全部產品
Search

搜尋本產品

    Web Application Firewall:安全報表

    文件中心

    Web Application Firewall:安全報表

    更新時間:Dec 27, 2024

    Web Application Firewall(Web Application Firewall,簡稱WAF)安全報表向您展示WAF不同模組防護規則的防護記錄。您可以使用安全報表,查看已啟用的Web核心防護規則、IP黑名單規則、自訂規則等的防護資料,進行業務安全分析。

    前提條件

    • 已將Web業務添加為WAF 3.0的防護對象。具體操作,請參見配置防護對象和防護對象組

    • 已為防護對象配置了防護規則。

      Web核心防護規則模組預設啟用,無需手動設定;其他防護模組需要手動設定具體規則後,才會生效。更多資訊,請參見防護配置概述

    查看安全報表

    WAF執行個體根據所屬地區的不同,在華東1(杭州)和新加坡分別設定了管控平面。其中,中國內地的WAF執行個體將使用華東1(杭州)的管控平面實現管控,非中國內地的WAF執行個體將使用新加坡的管控平面實現管控。

    通過安全報表頁面,您可以集中查看已接入防護全量資源的防護資料統計及日誌資訊。我們將基於您購買的不同地區WAF執行個體所對應的管控平面,向您進行圖表和資訊展示

    1. 登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中国内地非中国内地

    2. 在左側導覽列,選擇检测与响应 > 安全报表

    3. 安全報表頁面,通過頁簽選擇要查看的報表類型,設定要查詢的防護對象和時間範圍,查詢對應的安全報表資料。

      查詢設定說明:

      • 防護對象:預設已選擇所有對象,表示查詢已接入WAF防護的所有對象的資料。您可以選擇只查詢某個對象的資料。

      • 時間範圍:預設展示今天的資料。您可以查詢最近15分鐘、最近30分鐘、最近1小時、最近24小時今天昨天7天30天內的資料。

      • 模板名稱:Bot管理支援查看具體某個防護模板的防護詳情。

    Web核心防護規則

    您可以在Web核心防護規則頁簽下,查看已啟用的Web核心防護規則的防護詳情。Web核心防護規則預設啟用,您可以直接查看相關安全報表資料。如需修改Web核心防護規則的預設設定,請參見Web核心防護規則和規則群組

    資料類型

    說明

    支援的操作

    安全攻擊類型分布

    通過餅狀圖,展示攻擊類型的分布情況。

    攻擊來源IP TOP5

    通過列表,展示發起攻擊請求次數最多的前5個IP及IP所屬地區。按照攻擊次數由大到小排序。

    攻擊來源區域 TOP5

    通過列表,展示發起攻擊請求次數最多的前5個地區。按照攻擊次數由大到小排序。

    防護詳情

    通過列表,展示觸發Web核心防護規則的攻擊請求的資訊。

    列表中包含以下資訊:

    • 攻擊IP:發起攻擊請求的IP地址。

    • 所屬地區:攻擊IP所屬地區。

    • 攻擊時間:攻擊的開始時間。

    • 攻擊類型:攻擊的類型,例如,SQL注入、代碼執行等。

    • 攻擊URL:攻擊請求的URL。

    • 要求方法:攻擊請求的方法。

    • 請求參數:攻擊請求的請求參數。

    • 規則動作:分為阻斷(表示WAF攔截了該請求)和警示(表示WAF只記錄該請求為攻擊請求,未攔截該請求)。

    • 規則ID:攻擊請求觸發的Web核心防護規則的ID。

    • 篩選攻擊事件

      您可以在攻擊事件表格上方,使用以下欄位(從左至右依次排序)篩選攻擊事件:

