Manipulação de alarmes falsos

Pré-requisitos

Há pelo menos um evento de alarme falso na lista de eventos.

Restrições

• Somente eventos de ataque bloqueados ou gravados por regras básicas pré-configuradas de proteção da Web e recursos na proteção anti-crawler podem ser tratados como alarmes falsos.
• Para eventos gerados com base em regras personalizadas (como uma regra de proteção contra ataques CC, regra de proteção precisa, regra de lista negra, regra de lista branca ou regra de controle de acesso de geolocalização) não podem ser tratados como falsos alarmes. Para ignorar esse evento, exclua ou desabilite a regra personalizada atingida pelo evento.
• Um evento de ataque só pode ser tratado como um alarme falso uma vez.

Cenários de aplicação

Às vezes, solicitações de serviço normais podem ser bloqueadas pelo WAF. Por exemplo, suponha que você implante um aplicativo da Web em um HUAWEI CLOUD ECS e, em seguida, adicione o nome de domínio público associado a esse aplicativo ao WAF. Se você habilitar a proteção básica da Web para esse aplicativo, o WAF poderá bloquear as solicitações de acesso que correspondem às regras básicas de proteção da Web. Como resultado, o site não pode ser acessado através do seu nome de domínio. No entanto, o site ainda pode ser acessado através do endereço IP. Nesse caso, você pode manipular os alarmes falsos para permitir solicitações de acesso normais ao aplicativo.

Impacto no sistema

O evento de ataque não será exibido na página Events. Você não receberá mais nenhuma notificação de alarme sobre o evento.

Procedimento

1. Efetue login no console de gerenciamento.
2. Clique em no canto superior esquerdo do console de gerenciamento e selecione uma região ou projeto.
3. Clique em no canto superior esquerdo e escolha Web Application Firewall em Security & Compliance.
4. No painel de navegação à esquerda, escolha Events.
5. Selecione a guia Search. Selecione um site na lista suspensa All protected websites. Em seguida, selecione Yesterday, Today, Past 3 days, Past 7 days, Past 30 days, ou um intervalo de tempo personalizado. Figura 1 mostra um exemplo. Tabela 1 e Tabela 2 descrevem os parâmetros.
   Figura 1 Exibindo eventos de proteção
   

   Tabela 1 Parâmetros do evento

   Parâmetro	Descrição
   Tipo de evento	Tipo de ataque. Por padrão, All está selecionado. Você pode exibir logs de todos os tipos de ataque ou selecionar um tipo de ataque para exibir os logs de ataque correspondentes.
   Ação Protetora	As opções são Block, Log only, e Verification code.
   Endereço IP de origem	Endereço IP público do visitante / atacante da web Por padrão, All é selecionado. Você pode exibir logs de todos os endereços IP de origem de ataque, selecionar um endereço IP de origem de ataque ou digitar um endereço IP de origem de ataque para exibir os logs de ataque correspondentes.
   URL	URL atacada
   ID do evento	ID do evento

   Tabela 2 Parâmetros na lista de eventos

   Parâmetro	Descrição	Valor de exemplo
   Horário	Quando o ataque ocorreu	2021/02/04 13:20:04
   Endereço IP de origem	Endereço IP público do visitante / invasor da web	Nenh
   Geolocalização	Local de onde se origina o endereço IP do ataque	-
   Nome de domínio	Nome de domínio atacado	www.example.com
   URL	URL atacada	/admin
   Carga maliciosa	O local ou parte do ataque que causa danos ou o número de vezes que a URL foi acessada. NOTA: Em um ataque CC, a carga maliciosa indica o número de vezes que a URL foi acessada. Para eventos de proteção de lista negra, a carga maliciosa é deixada em branco.	id=1 e 1='1
   Tipo de evento	Tipo de ataque	Injeção de SQL
   Regra de Hit	ID da regra de proteção da Web básica interna atingida pelo evento de ataque. Esse campo é exibido se o evento de ataque corresponder a uma das regras básicas de proteção da Web. Por exemplo, injeção de SQL, XSS e ataques de inclusão de arquivos.	223633
   Ação Protetora	Ações de proteção configuradas na regra. As opções são Block, Log only, e Verification code. NOTA: Se uma solicitação de acesso corresponder a uma regra de proteção contra violação da Web, regra de prevenção contra vazamento de informações ou regra de mascaramento de dados, a ação de proteção será marcada como Mismatch.	Bloqueio
   código de status	Código de status HTTP retornado na página de bloqueio.	418

   

   Para exibir detalhes do evento, clique em Details na coluna Operation da lista de eventos.

