Manipulação de alarmes falsos
Se confirmar que um evento de ataque na página Events é um alarme falso, você pode tratar o evento como alarme falso ignorando o URL e a ID da regra na proteção básica da Web ou excluindo ou desativando a regra de proteção correspondente configurada. Depois que um evento de ataque é tratado como um alarme falso, o evento não será mais exibido na página Events. Você não receberá mais nenhuma notificação de alarme sobre o evento.
O WAF detecta ataques usando regras básicas de proteção da Web incorporadas, recursos integrados na proteção anticrawler e regras personalizadas configuradas por você. (como proteção contra ataques CC, proteção de acesso precisa, lista negra, lista branca e regras de controle de acesso de geolocalização). O WAF responderá aos ataques detectados com base nas ações de proteção (como somente Block e Log only) definidas nas regras e exibirá eventos de ataque na página Events.
Se você ativou projetos empresariais, certifique-se de ter todas as permissões de operação para o projeto em que sua instância do WAF está localizada. Em seguida, você pode selecionar o projeto na lista suspensa Enterprise Project e manipular alarmes falsos no projeto.
Pré-requisitos
Há pelo menos um evento de alarme falso na lista de eventos.
Restrições
- Somente eventos de ataque bloqueados ou gravados por regras básicas pré-configuradas de proteção da Web e recursos na proteção anti-crawler podem ser tratados como alarmes falsos.
- Para eventos gerados com base em regras personalizadas (como uma regra de proteção contra ataques CC, regra de proteção precisa, regra de lista negra, regra de lista branca ou regra de controle de acesso de geolocalização) não podem ser tratados como falsos alarmes. Para ignorar esse evento, exclua ou desabilite a regra personalizada atingida pelo evento.
- Um evento de ataque só pode ser tratado como um alarme falso uma vez.
Cenários de aplicação
Às vezes, solicitações de serviço normais podem ser bloqueadas pelo WAF. Por exemplo, suponha que você implante um aplicativo da Web em um HUAWEI CLOUD ECS e, em seguida, adicione o nome de domínio público associado a esse aplicativo ao WAF. Se você habilitar a proteção básica da Web para esse aplicativo, o WAF poderá bloquear as solicitações de acesso que correspondem às regras básicas de proteção da Web. Como resultado, o site não pode ser acessado através do seu nome de domínio. No entanto, o site ainda pode ser acessado através do endereço IP. Nesse caso, você pode manipular os alarmes falsos para permitir solicitações de acesso normais ao aplicativo.
Impacto no sistema
O evento de ataque não será exibido na página Events. Você não receberá mais nenhuma notificação de alarme sobre o evento.
Procedimento
- Efetue login no console de gerenciamento.
- Clique em
no canto superior esquerdo do console de gerenciamento e selecione uma região ou projeto. - Clique em
no canto superior esquerdo e escolha Web Application Firewall em Security & Compliance. - No painel de navegação à esquerda, escolha Events.
- Selecione a guia Search. Selecione um site na lista suspensa All protected websites. Em seguida, selecione Yesterday, Today, Past 3 days, Past 7 days, Past 30 days, ou um intervalo de tempo personalizado. Figura 1 mostra um exemplo. Tabela 1 e Tabela 2 descrevem os parâmetros.
Tabela 1 Parâmetros do evento Parâmetro
Descrição
Tipo de evento
Tipo de ataque.
Por padrão, All está selecionado. Você pode exibir logs de todos os tipos de ataque ou selecionar um tipo de ataque para exibir os logs de ataque correspondentes.
Ação Protetora
As opções são Block, Log only, e Verification code.
Endereço IP de origem
Endereço IP público do visitante / atacante da web
Por padrão, All é selecionado. Você pode exibir logs de todos os endereços IP de origem de ataque, selecionar um endereço IP de origem de ataque ou digitar um endereço IP de origem de ataque para exibir os logs de ataque correspondentes.
URL
URL atacada
ID do evento
ID do evento
Tabela 2 Parâmetros na lista de eventos Parâmetro
Descrição
Valor de exemplo
Horário
Quando o ataque ocorreu
2021/02/04 13:20:04
Endereço IP de origem
Endereço IP público do visitante / invasor da web
Nenh
Geolocalização
Local de onde se origina o endereço IP do ataque
-
Nome de domínio
Nome de domínio atacado
www.example.com
URL
URL atacada
/admin
Carga maliciosa
O local ou parte do ataque que causa danos ou o número de vezes que a URL foi acessada.
NOTA:- Em um ataque CC, a carga maliciosa indica o número de vezes que a URL foi acessada.
- Para eventos de proteção de lista negra, a carga maliciosa é deixada em branco.
id=1 e 1='1
Tipo de evento
Tipo de ataque
Injeção de SQL
Regra de Hit
ID da regra de proteção da Web básica interna atingida pelo evento de ataque.
