Exibição de registros de eventos de proteção
Na página Events, você pode visualizar eventos gerados para ataques bloqueados e somente ataques registrados. Você pode exibir detalhes de eventos do WAF, incluindo a hora em que um evento ocorre, o endereço IP do servidor de origem, a localização geográfica do endereço IP do servidor de origem, a carga maliciosa e a regra de acerto.
- No console do WAF, você pode exibir os dados de eventos de todos os nomes de domínio protegidos nos últimos 30 dias. Você pode ativar o Serviço de Tanque de Logs (LTS) no WAF para armazenamento de log de longo prazo. No LTS, você pode visualizar os detalhes do registro de ataque e acesso. Para mais detalhes, veja Ativa LTS para registro em log do WAF.
- Se você alternar o modo de trabalho do WAF de um site para Suspended, o WAF só encaminhará todas as solicitações para o site sem inspeção. Ele também não registra nenhum evento de ataque.
- Se você tiver ativado projetos da empresa, poderá selecionar seu projeto da empresa na lista suspensa Enterprise Project e exibir logs de eventos de proteção no projeto.
Pré-requisitos
O site a ser protegido foi conectado ao WAF.
Procedimento
- Efetue login no console de gerenciamento.
- Clique em
no canto superior esquerdo do console de gerenciamento e selecione uma região ou projeto. - Clique em
no canto superior esquerdo e escolha Web Application Firewall em Security & Compliance. - No painel de navegação à esquerda, escolha Events.
- Clique na guia Search. Na lista suspensa de site ou instância, selecione um site para exibir os logs de eventos correspondentes. O tempo de consulta pode ser Yesterday, Today, Past 3 days, Past 7 days, Past 30 days, ou um intervalo de tempo configurado por você. Tabela 2 lista os parâmetros relacionados.
Figura 1 Exibindo eventos de proteção
Tabela 1 Parâmetros do evento Parâmetro
gerais
Tipo de evento
Tipo do ataque.
Por padrão, All é selecionado. Você pode exibir logs de todos os tipos de ataque ou selecionar um tipo de ataque para exibir os logs de ataque correspondentes.
Ação Protetora
As opções são Block, Log only, e Verification code.
Endereço IP de origem
Endereço IP público do visitante / invasor da web
Por padrão, All é selecionado. Você pode exibir logs de todos os endereços IP de origem de ataque, selecionar um endereço IP de origem de ataque ou inserir um endereço IP de origem de ataque para exibir os logs de ataque correspondentes.
URL
URL atacada.
ID do evento
ID do evento.
Tabela 2 Parâmetros na lista de eventos Parâmetro
Descrição
Valor de exemplo
Horário
Quando o ataque ocorreu
2021/02/04 13:20:04
Endereço IP de origem
Endereço IP público do visitante / invasor da web
Nenh
Geolocalização
Local de onde se origina o endereço IP do ataque
-
Nome de domínio
Nome de domínio atacado
www.example.com
URL
URL atacada
/admin
Carga maliciosa
O local ou parte do ataque que causa danos ou o número de vezes que a URL foi acessada.
NOTA:- Em um ataque CC, a carga maliciosa indica o número de vezes que a URL foi acessada.
- Para eventos de proteção de lista negra, a carga maliciosa é deixada em branco.
id=1 e 1='1
Tipo de evento
Tipo de ataque
Injeção de SQL
Regra de Hit
ID da regra de proteção da Web básica interna atingida pelo evento de ataque.
Esse campo é exibido se o evento de ataque corresponder a uma das regras básicas de proteção da Web. Por exemplo, injeção de SQL, XSS e ataques de inclusão de arquivos.
223633
Ação Protetora
Ações de proteção configuradas na regra. As opções são Block, Log only, e Verification code.
NOTA:Se uma solicitação de acesso corresponder a uma regra de proteção contra violação da Web, regra de prevenção contra vazamento de informações ou regra de mascaramento de dados, a ação de proteção será marcada como Mismatch.
Bloqueio
código de status
Código de status HTTP retornado na página de bloqueio.
418
Para exibir detalhes do evento, clique em Details na coluna Operation da lista de eventos.