6. Depois de confirmar que um evento é um alarme falso, clique em Handle False Alarm na coluna Operation da linha e adicione uma regra de mascaramento de alarme falso. Figura 2 mostra um exemplo. Tabela 3 descreve os parâmetros.
   Figura 2 Manipulação de um alarme falso
   

   Tabela 3 Parameters

   Parameter	Description	Example Value
   Scope	All domain names: By default, this rule will be used to all domain names that are protected by the current policy. Specified domain names: This rule will be used to the specified domain names that match the wildcard domain name being protected by the current policy.	Specified domain names
   Domain Name	This parameter is mandatory when you select Specified domain names for Scope. Enter a single domain name that matches the wildcard domain name being protected by the current policy.	www.example.com
   Condition List	Click Add to add conditions. At least one condition needs to be added. You can add up to 30 conditions to a protection rule. If more than one condition is added, all of the conditions must be met for the rule to be applied. A condition includes the following parameters: Parameters for configuring a condition are described as follows: Field Subfield: Configure this field only when Params, Cookie, or Header is selected for Field. AVISO: The length of a subfield cannot exceed 2,048 bytes. Only digits, letters, underscores (_), and hyphens (-) are allowed. Logic: Select a logical relationship from the drop-down list. Content: Enter or select the content that matches the condition.	Path, Include, /product
   Ignore WAF Protection	All protection: All WAF rules do not take effect, and WAF allows all request traffic to the domain names in the rule. Basic Web Protection: You can ignore basic web protection by rule ID, attack type, or all built-in rules. For example, if XSS check is not required for a URL, you can whitelist XSS rule.	Basic Web Protection
   Ignored Protection Type	If you select Basic web protection for Ignored Protection Type, specify the following parameters: ID: Configure the rule by event ID. Attack type: Configure the rule by attack type, such as XSS and SQL injection. One type contains one or more rule IDs. All built-in rules: all checks enabled in Basic Web Protection.	Attack type
   ID	This parameter is mandatory when your select ID for Ignored Protection Type. ID of an attack event on the Events page. If the event type is Custom, it has no event ID. Click Handle False Alarm in the row containing the attack event to obtain the ID. You are advised to configure global protection whitelist (formerly false alarm masking) rules on the the Events page by referring to Manipulação de alarmes falsos.	041046
   Attack type	This parameter is mandatory when your select Attack type forIgnored Protection Type. Select an attack type from the drop-down list box. WAF can defend against XSS attacks, web shells, SQL injection attacks, malicious crawlers, remote file inclusions, local file inclusions, command injection attacks, and other attacks.	SQL injection
   Rule Description	A brief description of the rule. This parameter is optional.	SQL injection attacks are not intercepted.
   Advanced Settings	To ignore attacks of a specific field, specify the field in the Advanced Settings area. After you add the rule, WAF will stop blocking attack events of the specified field. Select a target field from the first drop-down list box on the left. The following fields are supported: Params, Cookie, Header, Body, and Multipart. If you select Params, Cookie, or Header, you can select All or Specified field to configure a subfield. If you select Body or Multipart, you can select All. If you select Cookie, the Domain Name and Path can be empty. NOTA: If All is selected, WAF will not block all attack events of the selected field.	Params All

7. Clique em OK.

Verificação

Um alarme falso será excluído dentro de cerca de um minuto após a configuração de manuseio ser feita. Ele não será mais exibido na lista de detalhes do evento de ataque. Você pode atualizar o cache do navegador e solicitar a página para a qual a regra de lista branca de proteção global (anteriormente mascaramento de alarme falso) está configurada para verificar se a configuração tem efeito.

Outras Operações

Se um evento for tratado como um alarme falso, o hit de regra será adicionado à lista de regras de lista branca de proteção global (anteriormente mascaramento de alarme falso). Acesse a página Policies e alterne para a página Lista branca de Proteção Global (Anteriormente Mascaramento de Alarme Falso) para gerenciar a regra, incluindo consulta, desativação, exclusão e modificação da regra. Para mais detalhes, consulte Configuring a Global Protection Whitelist (Formerly False Alarm Masking) Rule.