文档简介:
对于“防护事件”页面中的攻击事件,如果排查后您确认该攻击事件为误报事件,即未发现该攻击事件相关的恶意链接、字符等,则您可以通过设置URL和规则ID的忽略(Web基础防护规则)、删除或关闭对应的防护规则(自定义防护规则),屏蔽该攻击事件。将攻击事件处理为误报事件后,“防护事件”页面中将不再出现该攻击事件。
当WAF根据内置的Web基础防护规则和自定义防护规则(CC攻击防护规则、精准访问防护规则、黑白名单规则、地理位置访问控制规则等)检测到符合规则的恶意攻击时,会按照规则中的防护动作(仅记录、拦截等)在“防护事件”页面中记录检测到的攻击事件。
前提条件
事件详情列表中包含误报攻击事件。
约束条件
仅基于WAF内置的Web基础防护规则拦截或记录的攻击事情可以进行“误报处理”操作。
基于自定义规则(CC攻击防护规则、精准访问防护规则、黑白名单规则、地理位置访问控制规则等)拦截或记录的攻击事件,无法执行“误报处理”操作,如果您确认该攻击事件为误报,可在自定义规则页面,将该攻击事件对应的防护规则删除或关闭。
同一个攻击事件不能重复进行误报处理,即如果该攻击事件已进行了误报处理,则不能再对该攻击事件进行误报处理。
拦截事件处理为误报后,“防护事件”页面中将不再出现该事件。
使用场景
业务正常请求被WAF拦截。例如,您在ECS服务器上部署了一个Web应用,将该Web应用对应的公网域名接入WAF并开启Web基础防护后,该域名的请求流量命中了Web基础防护规则被WAF误拦截,导致通过域名访问网站显示异常,但直接通过IP访问网站正常。
操作步骤
1 登录管理控制台。
2 单击管理控制台右上角的
,选择区域或项目。
3 单击页面左上方的
,选择“安全 > Web应用防火墙”。
4 在左侧导航树中,选择“防护事件”,进入“防护事件”页面。
5 选择“查询”页签,在网站下拉列表中选择待查看的防护网站,可查看“昨天”、“今天”、“3天”“7天”、“30天”或者自定义时间范围内的防护日志,如图所示,参数说明如表所示。
查看防护事件
防护事件参数说明
| 参数名称 | 参数说明 |
|---|---|
| 事件类型 |
发生攻击的类型。 默认选择“全部”,查看所有攻击类型的日志信息,也可以根据需要,选择攻击类型查看攻击日志信息。 |
| 防护动作 | 防护配置中设置的防护动作,包含:拦截、仅记录、人机验证等。 |
| 源IP |
Web访问者的公网IP地址(攻击者IP地址)。 默认选择“全部”,查看所有的日志信息,也可以根据需要,选择或者自定义攻击者IP地址查看攻击日志信息。 |
| URL | 攻击的防护域名的URL。 |
| 事件ID | 标识该防护事件的ID。 |
日志列表参数说明
| 参数名称 | 参数说明 |
|---|---|
| 时间 | 发生本次攻击的时间。 |
| 源IP | Web访问者的公网IP地址(攻击者IP地址)。 |
| 防护域名 | 被攻击的防护域名。 |
| URL | 攻击的防护域名的URL。 |
| 恶意负载 |
本次攻击对防护域名造成伤害的位置、组成部分或访问URL的次数。 例如,SQL注入攻击中的表达式id=1' or 1=1。 如果是CC攻击,恶意负载表示当时访问URL的次数。 |
| 事件类型 | 发生攻击的类型。 |
| 防护动作 |
防护配置中设置的防护动作,包含:拦截、仅记录、人机验证、不匹配等。 说明 配置网页防篡改、防敏感信息泄露、隐私屏蔽防护规则后,如果访问请求命中防护规则,则防护动作显示为“不匹配”。 |
如果需要查看目标域名攻击事件详情,可在事件列表中的“操作”列,单击“详情”。
6 当攻击事件属于误报时,在该攻击事件所在行的“操作”列,单击“误报处理”,添加误报屏蔽策略,参数说明如表所示。
误报处理
误报处理参数说明
| 参数 | 参数说明 | 取值样例 |
|---|---|---|
| 防护域名 | 发生攻击事件的域名,系统自动获取。 | -- |
| 路径 |
误报事件的URL路径,不包含域名。默认为攻击事件的来源路径。 前缀匹配:选择“前缀为”,代表以输入的路径为前缀。例如,需要防护的路径为“/admin/test.php”或 “/adminabc”,则路径可以填写为“/admin”。 精准匹配:选择“等于”,需要防护的路径需要与此处填写的路径完全相等。例如,需要防护的路径为“/admin/test.php”,该规则必须填写为“/admin/test.php”。 说明 该路径不支持正则,仅支持前缀匹配和精准匹配的逻辑。 路径里不能含有连续的多条斜线的配置,如“///admin”,访问时,引擎会将“///”转为“/”。 |
-- |
| 规则 |
您可以选择以下三种方式进行配置: 按ID:按攻击命中规则的ID进行配置。 按类别:按攻击事件类别进行配置。 所有内置规则:配置Web基础防护规则里开启的所有防护规则。 |
按类别 |
| ID |
当“规则”选择“按ID”时,需要配置此参数。 自动读取的内置规则的命中规则ID。 |
060015 |
| 类别 |
当“规则”选择“按类别”时,需要配置此参数。 自动获取的攻击事件类别。 |
远程文件包含 |
| 规则描述 | 可选参数,设置该规则的备注信息。 | 不拦截SQL注入攻击 |
| 高级设置 |
如果您只想忽略来源于某攻击事件下指定字段的攻击,可在“高级设置”里选择指定字段进行配置,配置完成后,WAF将不再拦截指定字段的攻击事件。 在左边第一个下拉列表中选择目标字段。支持的字段有:Params、Cookie、Header、Body、Multipart。 当选择“Params”、“Cookie”或者“Header”字段时,根据需求配置子字段。 当选择“Cookie”字段时,“防护域名”和“路径”可以为空。 说明 当字段配置为“全部”时,配置完成后,WAF将不再拦截该字段的所有攻击事件。 |
Params 全部 |
7 单击“确认添加”,添加该误报规则。
生效条件
设置误报处理后,1分钟左右生效,攻击事件详情列表中将不再出现此误报。您可以刷新浏览器缓存,重新访问设置了误报屏蔽的页面,验证是否配置成功。
相关操作
拦截事件处理为误报后,该误报事件对应的规则将添加到误报屏蔽规则列表中,您可以在“防护策略”界面的“误报屏蔽”页面查看、关闭、删除或修改该规则。有关配置误报屏蔽规则的详细操作,请参见: 配置误报屏蔽规则。