Esse campo é exibido se o evento de ataque corresponder a uma das regras básicas de proteção da Web. Por exemplo, injeção de SQL, XSS e ataques de inclusão de arquivos.
223633
Ação Protetora
Ações de proteção configuradas na regra. As opções são Block, Log only, e Verification code.
NOTA:Se uma solicitação de acesso corresponder a uma regra de proteção contra violação da Web, regra de prevenção contra vazamento de informações ou regra de mascaramento de dados, a ação de proteção será marcada como Mismatch.
Bloqueio
código de status
Código de status HTTP retornado na página de bloqueio.
418
Para exibir detalhes do evento, clique em Details na coluna Operation da lista de eventos.
- Depois de confirmar que um evento é um alarme falso, clique em Handle False Alarm na coluna Operation da linha e adicione uma regra de mascaramento de alarme falso. Figura 2 mostra um exemplo. Tabela 3 descreve os parâmetros.
Tabela 3 Parameters Parameter
Description
Example Value
Scope
- All domain names: By default, this rule will be used to all domain names that are protected by the current policy.
- Specified domain names: This rule will be used to the specified domain names that match the wildcard domain name being protected by the current policy.
Specified domain names
Domain Name
This parameter is mandatory when you select Specified domain names for Scope.
Enter a single domain name that matches the wildcard domain name being protected by the current policy.
www.example.com
Condition List
Click Add to add conditions. At least one condition needs to be added. You can add up to 30 conditions to a protection rule. If more than one condition is added, all of the conditions must be met for the rule to be applied. A condition includes the following parameters:
Parameters for configuring a condition are described as follows:- Field
- Subfield: Configure this field only when Params, Cookie, or Header is selected for Field.
AVISO:
The length of a subfield cannot exceed 2,048 bytes. Only digits, letters, underscores (_), and hyphens (-) are allowed.
- Logic: Select a logical relationship from the drop-down list.
- Content: Enter or select the content that matches the condition.
Path, Include, /product
Ignore WAF Protection
- All protection: All WAF rules do not take effect, and WAF allows all request traffic to the domain names in the rule.
- Basic Web Protection: You can ignore basic web protection by rule ID, attack type, or all built-in rules. For example, if XSS check is not required for a URL, you can whitelist XSS rule.
Basic Web Protection
Ignored Protection Type
If you select Basic web protection for Ignored Protection Type, specify the following parameters:
- ID: Configure the rule by event ID.
- Attack type: Configure the rule by attack type, such as XSS and SQL injection. One type contains one or more rule IDs.
- All built-in rules: all checks enabled in Basic Web Protection.
Attack type
ID
This parameter is mandatory when your select ID for Ignored Protection Type.
ID of an attack event on the Events page. If the event type is Custom, it has no event ID. Click Handle False Alarm in the row containing the attack event to obtain the ID. You are advised to configure global protection whitelist (formerly false alarm masking) rules on the the Events page by referring to Manipulação de alarmes falsos.
041046
Attack type
This parameter is mandatory when your select Attack type forIgnored Protection Type.
Select an attack type from the drop-down list box.
WAF can defend against XSS attacks, web shells, SQL injection attacks, malicious crawlers, remote file inclusions, local file inclusions, command injection attacks, and other attacks.
SQL injection
Rule Description
A brief description of the rule. This parameter is optional.
SQL injection attacks are not intercepted.
Advanced Settings
To ignore attacks of a specific field, specify the field in the Advanced Settings area. After you add the rule, WAF will stop blocking attack events of the specified field.
Select a target field from the first drop-down list box on the left. The following fields are supported: Params, Cookie, Header, Body, and Multipart.- If you select Params, Cookie, or Header, you can select All or Specified field to configure a subfield.
- If you select Body or Multipart, you can select All.
- If you select Cookie, the Domain Name and Path can be empty.
NOTA:If All is selected, WAF will not block all attack events of the selected field.
Params
All
- Clique em OK.
Verificação
Um alarme falso será excluído dentro de cerca de um minuto após a configuração de manuseio ser feita. Ele não será mais exibido na lista de detalhes do evento de ataque. Você pode atualizar o cache do navegador e solicitar a página para a qual a regra de lista branca de proteção global (anteriormente mascaramento de alarme falso) está configurada para verificar se a configuração tem efeito.
Outras Operações
Se um evento for tratado como um alarme falso, o hit de regra será adicionado à lista de regras de lista branca de proteção global (anteriormente mascaramento de alarme falso). Acesse a página Policies e alterne para a página Lista branca de Proteção Global (Anteriormente Mascaramento de Alarme Falso) para gerenciar a regra, incluindo consulta, desativação, exclusão e modificação da regra. Para mais detalhes, consulte Configuring a Global Protection Whitelist (Formerly False Alarm Masking) Rule.
