WAF安全报表

Web应用防火墙(Web Application Firewall,简称WAF)安全报表向您展示WAF各个防护模块的防护记录。您可以使用安全报表查看WAF已防护域名的Web安全、Bot管理、访问控制/限流防护记录,进行业务安全分析。

前提条件

  • 已完成网站接入。具体操作,请参见使用教程

  • 已开启了WAF防护。

    域名接入WAF后,WAF会自动为该域名开启规则防护引擎CC安全防护模块,其他模块需要您手动开启。更多信息,请参见概述

查看安全报表

WAF实例根据所属地域的不同,在华东1(杭州)和新加坡分别设置了管控平面。其中,中国内地的WAF实例将使用华东1(杭州)的管控平面实现管控,非中国内地的WAF实例将使用新加坡的管控平面实现管控。

通过安全报表页面,您可以集中查看已接入防护全量资源的防护数据统计及日志信息。我们将基于您购买的不同地域WAF实例所对应的管控平面,向您进行图表和信息展示 。

  1. 登录Web应用防火墙控制台,在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地)。

  2. 在左侧导航栏,选择安全运营 > 安全报表

  3. 安全报表页面,通过页签选择要查看的报表类型(Web安全Bot管理访问控制/限流),查看对应报表。

    关于不同报表的具体说明,请分别参见以下内容:

Web安全报表说明

Web安全报表展示了Web入侵防护防敏感信息泄露账户安全主动防御模块的防护记录,单击页签可以切换报表。不同模块的报表说明如下:

  • Web入侵防护:展示WAF阻断的所有Web应用攻击,分为攻击统计分析图表(位于页面上半部分)和攻击事件记录(位于页面下半部分)。web应用攻击具体说明如下:

    • 攻击统计分析图表包括安全攻击类型分布攻击来源IP TOP5攻击来源区域 TOP5

      您可以在攻击统计分析图表上方(图示①区域),设置域名、查询时间,搜索某个域名在指定时间范围内的数据。

    • 攻击事件记录展示了Web攻击的详细信息,包括攻击IP所属区域攻击时间攻击类型攻击URL请求方法请求参数规则动作规则ID攻击概率

      您可以在攻击事件记录表格上方(图示②区域),使用以下字段筛选您关注的记录:防护模块、攻击类型、攻击IP、防护规则ID、防护动作。

      您可以对攻击事件记录执行以下操作:

      • 单击攻击事件记录操作列下的查看详情,可以查看攻击详情

      • 如果您确认某条攻击事件记录是正常业务请求,后续不希望WAF阻断具有相同特征的请求,可以单击攻击事件记录操作列下的误报屏蔽

        该操作将根据当前攻击事件记录的特征,自动生成一条Web入侵防护白名单规则,使WAF后续不对具有相同特征的请求执行对应的系统规则检测。在弹出的新建规则对话框,您只需为自动生成的规则设置规则名称,并单击保存

        说明

        极少数情况下,一个请求可能因同时触发多个防护规则被阻断,而通过误报屏蔽生成的白名单规则仅不检测其中一个防护规则。这时,您可以手动修改白名单规则中的特定规则ID参数,将不需要检测的其他规则ID添加进来。

        成功创建规则后,规则自动启用。您可以在Web入侵防护-白名单页面,查询、编辑、删除已有规则。相关操作,请参见设置Web入侵防护白名单

    关于Web入侵防护的设置方法,请参见设置规则防护引擎

  • 防敏感信息泄露:展示触发了防敏感信息泄露规则的Web请求记录,包括攻击IP所属地区攻击时间攻击URL请求方法请求参数规则动作规则ID攻击概率。您可以使用域名、查询时间搜索某个域名在查询时间范围内的数据。

    您可以单击某个记录操作列下的查看详情,查看攻击详情

    关于防敏感信息泄露的设置方法,请参见设置防敏感信息泄露

  • 账户安全:展示在账户安全中配置的防护接口上发生的风险事件记录,包括所属域名接口异常时间段已拦截量/总请求量告警原因。您可以使用域名、接口、查询时间搜索您关注的记录。

    关于账户安全的设置方法,请参见设置账户安全

  • 主动防御:展示触发了主动防御自动生成的防护规则的Web应用攻击记录,包括攻击IP所属地区攻击时间攻击URL请求方法规则动作规则ID攻击概率。您可以使用域名、查询时间搜索某个域名在查询时间范围内的数据。

    您可以单击某个记录操作列下的查看详情,查看攻击详情

    关于主动防御的设置方法,请参见设置主动防御

Bot管理报表说明

Bot管理报表展示了网站业务的爬虫请求监控数据和防爬规则的防护效果数据。您需要单击左上角防护域名列表,选择要查看的域名,通过指定的查询时间,搜索某个域名在查询时间范围内的防护效果数据。WAF对每个已配置的防爬场景化规则提供独立的防护效果报表。

  • Bot管理报表分为防护效果总览场景化防护效果两部分。防护效果总览展示了总请求量、Bot识别量和触发了不同防护规则的爬虫请求数量的趋势图。

  • Bot识别量:通过多维度的流量特征综合分析出的机器流量总和,可以辅助判断当前配置防爬规则的防护效果(如果实际拦截量远低于识别量,表示防护效果还可以进一步优化;如果实际拦截量接近识别量,表示防护效果良好)。

  • 观察模式命中量:设置为观察模式的防爬规则命中的请求量。如果将观察模式改成防护模式,这部分流量将被拦截或挑战(如滑块校验)。

  • 实际阻断量:命中防爬规则中处置动作为拦截模式的请求量。

访问控制/限流报表说明

访问控制/限流报表展示触发了CC安全防护扫描防护访问控制规则的Web请求记录。您可以使用域名、查询时间搜索某个域名在查询时间范围内的数据。对于您关注的数据,也可以一键查询相关的日志。

  • CC安全防护:展示CC防护趋势,包括QPS自定义CC告警自定义CC拦截CC系统拦截的数量趋势,和不同规则类型(包括自定义CC告警自定义CC拦截CC系统拦截)的匹配次数CC攻击

    单击某个规则类型匹配次数,将会跳转到日志服务页面,并自动输入与CC安全防护模块相关的日志查询语句,方便您进一步查询相关日志。更多信息,请参见日志查询CC安全防护日志

    关于CC安全防护的设置方法,请参见设置CC安全防护

    关于自定义CC防护规则的设置方法,请参见设置自定义防护策略

  • 扫描防护:展示扫描防护趋势,包括QPS目录遍历防护协同防御高频Web攻击扫描工具封禁的数量趋势,和不同规则类型(包括目录遍历防护协同防御高频Web攻击扫描工具封禁)的匹配次数扫描防护

    单击某个规则类型匹配次数,将会跳转到日志服务页面,并自动输入与扫描防护模块相关的日志查询语句,方便您进一步查询相关日志。更多信息,请参见日志查询扫描防护日志

    关于扫描防护的设置方法,请参见设置扫描防护

  • 访问控制展示访问控制趋势,包括QPSACL访问控制拦截ACL访问控制告警黑名单防护的数量趋势,和自定义规则的匹配次数记录。ACL访问控制

    单击某个自定义规则的规则ID,将会打开编辑规则对话框,支持查看和修改当前自定义规则的配置。更多信息,请参见自定义规则参数描述

    单击某个自定义规则的匹配次数,将会跳转到日志服务页面,并自动输入与访问控制模块相关的日志查询语句,方便您进一步查询相关日志。更多信息,请参见日志查询访问控制日志

    关于访问控制规则的设置方法,请参见设置自定义防护策略

    关于IP黑名单的设置方法,请参见设置IP黑名单