(5m)

網域名稱

近5分鐘內CC安全防護攔截量,單位:個。

CC防護攔截佔比(5m)

網域名稱

近5分鐘內CC安全防護攔截佔總請求量的佔比。

警示資訊以小數形式呈現

Web攻擊攔截量(5m)

網域名稱

近5分鐘內Web應用攻擊防護攔截量,單位:個。

Web攻擊攔截佔比(5m)

網域名稱

近5分鐘內Web應用攻擊防護攔截佔總請求量的佔比。

警示資訊以小數形式呈現

QPS

網域名稱

QPS,單位:個/秒。

QPS環比增長率

網域名稱

每分鐘QPS的環比增長率。

警示資訊以百分比形式呈現

QPS環比下降率

網域名稱

每分鐘QPS的環比下降率。

警示資訊以百分比形式呈現