全部產品
Search

搜尋本產品

    Web Application Firewall:配置CloudMonitor通知

    文件中心

    Web Application Firewall:配置CloudMonitor通知

    更新時間:Dec 27, 2024

    您可以在阿里雲CloudMonitor服務中配置Web Application Firewall(Web Application Firewall,簡稱WAF)的安全事件和業務指標的警示通知規則,監控接入WAF的防護對象。本文介紹如何在CloudMonitor服務配置WAF監控與警示。

    前提條件

    已在接入管理頁面完成Web業務接入。具體操作,請參見接入管理概述

    建立警示連絡人和警示連絡人群組

    1. 登入CloudMonitor控制台

    2. 在左側導覽列,選擇警示服務 > 警示連絡人

    3. 建立警示連絡人。

      1. 警示連絡人頁簽,單擊建立連絡人

      2. 設定警示連絡人面板,填寫警示連絡人的姓名、郵箱和Webhook地址,其他參數均保持預設值。

        說明

        警示通知資訊語言預設為自動,表示CloudMonitor根據當前阿里雲帳號註冊時的語言,自動適配警示通知資訊的語言。

      3. 資訊驗證無誤後,單擊確認

    4. 建立警示聯絡組。

      1. 警示聯絡組頁簽,單擊建立連絡人群組

      2. 建立連絡人群組面板,填寫警示聯絡組的組名,並選擇警示連絡人後,單擊確認

    5. 大量新增警示連絡人到警示聯絡組。

      1. 警示連絡人頁簽,選中要添加到警示聯絡組的警示連絡人,單擊添加到警示聯絡組

      2. 添加到警示聯絡組對話方塊,單擊目標警示聯絡組,單擊確定

      建立警示連絡人、建立警示聯絡組、大量新增警示連絡人到警示聯絡組後,您配置的WAF監控和警示資訊會發送給警示連絡人。警示連絡人需及時查看警示通知資訊,並對警示進行相應的處理。

    設定WAF安全事件的監控與警示

    1. 登入CloudMonitor控制台

    2. 在左側導覽列,選擇事件中心 > 系統事件

    3. 事件監控頁簽,單擊右側的舊版事件警示規則,然後單擊建立警示規則

    4. 建立/修改事件警示面板,完成如下配置後,單擊確定

      參數

      說明

      警示規則名稱

      事件警示規則的名稱。

      產品類型

      事件警示規則的雲產品類型,選擇Web Application Firewall

      事件類型

      事件警示規則的事件類型,取值:AttackExceedEvent

      事件等級

      事件警示規則的事件等級。WAF 3.0的事件等級均為嚴重

      事件名稱

      事件警示規則的事件名稱。

      說明

      事件名稱下拉式清單中,不帶V3尾碼的事件為WAF 2.0支援監控的事件,帶V3尾碼的事件為WAF 3.0支援監控的事件。關於WAF 2.0支援監控的安全事件,請參見支援監控的安全事件

      關鍵詞過濾

      警示規則過濾的關鍵詞。取值:

      • 滿足包含上面任何一個關鍵詞:當事件內容中包含任何一個關鍵詞時,CloudMonitor會發送警示通知。

      • 滿足不包含上面任何一個關鍵詞:當事件內容中不包含任何一個關鍵詞時,CloudMonitor會發送警示通知。

      SQL Filter

      SQL過濾語句。

      資源範圍

      事件警示的生效範圍,取值:全部資源應用分組

      警示通知

      • 警示連絡人群組:選擇發送警示的連絡人群組,具體操作,請參見建立警示連絡人和警示連絡人群組

      • 通知方式:事件警示的層級和通知方式,取值:

        • Critical(電話+簡訊+郵件+WebHook)

        • Warning(簡訊+郵件+WebHook)

        • Info(郵件+WebHook)

      輕量訊息佇列(原 MNS)

      事件警示投遞到輕量訊息佇列(原 MNS)的指定隊列。

      Function Compute

      事件警示投遞到Function Compute的指定函數。

      URL回調

      公網可訪問的URL,用於接收CloudMonitor通過POST請求推送的警示資訊。目前僅支援HTTP協議。關於如何設定警示回調,請參見使用系統事件警示回調(舊版)

