Web应用防火墙(Web Application Firewall,简称WAF)安全报表向您展示WAF不同模块防护规则的防护记录。您可以使用安全报表,查看已启用的Web核心防护规则、IP黑名单规则、自定义规则等的防护数据,进行业务安全分析。
前提条件
已将Web业务添加为WAF 3.0的防护对象和防护对象组。
已为防护对象配置了防护规则。Web核心防护规则模块默认启用,无需手动配置;其他防护模块需要手动配置具体规则后,才会生效。更多信息,请参见防护配置概述。
查看安全报表
根据WAF实例所属地域的不同,在华东1(杭州)和新加坡分别设置了管控平面。其中,中国内地的WAF实例将使用华东1(杭州)的管控平面进行管控,非中国内地的WAF实例将使用新加坡的管控平面进行管控。
在Web应用防火墙3.0控制台的安全报表页面,共分为攻击趋势图、攻击类型分布图、TOP5命中情况统计和日志列表四大板块展示报表信息。您可以通过简单搜索或高级搜索设置过滤条件,搜索查询对应的安全报表数据。
普通搜索 | 高级搜索 |
普通搜索 | 高级搜索 |
|
|
时间范围(图①),默认展示今天的数据,可以查询最近15分钟、最近30分钟、最近1小时、最近24小时、今天、昨天、7天、30天内的数据。 | |
自定义日期搜索范围(图②),可以根据实际需要选择特定的时间段,以便更精准地查看安全报表数据。 | |
防护对象(图③),默认已选择所有对象,表示查询已接入WAF防护的所有对象的数据,您也可以只查询某个对象的数据。 | 设置过滤条件(图③),支持添加多个过滤条件,最多可设置10条。 |
请输入攻击源IP或traceid(图④)。 | \ |
攻击趋势图
在攻击趋势图中,您可以查看告警量和拦截量的走势。默认展示全部防护对象的数据,也可以根据您设置的过滤条件动态刷新。将鼠标悬停在趋势图的任意时间点上,可以显示该时刻的告警数量和拦截数量。
拦截量:记录被拦截防护动作阻止的请求,或未能通过JS验证、滑块、严格滑块、动态令牌等安全检查而遭到拦截的请求。
告警量:记录命中规则并触发观察动作的请求。
攻击类型分布图
统计请求命中规则的总次数,一条请求可能命中多个防护模块或多条规则,支持查看Web 核心防护规则、IP黑名单、自定义规则、扫描防护、CC防护、区域封禁、BOT防护、信息泄露防护和洪峰限流。
单击饼状图中的Web 核心防护规则部分,查看Web核心防护规则中各攻击类型(如SQL注入、XSS、代码执行等)的占比饼图。
单击饼状图中其他防护模板,查看攻击规则的占比饼图。
TOP5命中情况统计
查看攻击源IP、防护对象、命中规则、防护URL、攻击来源区域和攻击UA的命中统计情况。
数据类型 | 说明 | 支持的操作 |
数据类型 | 说明 | 支持的操作 |
攻击源IP | 发起攻击请求次数最多的前5个IP及其所属地域。 | 将鼠标悬停在目标数据类型上,单击过滤或排除,可直接生成相应的过滤条件。 |
防护URL | 命中规则次数最多的前5个URL。 | |
攻击来源区域 | 发起攻击请求次数最多的前5个地域。 | |
攻击UA | 发动攻击次数最多的前5个User-Agent。 | |
防护对象 | 触发防护规则次数最多的前5个防护对象。 | 将鼠标悬停在目标数据类型上,单击过滤或排除,可直接生成相应的过滤条件;单击查看防护规则,可跳转查看该防护对象的具体防护规则。 |
命中规则 | 被命中次数最多的前5个防护规则的ID。 一条请求可能命中多条规则。 |
日志列表
查看攻击IP、所属区域、防护模块、攻击时间、Host、攻击URL、请求方法、请求参数、规则动作和规则ID的详细信息。单击右上角
图标,自定义列表展示信息。
单击某个攻击事件操作列下的查看详情,可以查看攻击详情,获取关于攻击事件和防护规则的更多信息。
如果您确认某条日志为误报,可单击该攻击事件操作列下的误报屏蔽,确认白名单规则条件后,单击确定。
创建完规则后,WAF会自动创建一个规则模板名称为AutoTemplate的模板,并自动添加一条白名单规则,且规则来源为自定义。
一条请求可能命中多个防护模块或多条规则,您可以将鼠标悬停在规则ID上或单击查看详情查看命中的具体规则ID。
