本文介绍云防火墙安全事件的告警规则。通过设置并开启告警规则,可及时触发告警,有助于您快速发现云防火墙安全事件问题。

告警规则列表

支持的告警规则如下所示。设置告警参数、设置白名单等相关操作,请参见 管理告警规则

云防火墙流入流量拦截告警

告警ID sls_app_audit_secure_at_cfw_in_block
告警名称 云防火墙流入流量拦截告警
版本号 1
类别 云平台、阿里云、安全事件、云防火墙安全事件
作用 监控云防火墙的流入流量拦截情况。当云防火墙对一个访问协议流入流量的拦截次数超过指定阈值时,触发告警。
执行频率 固定时间间隔:1分钟
查询范围 过去2分钟
参数配置 告警参数说明如下所示:
  • 告警名称:告警实例的名称,支持创建多个告警实例。
  • 严重度:告警严重度,包括严重、高、中、低、报告。
  • 流入流量拦截次数阈值:流入流量拦截次数的阈值,默认值为10次。如果2分钟内云防火墙对一个访问协议的流入流量的拦截次数超过该阈值,则触发告警。
  • 阿里云账号ID:需要监控的阿里云账号ID(支持正则)。
    • 多个阿里云账号ID之间可以使用竖线(|)分隔。您还可以使用正则表达式.*进行配置,例如156133.*,表示监控以156133开头的阿里云账号。
    • 默认值为.*,表示监控审计服务下配置的所有阿里云账号。
  • 访问协议名称:需要监控的访问协议名称(支持正则)。
    • 您还可以使用正则表达式.*进行配置。
    • 默认值.*表示监控目标阿里云账号下所有的访问协议。
外部配置
消除办法 检查云防火墙对流入流量的拦截事件,确认是否存在异常。
前提条件 确保已在日志审计服务中的审计配置 > 云产品接入 > 全局配置中打开云防火墙互联网访问日志的开关。

云防火墙流出流量拦截告警

告警ID sls_app_audit_secure_at_cfw_out_block
告警名称 云防火墙流出流量拦截告警
版本号 1
类别 云平台、阿里云、安全事件、云防火墙安全事件
作用 监控云防火墙的流出流量拦截情况。当云防火墙对一个访问协议流出流量的拦截次数超过指定阈值时,触发告警。
执行频率 固定时间间隔:1分钟
查询范围 过去2分钟
参数配置 告警参数说明如下所示:
  • 告警名称:告警实例的名称,支持创建多个告警实例。
  • 严重度:告警严重度,包括严重、高、中、低、报告。
  • 流出流量拦截次数阈值:流出流量拦截次数的阈值,默认值为10次。如果2分钟内云防火墙对一个访问协议的流出流量的拦截次数超过该阈值,则触发告警。
  • 阿里云账号ID:需要监控的阿里云账号ID(支持正则)。
    • 多个阿里云账号ID之间可以使用竖线(|)分隔。您还可以使用正则表达式.*进行配置,例如156133.*,表示监控以156133开头的阿里云账号。
    • 默认值为.*,表示监控审计服务下配置的所有阿里云账号。
  • 访问协议名称:需要监控的访问协议名称(支持正则)。
    • 您还可以使用正则表达式.*进行配置。
    • 默认值.*表示监控目标阿里云账号下所有的访问协议。
外部配置
消除办法 检查云防火墙对流出流量的拦截事件,确认是否存在异常。
前提条件 确保已在日志审计服务中的审计配置 > 云产品接入 > 全局配置中打开云防火墙互联网访问日志的开关。