      • 防護類型:支援規則防護語義防護

      • 攻擊類型:預設已選擇全部。其他可選項:SQL注入跨站指令碼代碼執行本地檔案包含遠程檔案包含Webshell定製規則其他

      • 攻擊IP:預設未使用。

      • 規則ID:預設未使用。

      • 規則動作:預設已選擇全部。其他可選項:阻斷警示

    • 查看攻擊詳情

      單擊某個攻擊事件操作列下的查看詳情,可以查看攻擊詳情,擷取關於攻擊事件和防護規則的更多資訊,例如,規則名稱規則描述原始要求標頭Trace Id等。

    • 處置攻擊

      單擊某個攻擊事件操作列下的誤判屏蔽,在建立規則對話方塊,輸入規則名稱,無需進行其他設定,單擊確定

      建立完規則後,WAF會自動建立一個規則模板名稱為AutoTemplate的模板,並自動添加一條白名單規則,且規則來源為自訂。更多資訊,請參見查看白名單規則

    IP黑名單、自訂規則、掃描防護、CC防護或地區封鎖

    您可以在安全報表頁面的IP黑名單自訂規則掃描防護CC防護地區封鎖頁簽下,查看已啟用規則的防護詳情。

    資料類型

    說明

    支援的操作

    防護總覽

    通過折線圖,展示在指定時間範圍內,防護對象收到的總請求數量(總QPS)、命中觀察模式的防護規則的請求數量(警示量)、被防護規則攔截的請求數量(攔截量)的變化趨勢。

    將游標放置在折線圖上的某一點,可以查看該時刻的具體資料。

    Top10規則詳情

    通過列表,展示在指定時間範圍內,被叫用次數最多的前10條防護規則,包含規則名稱/ID防護對象叫用次數資訊。按照叫用次數由大到小排序。

    單擊規則名稱/ID下的複製表徵圖表徵圖,可複製當前規則的名稱或ID。

    防護詳情

    通過列表,展示在指定時間範圍內,防護規則的防護情況統計資料,具體包括:

    • Top10防護對象:觸發防護規則次數最多的前10個防護對象。按照觸發防護規則次數由大到小排序。

    • Top10 IP:觸發防護規則次數最多的前10個請求來源IP。按照觸發防護規則次數由大到小排序。

    單擊Top10防護對象Top10 IP,查看對應資料。

    說明

    Top10規則詳情防護詳情不記錄命中觀察模式的防護規則詳情。

    Bot管理

    您可以在安全報表頁面的Bot管理頁簽下,查看已啟用的Bot管理規則的防護詳情。

    資料類型

    說明

    支援的操作

    防護總覽

    通過折線圖,展示在指定時間範圍內,Bot管理防護策略中已配置的規則動作規則命中情況。

    • 單擊具體的規則動作或規則,顯示或隱藏該折線圖。

    • 將游標放置在折線圖上的某一點,可以查看該時刻的具體資料。

    規則命中統計

    通過列表,展示已配置的防護規則的規則ID、所屬防護模板、包含觀察模式的叫用次數情況。

    TOP20 IP統計

    展示被阻斷、JS校正、JS校正通過、滑塊校正、滑塊驗證通過的Top 20攻擊源IP及其攻擊次數。

    攻擊詳情

    通過列表,展示在指定時間範圍內,命中Bot管理防護規則的IP情況,包括攻擊IP、IP所屬地區、URL、命中的防護模板相關資訊(包括模板名稱、規則ID、規則名稱、規則動作)、請求次數等資訊。

    定位到目標IP,單擊操作列的添加至白名單添加至黑名單

    添加完成後,WAF會自動建立一個規則模板名稱為AutoTemplate的模板,並自動添加一條白名單規則或黑名單規則。更多資訊,請參見查看白名單規則查看黑名單規則

    資訊泄露防護

    您可以在安全報表頁面的資訊泄露防護頁簽下,查看已啟用的資訊泄露防護規則的防護詳情。

    • 通過列表,展示在指定時間範圍內,資訊泄露防護規則防護情況的統計資料,具體包括攻擊IP所屬地區攻擊時間攻擊類型攻擊URL要求方法請求參數規則動作資訊。

    • 您可以定位到某個攻擊IP,單擊操作查看詳情,在攻擊詳情面板,查看防護詳情。