更新时间:2024-03-11 GMT+08:00

处理误报事件

当Web应用防火墙拦截或者记录的攻击事件为误报时,用户可通过Web应用防火墙对误报进行屏蔽。该任务指导用户通过Web应用防火墙处理误报事件、查看事件详情。

前提条件

  • 已获取管理控制台的账号和密码。
  • 事件详情列表中包含误报攻击事件。

操作步骤

  1. 登录管理控制台。
  2. 单击管理控制台左上角的,选择区域或项目。
  3. 单击页面上方的“服务列表”,选择安全 > Web应用防火墙,在左侧导航树中选择“防护事件”,进入“防护事件”页面。
  4. 选择“查询”页签,在域名下拉列表中选择待查看的防护域名或“所有域名”,可查看“昨天”“今天”“3天”“7天”“30天”或者自定义时间范围内的防护日志,参数说明如表1表2所示。

    在事件列表的右上角,单击“通过ID查询”,可以通过事件ID来查询防护事件。

    表1 防护事件参数说明

    参数名称

    参数说明

    事件类型

    发生攻击的类型。

    默认选择“全部”,查看所有攻击类型的日志信息,也可以根据需要,选择攻击类型查看攻击日志信息。

    源IP

    Web访问者的公网IP地址(攻击者IP地址)。

    默认选择“全部”,查看所有的日志信息,也可以根据需要,选择或者自定义攻击者IP地址查看攻击日志信息。

    表2 日志列表参数说明

    参数名称

    参数说明

    时间

    发生本次攻击的时间。

    源IP

    Web访问者的公网IP地址(攻击者IP地址)。

    防护域名

    被攻击的防护域名。

    URL

    攻击的防护域名的URL。

    恶意负载

    发生攻击的恶意负载位置。

    事件类型

    发生攻击的类型。

    防护动作

    防护配置中设置的防护动作。

    如果需要查看目标域名攻击事件详情,可在事件列表中的“操作”列,单击“详情”

  5. 当攻击事件属于误报时,在该攻击事件所在行的“操作”列,可单击“误报处理”,添加误报屏蔽策略,参数说明如表3所示。

    • 仅WAF预置的Web基础防护规则可添加误报进行屏蔽,用户自己添加的规则无法执行误报屏蔽操作,若需要屏蔽,可将添加的防护规则删除。
    • “误报处理”对话框右上方,单击“误报屏蔽”,可以跳转到误报屏蔽页面,您可以在误报屏蔽页面添加误报屏蔽规则。
    表3 误报处理参数说明

    参数

    参数说明

    取值样例

    防护对象

    发生攻击事件的域名,系统自动获取。

    --

    路径

    误报事件的URL路径,不包含域名。

    • 前缀匹配:以*结尾代表以该路径为前缀。例如,需要防护的路径为“/admin/test.php”“/adminabc”,则路径可以填写为“/admin*”
    • 精准匹配:需要防护的路径需要与此处填写的路径完全相等。例如,需要防护的路径为“/admin”,该规则必须填写为“/admin”
    说明:
    • 该路径不支持正则,仅支持前缀匹配和精准匹配的逻辑。
    • 路径里不能含有连续的多条斜线的配置,如“///admin”,WAF引擎会将“///”转为“/”

    /admin*

    事件ID

    自动读取的内置的规则ID。

    0000-0000-0000-14-a77516b2df8a3324461edb9140d8c45b

  6. 单击“确认添加”,处理误报,攻击事件详情列表中不再出现此误报。

    用户可以进入“域名列表”页面,在对应防护域名的所在行的“操作”列中,单击“配置防护策略”,在“误报屏蔽”栏中,单击“自定义误报屏蔽规则”,进入误报屏蔽列表,查看已添加的误报屏蔽事件。