      Log Service

      事件警示投遞到Log Service的指定日誌庫。

      通道沉默周期

      警示發生後未恢複正常,間隔多久重複發送一次警示通知。取值:5分鐘、15分鐘、30分鐘、60分鐘、3小時、6小時、12小時和24小時。

      成功建立警示規則後,您可以在當已接入WAF的防護對象上發生安全事件時,警示規則中設定的連絡人將會收到相關警示通知。

      您也可以在事件監控頁面,在事件監控列表上的篩選框中,選擇產品Web Application Firewall監控事件為WAF 3.0相關事件(帶V3尾碼的事件),查詢近期發生的WAF監控事件。

    設定WAF業務指標的監控與警示

    1. 登入CloudMonitor控制台

    2. 在左側導覽列,選擇警示服務 > 警示規則

    3. 警示規則頁面,單擊建立警示規則

    4. 建立警示規則面板完成如下配置後,單擊確認

      參數

      說明

      產品

      CloudMonitor可管理的雲產品名稱,選擇Web Application Firewall3.0

      資源範圍

      警示規則作用的資源範圍。取值:

      • 全部資源:警示規則作用於WAF 3.0的全部資源上。

      • 應用分組:警示規則作用於WAF 3.0的指定應用分組內的全部資源上。

      • 執行個體:警示規則作用於WAF 3.0的指定資源上。

      規則描述

      警示規則的主體。當監控資料滿足警示條件時,觸發警示規則。規則描述的設定方法如下:

      1. 單擊添加規則

      2. 設定規則描述面板,設定規則名稱、監控指標類型、監控指標、閾值和警示層級等,單擊確定

        說明

        關於WAF 3.0支援監控的業務指標,請參見支援監控的業務指標

      通道沉默周期

      警示發生後未恢複正常,間隔多久重複發送一次警示通知。取值:1分鐘、5分鐘、15分鐘、30分鐘、60分鐘、3小時、6小時、12小時和24小時。

      某監控指標達到警示閾值時發送警示,如果監控指標在通道沉默周期內持續超過警示閾值,在通道沉默周期內不會重複發送警示通知;如果監控指標在通道沉默周期後仍未恢複正常,則CloudMonitor再次發送警示通知。

      生效時間

      警示規則的生效時間,警示規則只在生效時間內才會檢查監控資料是否需要警示。

      警示連絡人群組

      選擇發送警示的連絡人群組。具體操作,請參見建立警示連絡人和警示連絡人群組

      警示回調

      公網可訪問的URL,用於接收CloudMonitor通過POST請求推送的警示資訊。目前僅支援HTTP協議。關於如何設定警示回調,請參見使用閾值警示回調

      說明

      單擊進階設定,可設定該參數。

      Auto Scaling

      如果您開啟Auto Scaling開關,當警示發生時,會觸發相應的伸縮規則。您需要設定Auto Scaling的地區Auto Scaling組Auto Scaling規則

      說明

      單擊進階設定,可設定該參數。

      Log Service

      如果您開啟Log Service開關,當警示發生時,會將警示資訊寫入Log Service的日誌庫。您需要設定Log Service的地區ProjectNameLogstore。關於如何建立Project和Logstore,請參見快速入門

      說明

      單擊進階設定,可設定該參數。

      輕量訊息佇列(原 MNS)— topic

      如果您開啟輕量訊息佇列(原 MNS)— topic開關,當警示發生時,會將警示資訊寫入輕量訊息佇列的主題。您需要設定輕量訊息佇列的地區和主題。關於如何建立主題,請參見建立主題

      說明

      單擊進階設定,可設定該參數。

      無資料處理方法

      無監控資料時警示的處理方式。取值:

      • 不做任何處理(預設值)

      • 發送無資料警示

      • 視為恢複

      說明

      單擊進階設定,可設定該參數。

      標籤

      警示規則的標籤。包括標籤名稱和標籤值。

      成功建立規則後,您可以在警示規則列表頁面,在列表上的篩選框中,選擇產品Web Application Firewall3.0指標名稱resource分頁的指標,查詢已建立的監控指標警示規則。

