全部产品
Search
文档中心

Web 应用防火墙:安全报表

更新时间:Nov 13, 2024

Web应用防火墙(Web Application Firewall,简称WAF)安全报表向您展示WAF不同模块防护规则的防护记录。您可以使用安全报表,查看已启用的基础防护规则、IP黑名单规则、自定义规则等的防护数据,进行业务安全分析。

前提条件

  • 已将Web业务添加为WAF 3.0的防护对象。具体操作,请参见配置防护对象和防护对象组

  • 已为防护对象配置了防护规则。

    基础防护规则模块默认启用,无需手动配置;其他防护模块需要手动配置具体规则后,才会生效。更多信息,请参见防护配置概述

查看安全报表

WAF实例根据所属地域的不同,在华东1(杭州)和新加坡分别设置了管控平面。其中,中国内地的WAF实例将使用华东1(杭州)的管控平面实现管控,非中国内地的WAF实例将使用新加坡的管控平面实现管控。

通过安全报表页面,您可以集中查看已接入防护全量资源的防护数据统计及日志信息。我们将基于您购买的不同地域WAF实例所对应的管控平面,向您进行图表和信息展示

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地

  2. 在左侧导航栏,选择检测与响应 > 安全报表

  3. 安全报表页面,通过页签选择要查看的报表类型,设置要查询的防护对象和时间范围,查询对应的安全报表数据。

    查询设置说明:

    • 防护对象:默认已选择所有对象,表示查询已接入WAF防护的所有对象的数据。您可以选择只查询某个对象的数据。

    • 时间范围:默认展示今天的数据。您可以查询最近15分钟、最近30分钟、最近1小时、最近24小时今天昨天7天30天内的数据。

    • 模板名称:Bot管理支持查看具体某个防护模板的防护详情。

基础防护规则

您可以在基础防护规则页签下,查看已启用的基础防护规则的防护详情。基础防护规则默认启用,您可以直接查看相关安全报表数据。如需修改基础防护规则的默认设置,请参见基础防护规则和规则组

数据类型

说明

支持的操作

安全攻击类型分布

通过饼状图,展示攻击类型的分布情况。

攻击来源IP TOP5

通过列表,展示发起攻击请求次数最多的前5个IP及IP所属地域。按照攻击次数由大到小排序。

攻击来源区域 TOP5

通过列表,展示发起攻击请求次数最多的前5个地域。按照攻击次数由大到小排序。

防护详情

通过列表,展示触发基础防护规则的攻击请求的信息。

列表中包含以下信息:

  • 攻击IP:发起攻击请求的IP地址。

  • 所属区域:攻击IP所属地域。

  • 攻击时间:攻击的开始时间。

  • 攻击类型:攻击的类型,例如,SQL注入、代码执行等。

  • 攻击URL:攻击请求的URL。

  • 请求方法:攻击请求的方法。

  • 请求参数:攻击请求的请求参数。

  • 规则动作:分为阻断(表示WAF拦截了该请求)和告警(表示WAF只记录该请求为攻击请求,未拦截该请求)。

  • 规则ID:攻击请求触发的基础防护规则的ID。

  • 筛选攻击事件

    您可以在攻击事件表格上方,使用以下字段(从左到右依次排序)筛选攻击事件:

    • 防护类型:支持规则防护语义防护

    • 攻击类型:默认已选择全部。其他可选项:SQL注入跨站脚本代码执行本地文件包含远程文件包含Webshell定制规则其他

    • 攻击IP:默认未使用。

    • 规则ID:默认未使用。

    • 规则动作:默认已选择全部。其他可选项:阻断告警

  • 查看攻击详情

    单击某个攻击事件操作列下的查看详情,可以查看攻击详情,获取关于攻击事件和防护规则的更多信息,例如,规则名称规则描述原始请求头Trace Id等。

  • 处置攻击

    单击某个攻击事件操作列下的误报屏蔽,在新建规则对话框,输入规则名称,无需进行其他设置,单击确定

    创建完规则后,WAF会自动创建一个规则模板名称为AutoTemplate的模板,并自动添加一条白名单规则,且规则来源为自定义。更多信息,请参见查看白名单规则

IP黑名单、自定义规则、扫描防护、CC防护或区域封禁

您可以在安全报表页面的IP黑名单自定义规则扫描防护CC防护区域封禁页签下,查看已启用规则的防护详情。

数据类型

说明

支持的操作

防护总览

通过折线图,展示在指定时间范围内,防护对象收到的总请求数量(总QPS)、命中观察模式的防护规则的请求数量(告警量)、被防护规则拦截的请求数量(拦截量)的变化趋势。

将光标放置在折线图上的某一点,可以查看该时刻的具体数据。

Top10规则详情

通过列表,展示在指定时间范围内,被命中次数最多的前10条防护规则,包含规则名称/ID防护对象命中次数信息。按照命中次数由大到小排序。

单击规则名称/ID下的复制图标图标,可复制当前规则的名称或ID。

防护详情

通过列表,展示在指定时间范围内,防护规则的防护情况统计数据,具体包括:

  • Top10防护对象:触发防护规则次数最多的前10个防护对象。按照触发防护规则次数由大到小排序。

  • Top10 IP:触发防护规则次数最多的前10个请求来源IP。按照触发防护规则次数由大到小排序。

单击Top10防护对象Top10 IP,查看对应数据。

说明

Top10规则详情防护详情不记录命中观察模式的防护规则详情。

Bot管理

您可以在安全报表页面的Bot管理页签下,查看已启用的Bot管理规则的防护详情。

数据类型

说明

支持的操作

防护总览

通过折线图,展示在指定时间范围内,Bot管理防护策略中已配置的规则动作规则命中情况。

  • 单击具体的规则动作或规则,显示或隐藏该折线图。

  • 将光标放置在折线图上的某一点,可以查看该时刻的具体数据。

规则命中统计

通过列表,展示已配置的防护规则的规则ID、所属防护模板、包含观察模式的命中次数情况。

TOP20 IP统计

展示被阻断、JS校验、JS校验通过、滑块校验、滑块验证通过的Top 20攻击源IP及其攻击次数。

攻击详情

通过列表,展示在指定时间范围内,命中Bot管理防护规则的IP情况,包括攻击IP、IP所属区域、URL、命中的防护模板相关信息(包括模板名称、规则ID、规则名称、规则动作)、请求次数等信息。

定位到目标IP,单击操作列的添加至白名单添加至黑名单

添加完成后,WAF会自动创建一个规则模板名称为AutoTemplate的模板,并自动添加一条白名单规则或黑名单规则。更多信息,请参见查看白名单规则查看黑名单规则

信息泄露防护

您可以在安全报表页面的信息泄露防护页签下,查看已启用的信息泄露防护规则的防护详情。

  • 通过列表,展示在指定时间范围内,信息泄露防护规则防护情况的统计数据,具体包括攻击IP所属区域攻击时间攻击类型攻击URL请求方法请求参数规则动作信息。

  • 您可以定位到某个攻击IP,单击操作查看详情,在攻击详情面板,查看防护详情。