更新时间:2024-10-31 GMT+08:00
分享

处理误报事件

对于“防护事件”页面中的攻击事件,如果排查后您确认该攻击事件为误报事件,即未发现该攻击事件相关的恶意链接、字符等,则您可以通过设置URL和规则ID的忽略(Web基础防护规则)、删除或关闭对应的防护规则(自定义防护规则),屏蔽该攻击事件。将攻击事件处理为误报事件后,“防护事件”页面中将不再出现该攻击事件。

根据内置的Web基础防护规则和网站反爬虫的特征反爬虫,以及自定义防护规则(CC攻击防护规则、精准访问防护规则、黑白名单规则、地理位置访问控制规则等)检测到符合规则的恶意攻击时,会按照规则中的防护动作(仅记录、拦截等)在“防护事件”页面中记录检测到的攻击事件。

前提条件

事件详情列表中包含误报攻击事件。

约束条件

  • 仅基于边缘安全内置的Web基础防护规则和网站反爬虫的特征反爬虫拦截或记录的攻击事情可以进行“误报处理”操作。
  • 基于自定义规则(CC攻击防护规则、精准访问防护规则、黑白名单规则、地理位置访问控制规则等)拦截或记录的攻击事件,无法执行“误报处理”操作,如果您确认该攻击事件为误报,可在自定义规则页面,将该攻击事件对应的防护规则删除或关闭。
  • 同一个攻击事件不能重复进行误报处理,即如果该攻击事件已进行了误报处理,则不能再对该攻击事件进行误报处理。

使用场景

业务正常请求被拦截。例如,您在华为云ECS服务器上部署了一个Web应用,将该Web应用对应的公网域名接入边缘安全并开启Web基础防护后,该域名的请求流量命中了Web基础防护规则被边缘安全误拦截,导致通过域名访问网站显示异常,但直接通过IP访问网站正常。

系统影响

拦截事件处理为误报后,“防护事件”页面中将不再出现该事件。

操作步骤

  1. 登录管理控制台
  2. 单击页面左上方的,选择CDN与智能边缘 > CDN与安全防护
  3. 在左侧导航栏选择安全防护 > 防护统计,进入“防护统计”“Web防护事件”页面。
  4. “防护事件列表”中,根据实际情况对防护事件进行处理。

    • 确认事件为误报,在目标防护事件所在行的“操作”列,单击事件处理 > 误报处理,确认信息后单击“前去处理”,调整防护规则,防护配置请参见配置防护策略
      图1 误报处理
      表1 误报处理参数说明

      参数

      参数说明

      取值样例

      防护方式

      • 全部域名:默认防护当前策略下绑定的所有域名。
      • 指定域名:选择策略绑定的防护域名或手动输入泛域名对应的单域名。

      指定域名

      防护域名

      “防护方式”选择“指定域名”时,需要配置此参数。

      需要手动输入当前策略下绑定的需要防护的泛域名对应的单域名,且需要输入完整的域名。

      单击“添加”,支持配置多个域名。

      www.example.com

      条件列表

      单击“添加”增加新的条件,一个防护规则至少包含一项条件,最多可添加30项条件,多个条件同时满足时,本条规则才生效。

      条件设置参数说明如下:
      • 字段
      • 子字段:当“字段”选择“Params”“Cookie”或者“Header”时,请根据实际使用需求配置子字段。
      • 逻辑:在“逻辑”下拉列表中选择需要的逻辑关系。
      • 内容:输入或者选择条件匹配的内容。

      “路径”包含“/product”

      不检测模块

      • “所有检测模块”:通过边缘安全配置的其他所有的规则都不会生效,边缘安全将放行该域名下的所有请求流量。
      • “Web基础防护模块”:选择此参数时,可根据选择的“不检测规则类型”,对某些规则ID或者事件类别进行忽略设置(例如,某URL不进行XSS的检查,可设置屏蔽规则,屏蔽XSS检查)。

      Web基础防护模块

      不检测规则类型

      “不检测模块”选择“Web基础防护模块”时,您可以选择以下方式进行配置:

      • 按类别:按攻击事件类别进行配置,如:XSS、SQL注入等。一个类别会包含一个或者多个规则id。
      • 所有内置规则:Web基础防护规则里开启的所有防护规则。

      按类别

      不检测规则类别

      “不检测规则类型”选择“按类别”时,展示此参数。

      SQL注入攻击

      规则描述

      可选参数,设置该规则的备注信息。

      -

      高级设置

      如果您只想忽略来源于某攻击事件下指定字段的攻击,可在“高级设置”里选择指定字段进行配置,配置完成后,边缘安全将不再拦截指定字段的攻击事件。

      在第一个下拉列表中选择目标字段。支持的字段有:Params、Cookie、Header、Body、Multipart。
      • 当选择“Params”“Cookie”或者“Header”字段时,可以配置“全部”或根据需求配置子字段。
      • 当选择“Body”“Multipart”字段时,可以配置“全部”
      • 当选择“Cookie”字段时,“防护域名”可以为空。
      说明:

      当字段配置为“全部”时,配置完成后,边缘安全将不再拦截该字段的所有攻击事件。

      Params

      全部

    • 将源IP添加到地址组。在目标防护事件所在行的“操作”列,单击事件处理 > 添加到地址组,添加成功后将根据该地址组所应用的防护策略进行拦截或放行。

      “添加方式”可选择已有地址组或者新建地址组。

      图2 添加至地址组
    • 将源IP添加至对应防护域名下的黑白名单策略。在目标防护事件所在行的“操作”列,单击事件处理 > 添加至黑白名单,添加成功后该策略将始终对添加的攻击源IP进行拦截或放行。
      图3 添加至黑白名单
      表2 添加至黑白名单参数说明

      参数

      参数说明

      添加方式

      • 选择已有规则
      • 新建规则

      规则名称

      • 添加方式选择“选择已有规则”时,在下拉框中选择规则名称 。
      • 添加方式选择“新建规则”时,自定义黑白名单规则的名字。

      地址组名称

      “IP/IP段或地址组”选择“地址组”时,需要配置此参数。

      在下拉列表框中选择已添加的地址组。您也可以单击“添加地址组”创建新的地址组,详细操作请参见添加黑白名单IP地址组

      防护动作

      • 拦截:IP地址或IP地址段设置的是黑名单且需要拦截,则选择“拦截”
      • 仅记录:需要观察的IP地址或IP地址段,可选择“仅记录”

生效条件

设置误报处理后,1分钟左右生效,攻击事件详情列表中将不再出现此误报。您可以刷新浏览器缓存,重新访问设置了全局白名单规则的页面,验证是否配置成功。

相关操作

拦截事件处理为误报后,该误报事件对应的规则将添加到全局白名单规则列表中,您可以在“防护策略”界面的全局白名单页面查看、关闭、删除或修改该规则。有关配置全局白名单规则的详细操作,请参见配置全局白名单(原误报屏蔽)规则

相关文档