      說明

      WAF支援的監控指標說明如下:

      • domain分頁下的指標為WAF 2.0支援監控的指標。

      • resource分頁下的指標為WAF 3.0支援監控的指標。關於WAF 3.0支援監控的業務指標,請參見支援監控的業務指標

      • 執行個體分頁下的指標為混合雲WAF支援監控的指標。其中,不帶V3尾碼的指標為WAF 2.0支援監控的指標,帶V3尾碼的指標為WAF 3.0支援監控的指標。

    支援監控的安全事件

    CloudMonitor支援對接入WAF的防護對象上發生的如下安全事件進行監控和警示。具體操作,請參見設定WAF攻擊事件的監控與警示

    事件類型

    事件名稱

    事件等級

    觸發邏輯

    Attack

    存取控制事件V3

    (自訂規則)

    嚴重

    實現對事件的準確監控和統計分析,我們採用基於移動視窗的計算方法。具體過程如下:

    滾動視窗設定:我們選擇一個長度為10分鐘的滾動視窗,並且以每分鐘一個統計值的頻率進行更新。每分鐘的統計值表示該分鐘的攔截量

    事件開始條件:

    • 當前攔截量大於600;

    • 當前攔截量與過去11分鐘的平均攔截量相比,高出超過3倍的標準差。

    事件結束條件:

    • 當前攔截量低於過去11分鐘的平均攔截量。

    Attack

    CC攻擊事件V3

    Attack

    Web攻擊事件V3

    Attack

    防掃描事件V3

    Exceed

    QPS超用事件V3

    超出QPS上限觸發,詳見QPS版本說明

    Exceed

    計費保護觸發事件V3

    超過流量計費保護閾值時觸發。

    Event

    API安全事件V3

    API安全中風險檢測的高危風險或者安全事件的高危事件。

    支援監控的業務指標

    CloudMonitor支援對接入WAF的防護對象的如下系統請求資料指標設定異常監控和警示,支援自訂指標異常的判斷方法。具體操作,請參見設定WAF業務指標的監控與警示

    說明

    通過添加防護對象方式手動增加的防護對象不支援監控流量相關監控項,例如4XX佔比V35XX佔比V3QPS_V3QPS環比增長率V3QPS環比下降率V3等指標。

    監控項

    維度

    指標含義

    備忘

    4XX佔比V3

    防護對象

    每分鐘4XX狀態代碼的佔比(不包含405)。

    警示資訊以小數形式呈現

    5XX佔比V3

    防護對象

    每分鐘5XX狀態代碼的佔比。

    警示資訊以小數形式呈現

    存取控制攔截量(5m)V3

    防護對象

    近5分鐘內精準存取控制攔截量,單位:個。

    存取控制攔截佔比(5m)V3

    防護對象

    近5分鐘內精準存取控制攔截佔總請求量的佔比。

    警示資訊以小數形式呈現

    CC防護攔截量(5m)V3

    防護對象

    近5分鐘內CC安全防護攔截量,單位:個。

    CC防護攔截佔比(5m)V3

    防護對象

    近5分鐘內CC安全防護攔截佔總請求量的佔比。

    警示資訊以小數形式呈現

    Web攻擊攔截量(5m)V3

    防護對象

    近5分鐘內Web應用攻擊防護攔截量,單位:個。

    Web攻擊攔截佔比(5m)V3

    防護對象

    近5分鐘內Web應用攻擊防護攔截佔總請求量的佔比。

    警示資訊以小數形式呈現

    QPS_V3

    防護對象

    QPS,單位:次/秒。

    QPS環比增長率V3

    防護對象

    每分鐘QPS的環比增長率。

    警示資訊以百分比形式呈現

    QPS環比下降率V3

    防護對象

    每分鐘QPS的環比下降率。

    警示資訊以百分比形式呈現

    相關文檔

    API安全只能通過CloudMonitor實現嚴重程度為高危的警示推送,如果您需要低危、中危的警示推送,請參見API安全警示推送最佳實務