更新时间:2022-10-10 GMT+08:00
分享

处理误报事件

对于“防护事件”页面中的攻击事件,如果排查后您确认该攻击事件为误报事件,即未发现该攻击事件相关的恶意链接、字符等,则您可以通过设置URL和规则ID的忽略(Web基础防护规则)、删除或关闭对应的防护规则(自定义防护规则),屏蔽该攻击事件。将攻击事件处理为误报事件后,“防护事件”页面中将不再出现该攻击事件,您也不会收到该攻击事件的告警通知。

当WAF根据内置的Web基础防护规则和网站反爬虫的特征反爬虫,以及自定义防护规则(CC攻击防护规则、精准访问防护规则、黑白名单规则、地理位置访问控制规则等)检测到符合规则的恶意攻击时,会按照规则中的防护动作(仅记录、拦截等)在“防护事件”页面中记录检测到的攻击事件。

如果您已开通企业项目,您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通操作权限,才能处理该企业项目下的误报事件。

前提条件

事件详情列表中包含误报攻击事件。

约束条件

  • 仅基于WAF内置的Web基础防护规则和网站反爬虫的特征反爬虫拦截或记录的攻击事情可以进行“误报处理”操作。
  • 基于自定义规则(CC攻击防护规则、精准访问防护规则、黑白名单规则、地理位置访问控制规则等)拦截或记录的攻击事件,无法执行“误报处理”操作,如果您确认该攻击事件为误报,可在自定义规则页面,将该攻击事件对应的防护规则删除或关闭。
  • 同一个攻击事件不能重复进行误报处理,即如果该攻击事件已进行了误报处理,则不能再对该攻击事件进行误报处理。

使用场景

业务正常请求被WAF拦截。例如,您在华为云ECS服务器上部署了一个Web应用,将该Web应用对应的公网域名接入WAF并开启Web基础防护后,该域名的请求流量命中了Web基础防护规则被WAF误拦截,导致通过域名访问网站显示异常,但直接通过IP访问网站正常。

系统影响

拦截事件处理为误报后,“防护事件”页面中将不再出现该事件,您也不会收到该类事件的告警通知。

操作步骤(新版)

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域或项目。
  3. 单击页面左上方的,选择安全与合规 > Web应用防火墙 WAF
  4. 在左侧导航树中,选择“防护事件”,进入“防护事件”页面。
  5. 选择“查询”页签,在网站或实例下拉列表中选择待查看的防护网站,可查看“昨天”“今天”“3天”“7天”“30天”或者自定义时间范围内的防护日志。
  6. “防护事件列表”中,根据实际情况对防护事件进行处理。

    • 确认事件为误报,在目标防护事件所在行的“操作”列,单击事件处理 > 误报处理,添加误报处理策略。
      图1 误报处理
      表1 参数说明

      参数

      参数说明

      取值样例

      防护方式

      • “全部域名”:默认防护当前策略下绑定的所有域名。
      • “指定域名”:配置当前策略下需要防护的是泛域名对应的单域名。

      指定域名

      防护域名

      “防护方式”选择“指定域名”时,需要配置此参数。

      需要手动输入当前策略下绑定的需要防护的泛域名对应的单域名,且需要输入完整的域名。

      www.example.com

      条件列表

      单击“添加”增加新的条件,一个防护规则至少包含一项条件,最多可添加30项条件,多个条件同时满足时,本条规则才生效。

      条件设置参数说明如下:
      • 字段
      • 子字段:当字段选择“Params”“Cookie”或者“Header”时,请根据实际使用需求配置子字段。
        须知:

        子字段的长度不能超过2048字节,且只能由数字、字母、下划线和中划线组成。

      • 逻辑:在“逻辑”下拉列表中选择需要的逻辑关系。
      • 内容:输入或者选择条件匹配的内容。

      “路径”包含“/product”

      不检测模块

      • “所有检测模块”:通过WAF配置的其他所有的规则都不会生效,WAF将放行该域名下的所有请求流量。
      • “Web基础防护模块”:选择此参数时,可根据选择的“不检测规则类型”,对某些规则ID或者事件类别进行忽略设置(例如,某URL不进行XSS的检查,可设置屏蔽规则,屏蔽XSS检查)。

      Web基础防护模块

      不检测规则类型

      “不检测模块”选择“Web基础防护模块”时,您可以选择以下三种方式进行配置:

      • 按ID:按攻击事件的ID进行配置。
      • 按类别:按攻击事件类别进行配置,如:XSS、SQL注入等。一个类别会包含一个或者多个规则id。
      • 所有内置规则:Web基础防护规则里开启的所有防护规则。

      按类别

      不检测规则ID

      “不检测规则类型”选择“按ID”时,需要配置此参数。

      “防护事件”列表中事件类型为非自定义规则的攻击事件所对应的规则编号。单击该攻击事件所在行的“误报处理”获取ID编号。建议您直接参照处理误报事件在防护事件页面配置全局白名单(原误报屏蔽)规则。

