AI 助理
文档备案控制台
官方文档
输入文档关键字查找
首页

API安全策略配置

更新时间:
复制为 MD 格式
产品详情
我的收藏

本文介绍了API安全的内置策略及自定义策略配置。在内置检测机制的基础上,API安全支持自定义符合业务特征的检测策略。您可以进行风险检测配置、安全事件配置敏感数据配置、鉴权凭据配置、业务用途配置、白名单配置、生命周期管理、日志订阅和生效对象配置,使得识别出的API数据更符合您的实际业务情况,进一步提高API安全检测的准确率与召回率,帮助您结合业务情况进行相应处置,降低API业务资产遭受攻击带来的损失。

一、风险检测配置

风险是指接口因开发缺陷,或者管理、配置缺陷而导致的安全风险或安全隐患。安全风险与安全事件的区别是,安全风险并不一定代表发生了攻击,而安全事件则代表被攻击产生的告警。

内置策略配置

在策略配置的风险检测配置页签中,可查看已配置的风险策略。内置策略默认全部开启,支持修改其开启状态及调整风险等级。用户可根据业务需求,将内置策略的风险等级设置为“低危”、“中危”或“高危”。

自定义策略配置

除了内置策略外,风险检测配置允许您自定义配置最多20条自定义策略,自定义策略配置规则如下。

  1. API安全页面,选择策略配置 > 风险检测配置页签。

  2. 在左栏自定义策略处单击新增,在弹出的抽屉页进行相关配置,具体的配置项如下表所示。

    配置项名称

    说明

    风险状态

    设置策略状态,默认为开。

    风险名称

    设置自定义风险的名称。支持中文和大小写英文字母,可包含数字、半角句号(.)、下划线(_)和短划线(-)。

    处置建议

    根据您的业务情况设置自定义风险策略的处理建议。

    风险等级

    支持低危、中危、高危三个风险等级设置。

    检测设置

    设置您的自定义风险策略检测条件,最多支持10个条件。

    关于检测设置的详细配置,对应逻辑符和匹配内容示例如下表所示。

    说明

    • 匹配内容可以输入最多50个,并按回车键确认。

    • 风险检测配置的匹配内容大小写敏感。

    详细配置

    匹配字段

    子条件(需要输入/选择)

    逻辑符

    匹配内容说明

    域名

    不支持

    包含多值之一

    不包含任一值

    等于多值之一

    不等于任一值

    可以输入多个,最多50个,按回车键确认。

    API

    不支持

    包含多值之一

    不包含任一值

    等于多值之一

    不等于任一值

    可以输入多个,最多50个,按回车键确认。

    请求方法

    不支持

    等于多值之一

    不等于任一值

    多选,可选GET、POST、DELETE、PUT等请求方法。

    User-Agent

    不支持

    包含多值之一

    不包含任一值

    等于多值之一

    不等于任一值

    可以输入多个,最多50个,按回车键确认。

    Referer

    不支持

    包含多值之一

    不包含任一值

    等于多值之一

    不等于任一值

    可以输入多个,最多50个,按回车键确认。

    通信协议

    不支持

    等于

    列表,可选HTTP/HTTPS

    请求Content-Type

    不支持

    包含多值之一

    不包含任一值

    可以输入多个,最多50个,按回车键确认。

    请求长度

    不支持

    等于

    值小于

    值大于

    限制为0-8192的整数

    响应Content-Type

    不支持

    包含多值之一

    不包含任一值

    可以输入多个,最多50个,按回车键确认。

    响应长度

    不支持

    等于

    值小于

    值大于

    限制为0-8192的整数

    响应状态码

    不支持

    等于多值之一

    不等于任一值

    可以输入多个,最多50个,按回车键确认。

    请求Header

    自定义Header

    存在

    不存在

    长度等于

    长度小于

    长度大于

    包含多值之一

    不包含任一值

    Cookie参数

    自定义Cookie-Exact

    存在

    不存在

    长度等于

    长度小于

    长度大于

    包含多值之一

    不包含任一值

    -

    GET参数

    自定义Parameter

    存在

    不存在

    长度等于

    长度小于

    长度大于

    包含多值之一

    不包含任一值

    -

    POST参数

    自定义Post-Arg

    存在

    不存在

    长度等于

    长度小于

    长度大于

    包含多值之一

    不包含任一值

    -

    响应Header

    响应Header

    存在

    不存在

    长度等于

    长度小于

    长度大于

    包含多值之一

    不包含任一值

    -

    响应参数

    响应参数

    存在

    不存在

    长度等于

    长度小于

    长度大于

    包含多值之一

    不包含任一值

    -

    业务用途

    不支持

    包含多值之一

    不包含任一值

    业务用途列表,支持多选。

    说明

    关于业务用途类型的更多信息,请参见API安全如何划分API业务用途

    服务对象

    不支持

    包含多值之一

    不包含任一值

    多选,服务对象列表

    说明

    关于服务对象类型的更多信息,请参见API安全如何区分接口的服务对象

    鉴权

    不支持

    等于

    是/否

    请求敏感数据类型

    不支持

    包含多值之一

    不包含任一值

    种类数大于

    勾选敏感数据类型列表,支持多选;种类数大于条件下为0-8192的整数。

    请求敏感数据等级

    不支持

    包含多值之一

    不包含任一值

    S1-S4,支持多选。

    响应敏感数据类型

    不支持

    包含多值之一

    不包含任一值

    种类数大于

    勾选敏感数据类型列表,支持多选;种类数大于条件下为0-8192的整数

    响应敏感数据等级

    不支持

    包含多值之一

    不包含任一值

    S1-S4,支持多选。

    响应敏感数据

    勾选响应敏感数据列表,支持多选

    数量大于

    限制为0-8192的整数。

    访问源地理位置

    不支持

    等于

    中国内地/非中国内地

    IP

    不支持

    属于

    不属于

    请填入IPIP/掩码(例如:1.1.X.X/24)。暂不支持正则,最多填写50个,以英文逗号分隔,或按回车键确认。

    账号(仅限安全事件)

