Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda/ Web Application Firewall/ Guía del usuario/ Gestión de Eventos/ Manejo de falsas alarmas
Actualización más reciente 2023-09-21 GMT+08:00
Ver PDF
Compartir

Manejo de falsas alarmas

Si confirma que un evento de ataque en la página Events es una falsa alarma, puede manejar el evento como falsa alarma ignorando la URL y el ID de regla en la protección web básica, o eliminando o deshabilitando la regla de protección correspondiente que configuró. Después de que un evento de ataque se maneje como una falsa alarma, el evento ya no se mostrará en la página Events. Ya no recibirá ninguna notificación de alarma sobre el evento.

WAF detecta ataques mediante el uso de reglas de protección web básicas integradas, funciones integradas en la protección anti-explotación y reglas personalizadas que ha configurado (como la protección contra ataques CC, la protección de acceso precisa, la lista negra, la lista blanca y las reglas de control de acceso de geolocalización). WAF responderá a los ataques detectados basándose en las acciones de protección (como Block y Log only) definidas en las reglas y mostrará los eventos de ataque en la página Events.

Si ha habilitado proyectos de empresa, asegúrese de que tiene todos los permisos de operación para el proyecto en el que se encuentra la instancia WAF. A continuación, puede seleccionar el proyecto de la lista desplegable de Enterprise Project y manejar falsas alarmas en el proyecto.

Prerrequisitos

Hay al menos un evento de falsa alarma en la lista de eventos.

Restricciones

  • Solo los eventos de ataque bloqueados o registrados por las reglas básicas de protección web preconfiguradas y las funciones de protección anti-explotación pueden manejarse como falsas alarmas.
  • Para eventos generados basados en reglas personalizadas (como una regla de protección contra ataques CC, una regla de protección precisa, una regla de lista negra, una regla de lista blanca o una regla de control de acceso de geolocalización) no pueden ser manejados como falsas alarmas. Para ignorar dicho evento, elimine o deshabilite la regla personalizada golpeada por el evento.
  • Un evento de ataque solo puede ser manejado como una falsa alarma una vez.

Escenarios de aplicación

A veces, las solicitudes de servicio normales pueden ser bloqueadas por WAF. Por ejemplo, supongamos que implementa una aplicación web en un ECS de Huawei Cloud y luego agrega el nombre de dominio público asociado a esa aplicación a WAF. Si habilita la protección web básica para esa aplicación, WAF puede bloquear las solicitudes de acceso que coincidan con las reglas básicas de protección web. Por lo tanto, no se puede acceder al sitio web a través de su nombre de dominio. Sin embargo, todavía se puede acceder al sitio web a través de la dirección IP. En este caso, puede manejar las falsas alarmas para permitir solicitudes de acceso normales a la aplicación.

Impacto en el sistema

El evento de ataque no se mostrará en la páginaEvents. Ya no recibirá ninguna notificación de alarma sobre el evento.

Procedimiento

  1. Inicie sesión en la consola de gestión
  2. Haga clic en la esquina superior izquierda de la consola de gestión y seleccione una región o proyecto.
  3. Haga clic en la esquina superior izquierda y elija Web Application Firewall en Security & Compliance.
  4. En el panel de navegación de la izquierda, seleccione Events.
  5. Seleccione la pestaña Search. Seleccione un sitio web en la lista desplegable All protected websites. A continuación, seleccione Yesterday, Today, Past 3 days, Past 7 days, Past 30 days o un intervalo de tiempo personalizado. Figura 1 muestra un ejemplo. Tabla 1 y Tabla 2 describir parámetros.

    Figura 1 Consulta de eventos de protección
    Tabla 1 Parámetros del evento

    Parámetro

    Descripción

    Event Type

    Tipo de ataque.

    De forma predeterminada, se selecciona All. Puede ver los registros de todos los tipos de ataque o seleccionar un tipo de ataque para ver los registros de ataque correspondientes.

    Protective Action

    Las opciones son Block, Log only, y Verification code.

    Source IP Address

    Dirección IP pública del visitante/ataque de la web

    De forma predeterminada, se selecciona All. Puede ver los registros de todas las direcciones IP de origen de ataque, seleccionar una dirección IP de origen de ataque o introducir una dirección IP de origen de ataque para ver los registros de ataque correspondientes.

    URL

    URL atacada

    Event ID

    ID del evento
    Tabla 2 Parámetros de registro

    Parámetro

    Descripción

    Valor de ejemplo

    Time

    Cuando se produjo el ataque

    2021/02/04 13:20:04

    Source IP Address

    Dirección IP pública del visitante/ataque de la web

    None

    Geolocation

    Ubicación desde la que se origina la dirección IP del ataque

    Shanghai

    Domain Name

    Nombre de dominio atacado

    www.example.com

    URL

    URL atacada

    /admin

    Malicious Load

    La ubicación o parte del ataque que causa daño o el número de veces que se accedió a la URL.