      041046

      不检测规则类别

      “不检测规则类型”选择“按类别”时,需要配置此参数。

      在下拉框中选择事件类别。

      WAF支持的防护事件类别有:XSS攻击、网站木马、其他类型攻击、SQL注入攻击、恶意爬虫、远程文件包含、本地文件包含、命令注入攻击。

      SQL注入攻击

      规则描述

      可选参数,设置该规则的备注信息。

      不拦截SQL注入攻击

      高级设置

      如果您只想忽略来源于某攻击事件下指定字段的攻击,可在“高级设置”里选择指定字段进行配置,配置完成后,WAF将不再拦截指定字段的攻击事件。

      在左边第一个下拉列表中选择目标字段。支持的字段有:Params、Cookie、Header、Body、Multipart。
      • 当选择“Params”“Cookie”或者“Header”字段时,可以配置“全部”或根据需求配置子字段。
      • 当选择“Body”“Multipart”字段时,可以配置“全部”
      • 当选择“Cookie”字段时,“防护域名”“路径”可以为空。
      说明:

      当字段配置为“全部”时,配置完成后,WAF将不再拦截该字段的所有攻击事件。

      Params

      全部

    • 将源IP添加到地址组。在目标防护事件所在行的“操作”列,单击事件处理 > 添加到地址组,添加成功后将根据该地址组所应用的防护策略进行拦截或放行。

      “添加方式”可选择已有地址组或者新建地址组。

      图2 添加至地址组
    • 将源IP添加至对应防护域名下的黑白名单策略。在目标防护事件所在行的“操作”列,单击事件处理 > 添加至黑白名单,添加成功后该策略将始终对添加的攻击源IP进行拦截或放行。
      图3 添加至黑白名单
      表2 参数说明

      参数

      参数说明

      添加方式

      • 选择已有规则
      • 新建规则

      规则名称

      • 添加方式选择“选择已有规则”时,在下拉框中选择规则名称 。
      • 添加方式选择“新建规则”时,自定义黑白名单规则的名字。

      IP/IP段或地址组

      添加方式选择“新建规则”时,需要配置此参数。

      支持添加黑白名单规则的方式,“IP/IP段”“地址组”

      地址组名称

      “IP/IP段或地址组”选择“地址组”时,需要配置此参数。

      在下拉列表框中选择已添加的地址组。您也可以单击“添加地址组”创建新的地址组,详细操作请参见添加黑白名单IP地址组

      防护动作

      • 拦截:IP地址或IP地址段设置的是黑名单且需要拦截,则选择“拦截”
      • 放行:IP地址或IP地址段设置的是白名单,则选择“放行”
      • 仅记录:需要观察的IP地址或IP地址段,可选择“仅记录”

      攻击惩罚

      “防护动作”设置为“拦截”时,您可以设置攻击惩罚标准。设置攻击惩罚后,当访问者的IP、Cookie或Params恶意请求被拦截时,WAF将根据惩罚标准设置的拦截时长来封禁访问者。

      规则描述

      可选参数,设置该规则的备注信息。

操作步骤(旧版)

  1. 登录管理控制台
  2. 进入防护事件页面入口,如图4所示。

    图4 防护事件页面入口

  3. 选择“查询”页签,在网站或实例下拉列表中选择待查看的防护网站或实例,可查看“昨天”“今天”“3天”“7天”“30天”或者自定义时间范围内的防护日志,如图5所示,参数说明如表3表4所示。

    图5 查看防护事件
    表3 防护事件参数说明

    参数名称

    参数说明

    事件类型

    发生攻击的类型。

    默认选择“全部”,查看所有攻击类型的日志信息,也可以根据需要,选择攻击类型查看攻击日志信息。

    防护动作

    防护配置中设置的防护动作,包含:拦截、仅记录、人机验证等。

    源IP

    Web访问者的公网IP地址(攻击者IP地址)。

    默认选择“全部”,查看所有的日志信息,也可以根据需要,选择或者自定义攻击者IP地址查看攻击日志信息。

    URL

    攻击的防护域名的URL。

    事件ID

    标识该防护事件的ID。

    表4 防护事件字段参数说明

    参数

    说明

    示例

    时间

    本次攻击发生的时间。

    2021/02/04 13:20:04

    源IP

    Web访问者的公网IP地址(攻击者IP地址)。

    -

    地理位置

    攻击者来源IP所在地区。

    -

    防护域名

    被攻击的防护域名。

    www.example.com

    URL

    攻击的防护域名的URL。

    /admin

    恶意负载

    本次攻击对防护域名造成伤害的位置、组成部分或访问URL的次数。

    说明:
    • 对于CC攻击事件,恶意负载表示当时访问URL的次数。
    • 对于黑名单防护事件,恶意负载为空。

    id=1 and 1='1

    事件类型

    发生攻击的类型。

    SQL注入攻击

    命中规则

    本次攻击事件命中的内置Web基础防护规则ID。

    当攻击为Web基础防护所防护的攻击事件时显示该字段。例如,SQL注入攻击、XSS攻击、文件包含等。

    223633

    防护动作

    防护配置中设置的防护动作,包含:拦截、仅记录、人机验证等。

    说明:

