处理误报事件
当Web应用防火墙拦截或者记录的攻击事件为误报时,用户可通过Web应用防火墙对误报进行屏蔽。该任务指导用户通过Web应用防火墙处理误报事件、查看事件详情。
前提条件
- 已获取管理控制台的账号和密码。
- 事件详情列表中包含误报攻击事件。
操作步骤
- 登录管理控制台。
- 单击管理控制台左上角的
,选择区域或项目。
- 单击页面上方的“服务列表”,选择 ,在左侧导航树中选择“防护事件”,进入“防护事件”页面。
- 选择“查询”页签,在域名下拉列表中选择待查看的防护域名或“所有域名”,可查看“昨天”、“今天”、“3天”“7天”、“30天”或者自定义时间范围内的防护日志,参数说明如表1和表2所示。
在事件列表的右上角,单击“通过ID查询”,可以通过事件ID来查询防护事件。
表1 防护事件参数说明 参数名称
参数说明
事件类型
发生攻击的类型。
默认选择“全部”,查看所有攻击类型的日志信息,也可以根据需要,选择攻击类型查看攻击日志信息。
源IP
Web访问者的公网IP地址(攻击者IP地址)。
默认选择“全部”,查看所有的日志信息,也可以根据需要,选择或者自定义攻击者IP地址查看攻击日志信息。
表2 日志列表参数说明 参数名称
参数说明
时间
发生本次攻击的时间。
源IP
Web访问者的公网IP地址(攻击者IP地址)。
防护域名
被攻击的防护域名。
URL
攻击的防护域名的URL。
恶意负载
发生攻击的恶意负载位置。
事件类型
发生攻击的类型。
防护动作
防护配置中设置的防护动作。
如果需要查看目标域名攻击事件详情,可在事件列表中的“操作”列,单击“详情”。
- 当攻击事件属于误报时,在该攻击事件所在行的“操作”列,可单击“误报处理”,添加误报屏蔽策略,参数说明如表3所示。
- 仅WAF预置的Web基础防护规则可添加误报进行屏蔽,用户自己添加的规则无法执行误报屏蔽操作,若需要屏蔽,可将添加的防护规则删除。
- 在“误报处理”对话框右上方,单击“误报屏蔽”,可以跳转到误报屏蔽页面,您可以在误报屏蔽页面添加误报屏蔽规则。
表3 误报处理参数说明 参数
参数说明
取值样例
防护对象
发生攻击事件的域名,系统自动获取。
--
路径
误报事件的URL路径,不包含域名。
- 前缀匹配:以*结尾代表以该路径为前缀。例如,需要防护的路径为“/admin/test.php”或 “/adminabc”,则路径可以填写为“/admin*”。
- 精准匹配:需要防护的路径需要与此处填写的路径完全相等。例如,需要防护的路径为“/admin”,该规则必须填写为“/admin”。
说明:- 该路径不支持正则,仅支持前缀匹配和精准匹配的逻辑。
- 路径里不能含有连续的多条斜线的配置,如“///admin”,WAF引擎会将“///”转为“/”。
/admin*
事件ID
自动读取的内置的规则ID。
0000-0000-0000-14-a77516b2df8a3324461edb9140d8c45b
- 单击“确认添加”,处理误报,攻击事件详情列表中不再出现此误报。
用户可以进入“域名列表”页面,在对应防护域名的所在行的“操作”列中,单击“配置防护策略”,在“误报屏蔽”栏中,单击“自定义误报屏蔽规则”,进入误报屏蔽列表,查看已添加的误报屏蔽事件。