文档首页> > 常见问题> 操作类> Web应用防火墙如何对误报进行处理?

Web应用防火墙如何对误报进行处理?

分享
更新时间: 2019/08/01 09:22

当某种业务频繁误报时,可以在事件日志中,进行误报处理。通过设置URL和规则ID的忽略,以后该URL再次发生攻击时,设置的规则不再告警或者阻断。

  1. 登录管理控制台(https://console.huaweicloud.com/)。
  2. 单击管理控制台左上角的,选择区域或项目。
  3. 单击页面上方的“服务列表”,选择安全 > Web应用防火墙,在左侧导航树中选择“防护事件”,进入“防护事件”页面。
  4. 选择“查阅”页签,在域名下拉列表中选择待查看的防护域名或“所有域名”,可查看“昨天”“今天”“3天”“7天”“30天”或者自定义时间范围内的防护日志,如图1所示,参数说明如表1表2所示。

    图1 选择指定域名
    表1 防护事件参数说明

    参数名称

    参数说明

    事件类型

    发生攻击的类型。

    默认选择“全部”,查看所有攻击类型的日志信息,也可以根据需要,选择攻击类型查看攻击日志信息。

    防护动作

    防护配置中设置的防护动作,包含:拦截、仅记录、人机验证、放行和过滤。

    源IP

    Web访问者的公网IP地址(攻击者IP地址)。

    默认选择“全部”,查看所有的日志信息,也可以根据需要,选择或者自定义攻击者IP地址查看攻击日志信息。

    URL

    攻击的防护域名的URL。

    事件ID

    标识该防护事件的ID。

    表2 日志列表参数说明

    参数名称

    参数说明

    时间

    发生本次攻击的时间。

    源IP

    Web访问者的公网IP地址(攻击者IP地址)。

    防护域名

    被攻击的防护域名。

    URL

    攻击的防护域名的URL。

    恶意负载

    发生攻击的恶意负载位置。

    事件类型

    发生攻击的类型。

    防护动作

    防护配置中设置的防护动作,包含:拦截、仅记录、人机验证、放行和过滤。

    说明:

    如果需要查看目标域名攻击事件详情,可在事件列表中的“操作”列,单击“详情”

  5. 当攻击事件属于误报时,在该攻击事件所在行的“操作”列,可单击“误报处理”,添加误报屏蔽策略,如图2所示,参数说明如表3所示。

    说明:

    仅WAF预置的Web基础防护规则可添加误报进行屏蔽,用户自己添加的规则无法执行误报屏蔽操作,若需要屏蔽,可将添加的防护规则删除。

    图2 误报处理
    表3 误报处理参数说明

    参数

    参数说明

    取值样例

    防护对象

    发生攻击事件的域名,系统自动获取。

    --

    路径

    误报事件的URL路径,不包含域名。

    • 前缀匹配:以*结尾代表以该路径为前缀。例如,需要防护的路径为“/admin/test.php”“/adminabc”,则路径可以填写为“/admin*”
    • 精准匹配:需要防护的路径需要与此处填写的路径完全相等。例如,需要防护的路径为“/admin”,该规则必须填写为“/admin”
    说明:
    • 该路径不支持正则,仅支持前缀匹配和精准匹配的逻辑。
    • 路径里不能含有连续的多条斜线的配置,如“///admin”,WAF引擎会将“///”转为“/”

    /admin*

    规则ID

    自动读取的内置规则的ID。

    --

  6. 单击“确认添加”,处理误报,攻击事件详情列表中不再出现此误报。

    说明:
    • 用户可进入“域名列表”页面,在对应防护域名的所在行的“防护策略”列中,单击“配置防护策略”,在“误报屏蔽”栏中,单击“自定义误报屏蔽规则”,进入误报屏蔽列表,查看添加的误报屏蔽事件。
    • 设置误报屏蔽后,1分钟左右生效。您可以刷新浏览器缓存,重新访问设置了误报屏蔽的页面,验证是否配置成功。

如果您喜欢这篇文档,您还可以:

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

跳转到云社区