    配置网页防篡改、防敏感信息泄露、隐私屏蔽防护规则后,如果访问请求命中防护规则,则防护动作显示为“不匹配”

    拦截

    状态码

    拦截页面返回的HTTP状态码。

    418

    如果需要查看目标域名攻击事件详情,可在事件列表中的“操作”列,单击“详情”

  4. 当攻击事件属于误报时,在该攻击事件所在行的“操作”列,单击“误报处理”,添加误报处理策略,如图6所示,参数说明如表5所示。

    图6 误报处理

    表5 参数说明

    参数

    参数说明

    取值样例

    防护方式

    • “全部域名”:默认防护当前策略下绑定的所有域名。
    • “指定域名”:配置当前策略下需要防护的是泛域名对应的单域名。

    指定域名

    防护域名

    “防护方式”选择“指定域名”时,需要配置此参数。

    需要手动输入当前策略下绑定的需要防护的泛域名对应的单域名,且需要输入完整的域名。

    www.example.com

    条件列表

    单击“添加”增加新的条件,一个防护规则至少包含一项条件,最多可添加30项条件,多个条件同时满足时,本条规则才生效。

    条件设置参数说明如下:
    • 字段
    • 子字段:当字段选择“Params”“Cookie”或者“Header”时,请根据实际使用需求配置子字段。
      须知:

      子字段的长度不能超过2048字节,且只能由数字、字母、下划线和中划线组成。

    • 逻辑:在“逻辑”下拉列表中选择需要的逻辑关系。
    • 内容:输入或者选择条件匹配的内容。

    “路径”包含“/product”

    不检测模块

    • “所有检测模块”:通过WAF配置的其他所有的规则都不会生效,WAF将放行该域名下的所有请求流量。
    • “Web基础防护模块”:选择此参数时,可根据选择的“不检测规则类型”,对某些规则ID或者事件类别进行忽略设置(例如,某URL不进行XSS的检查,可设置屏蔽规则,屏蔽XSS检查)。

    Web基础防护模块

    不检测规则类型

    “不检测模块”选择“Web基础防护模块”时,您可以选择以下三种方式进行配置:

    • 按ID:按攻击事件的ID进行配置。
    • 按类别:按攻击事件类别进行配置,如:XSS、SQL注入等。一个类别会包含一个或者多个规则id。
    • 所有内置规则:Web基础防护规则里开启的所有防护规则。

    按类别

    不检测规则ID

    “不检测规则类型”选择“按ID”时,需要配置此参数。

    “防护事件”列表中事件类型为非自定义规则的攻击事件所对应的规则编号。单击该攻击事件所在行的“误报处理”获取ID编号。建议您直接参照处理误报事件在防护事件页面配置全局白名单(原误报屏蔽)规则。

    041046

    不检测规则类别

    “不检测规则类型”选择“按类别”时,需要配置此参数。

    在下拉框中选择事件类别。

    WAF支持的防护事件类别有:XSS攻击、网站木马、其他类型攻击、SQL注入攻击、恶意爬虫、远程文件包含、本地文件包含、命令注入攻击。

    SQL注入攻击

    规则描述

    可选参数,设置该规则的备注信息。

    不拦截SQL注入攻击

    高级设置

    如果您只想忽略来源于某攻击事件下指定字段的攻击,可在“高级设置”里选择指定字段进行配置,配置完成后,WAF将不再拦截指定字段的攻击事件。

    在左边第一个下拉列表中选择目标字段。支持的字段有:Params、Cookie、Header、Body、Multipart。
    • 当选择“Params”“Cookie”或者“Header”字段时,可以配置“全部”或根据需求配置子字段。
    • 当选择“Body”“Multipart”字段时,可以配置“全部”
    • 当选择“Cookie”字段时,“防护域名”“路径”可以为空。
    说明:

    当字段配置为“全部”时,配置完成后,WAF将不再拦截该字段的所有攻击事件。

    Params

    全部

  5. 单击“确认添加”,添加该误报规则。

生效条件

设置误报处理后,1分钟左右生效,攻击事件详情列表中将不再出现此误报。您可以刷新浏览器缓存,重新访问设置了全局白名单(原误报屏蔽)规则的页面,验证是否配置成功。

相关操作

拦截事件处理为误报后,该误报事件对应的规则将添加到全局白名单(原误报屏蔽)规则列表中,您可以在“防护策略”界面的全局白名单(原误报屏蔽)页面查看、关闭、删除或修改该规则。有关配置全局白名单(原误报屏蔽)规则的详细操作,请参见配置全局白名单(原误报屏蔽)规则

分享:

    相关文档

    相关产品