    NOTA:
    • En un ataque de CC, la carga maliciosa indica el número de veces que se accedió a la URL.
    • Para los eventos de protección de la lista negra, la carga maliciosa se deja en blanco.

    id=1 and 1='1

    Event Type

    Tipo de ataque

    SQL injection

    Hit Rule

    ID de la regla de protección web básica incorporada afectada por el evento de ataque.

    Este campo se muestra si el evento de ataque coincide con una de las reglas básicas de protección web. Por ejemplo, ataques de inyección SQL, XSS e inclusión de archivos.

    223633

    Protective Action

    Acciones de protección configuradas en la regla. Las opciones son Block, Log only, y Verification code.

    NOTA:

    Si una solicitud de acceso coincide con una regla de protección contra manipulaciones web, una regla de prevención de fugas de información o una regla de enmascaramiento de datos, la acción de protección se marca como Mismatch.

    Block

    Status Code

    Código de estado HTTP devuelto en la página de bloque.

    418

    Para ver los detalles del evento, haga clic en Details en la columna Operation de la lista de eventos.

  6. Después de confirmar que un evento es una falsa alarma, haga clic en Handle False Alarm en la columna Operation de la fila y agregue una regla de enmascaramiento de falsa alarma haciendo referencia a Tabla 3. Figura 2 muestra un ejemplo.

    Figura 2 Manejo de una falsa alarma
    Tabla 3 Descripción del parámetro

    Parámetro

    Descripción

    Valor de ejemplo

    Domain Name

    Nombre de dominio donde se produjo un ataque. WAF llena automáticamente el campo.

    None

    Path

    Parte de la URL (excluyendo el nombre de dominio) para la que se reporta una falsa alarma. El valor predeterminado es la ruta de origen del evento.

    • Coincidencia de prefijo: Si selecciona Prefix is, la ruta de acceso introducida se utiliza como prefijo. Por ejemplo, si la ruta a proteger es /admin/test.php or /adminabc, set Path to /admin.
    • Coincidencia exacta: la ruta que se va a introducir debe ser igual a la ruta que se va a proteger. Por ejemplo, si la ruta a proteger es /admin/test.php, set Path to /admin/test.php.
    NOTA:
    • La ruta soporta prefijo y coincidencias exactas. No se admiten expresiones regulares.
    • La ruta de acceso no puede contener dos o más barras diagonales consecutivas. Por ejemplo, ///admin. Si introduce///admin, WAF converts /// to /.

    None

    Rule

    El elemento para el que tiene efecto la regla de enmascaramiento de falsa alarma. Las opciones son:

    • ID: Configure las reglas por ID de la regla de hit.
    • Attack type: Configure la regla por tipo de ataque.
    • All built-in rules: todas las comprobaciones habilitadas en Protección web básica.

    Attack type

    ID

    ID de una regla integrada, que se lee automáticamente.

    Este parámetro es obligatorio cuando Rule se establece en ID.

    060015

    Attack Type

    Tipo de ataque obtenido automáticamente.

    Este parámetro es obligatorio cuando Rule se establece en Attack type.

    Remote File Inclusion

    Rule Description

    Una breve descripción de la regla. Este parámetro es opcional.

    SQL injection attacks are not intercepted.

    Advanced Settings

    Para ignorar los ataques de un campo específico, especifique el campo en el área Advanced Settings. Después de agregar la regla, WAF dejará de bloquear los eventos de ataque del campo especificado.

    Seleccione un campo de destino en el primer cuadro de lista desplegable de la izquierda. Se admiten los siguientes campos: Params, Cookie, Header, Body, y Multipart.
    • Si selecciona Params, Cookie, o Header, configure los subcampos según sea necesario.
    • Si selecciona Cookie, el Domain Name y Path pueden estar vacíos.
    NOTA:

    Si se selecciona All, WAF no bloqueará todos los eventos de ataque del campo seleccionado.

    Params

    All

  7. Haga clic en OK.

Verificación

Una falsa alarma se eliminará en aproximadamente un minuto después de que se haya realizado la configuración de manejo. Ya no se mostrará en la lista de detalles de eventos de ataque. Puede borrar la caché, actualizar el navegador y acceder de nuevo a la página para verificar si la alarma se ha manejado correctamente.

Otras operaciones

Si un evento se maneja como una falsa alarma, la regla correspondiente se agregará a la lista de reglas de enmascaramiento de falsas alarmas. Puede ver, deshabilitar, eliminar o modificar la regla en la página False Alarm Masking en Policies. Para más detalles, consulte Configuración de una regla de enmascaramiento de falsa alarma.

Tema principal: Gestión de Eventos