处理误报事件

前提条件

• 已获取管理控制台的账号和密码。
• 事件详情列表中包含误报攻击事件。

操作步骤

1. 登录管理控制台。
2. 单击管理控制台左上角的，选择区域或项目。
3. 单击页面上方的“服务列表”，选择“安全 > Web应用防火墙”，在左侧导航树中选择“防护事件”，进入“防护事件”页面。
4. 选择“查询”页签，在域名下拉列表中选择待查看的防护域名或“所有域名”，可查看“昨天”、“今天”、“3天”“7天”、“30天”或者自定义时间范围内的防护日志，参数说明如表1和表2所示。

   在事件列表的右上角，单击“通过ID查询”，可以通过事件ID来查询防护事件。

   表1 防护事件参数说明

   参数名称	参数说明
   事件类型	发生攻击的类型。 默认选择“全部”，查看所有攻击类型的日志信息，也可以根据需要，选择攻击类型查看攻击日志信息。
   源IP	Web访问者的公网IP地址（攻击者IP地址）。 默认选择“全部”，查看所有的日志信息，也可以根据需要，选择或者自定义攻击者IP地址查看攻击日志信息。

   表2 日志列表参数说明

   参数名称	参数说明
   时间	发生本次攻击的时间。
   源IP	Web访问者的公网IP地址（攻击者IP地址）。
   防护域名	被攻击的防护域名。
   URL	攻击的防护域名的URL。
   恶意负载	发生攻击的恶意负载位置。
   事件类型	发生攻击的类型。
   防护动作	防护配置中设置的防护动作。

   

   如果需要查看目标域名攻击事件详情，可在事件列表中的“操作”列，单击“详情”。

5. 当攻击事件属于误报时，在该攻击事件所在行的“操作”列，可单击“误报处理”，添加误报屏蔽策略，参数说明如表3所示。
   

   • 仅WAF预置的Web基础防护规则可添加误报进行屏蔽，用户自己添加的规则无法执行误报屏蔽操作，若需要屏蔽，可将添加的防护规则删除。
   • 在“误报处理”对话框右上方，单击“误报屏蔽”，可以跳转到误报屏蔽页面，您可以在误报屏蔽页面添加误报屏蔽规则。

   表3 误报处理参数说明

   参数	参数说明	取值样例
   防护对象	发生攻击事件的域名，系统自动获取。	--
   路径	误报事件的URL路径，不包含域名。 前缀匹配：以*结尾代表以该路径为前缀。例如，需要防护的路径为“/admin/test.php”或 “/adminabc”，则路径可以填写为“/admin*”。 精准匹配：需要防护的路径需要与此处填写的路径完全相等。例如，需要防护的路径为“/admin”，该规则必须填写为“/admin”。 说明： 该路径不支持正则，仅支持前缀匹配和精准匹配的逻辑。 路径里不能含有连续的多条斜线的配置，如“///admin”，WAF引擎会将“///”转为“/”。	/admin*
   事件ID	自动读取的内置的规则ID。	0000-0000-0000-14-a77516b2df8a3324461edb9140d8c45b

6. 单击“确认添加”，处理误报，攻击事件详情列表中不再出现此误报。
   

   用户可以进入“域名列表”页面，在对应防护域名的所在行的“操作”列中，单击“配置防护策略”，在“误报屏蔽”栏中，单击“自定义误报屏蔽规则”，进入误报屏蔽列表，查看已添加的误报屏蔽事件。