    不支持

    等于多值之一

    不等于任一值

    可以输入多个,最多50个,按回车键确认。

  3. 当您完成自定义配置后,单击确定按钮保存该配置。

二、安全事件配置

安全事件是指接口发生了异常调用或攻击行为,比如登录接口被爆破攻击、短信发送接口被人滥用进行短信轰炸等。内置事件检测以IP与账号为检测维度。

内置策略配置

安全事件的内置策略在触发告警后,如果还在持续攻击,不会产生新一条告警,但原来那条告警的攻击时间会随之更新,事件告警等级也会随着攻击量等情况发生变化。

在策略配置的安全事件配置页签,可以查看已经配置的安全事件策略,其中,内置策略默认全部开启,支持修改其开启状态及调整风险等级。

自定义策略配置

除了内置策略外,安全事件配置允许您自定义配置最多10条自定义策略,自定义策略配置规则如下。

  1. API安全页面,选择策略配置安全事件配置页签。

  2. 在左栏自定义策略处单击新增,在弹出的抽屉页进行相关配置,具体的配置项如下表所示。

    配置项名称

    说明

    事件状态

    设置策略状态,默认为开启。

    事件名称

    设置自定义事件的名称。支持中文和大小写英文字母,可包含数字、半角句号(.)、下划线(_)和短划线(-)。

    处置建议

    根据您的业务情况设置自定义安全事件的处理建议。

    事件等级

    支持低危、中危、高危三个风险等级的设置。

    匹配条件

    设置您的自定义安全事件策略检测条件,最多支持10个条件。

    说明

    如果定义了多个条件,则只有当多个条件同时满足时,才算命中规则。

    频率控制

    设置统计对象IP或账号;统计周期以分钟为粒度,最大可设置为15分钟;请求量仅支持设置为正整数。

    数据统计

    设置您的自定义安全事件策略统计条件,最多支持10个条件。

    关于匹配条件的详细配置,对应逻辑符和匹配内容示例及详细信息,请参考风险检测部分详细配置

    说明

    • 匹配内容最多输入50个,并按回车键确认。

    • 安全事件配置的匹配内容大小写敏感。

    关于数据统计的详细配置,对应逻辑符和匹配内容示例如下表所示。

    详细配置

    匹配字段

    子条件(需要输入/选择)

    逻辑符

    匹配内容说明

    状态码统计

    状态码(100-600的整数)

    值大于

    限制为0-8192的整数。

    请求Header

    自定义Header

    去重小于

    去重等于

    去重大于

    限制为0-8192的整数。

    Cookie参数

    自定义Cookie-Exact

    去重小于

    去重等于

    去重大于

    限制为0-8192的整数。

    GET参数

    自定义Parameter

    去重小于

    去重等于

    去重大于

    限制为0-8192的整数。

    POST参数

    自定义Post-Arg

    去重小于

    去重等于

    去重大于

    限制为0-8192的整数。

    响应敏感数据类型

    勾选响应敏感数据类型,支持多选

    去重大于

    限制为0-8192的整数。

    响应敏感数据等级

    勾选响应敏感数据等级,支持多选

    去重大于

    限制为0-8192的整数。

    来源IP数量统计

    设置来源IP数量统计值

    值大于

    限制为0-8192的整数。

    说明

    API安全的响应敏感数据信息默认采用采样分析,如需在安全事件的自定义策略中配置响应敏感数据类型以及响应敏感数据等级的匹配检测,为了保证防护对象下的响应敏感数据信息被全部记录分析,您需要在策略配置 > 生效对象配置中开启对应的防护对象的溯源审计开关。

  3. 当您完成自定义配置时单击确定按钮保存该配置。

三、敏感数据配置

在策略配置的敏感数据配置页签,可以查看与配置如下内容。

  • 敏感数据类型配置:系统已内置身份证、手机号等通用敏感数据类型的识别逻辑,同时支持用户根据业务需求自定义敏感数据类型。

  • API实时脱敏:基于AI基线引擎的智能防护功能,能够自主学习API结构并实时识别敏感数据,实现细粒度的自动脱敏。该功能无需人工预定义字段,可灵活适配复杂业务场景,满足数据跨境等合规需求,实现全自动实时防护。

敏感数据类型配置

敏感数据配置页签,单击左侧列表的敏感数据类型配置,支持查看与配置如下内容:

内置敏感数据类型

系统内置的策略,默认全部开启,不支持编辑、修改或删除,仅支持更改开启和关闭状态。

自定义敏感数据类型

若业务存在自己定义的敏感数据,可以配置自定义敏感数据检测规则。敏感数据配置允许配置最多20条自定义策略。

单击新建策略,在弹出的抽屉页进行相关配置,目前支持简易模式专家模式两种模式的自定义策略配置方法。

配置项

说明

名称

为该规则设置一个名称。

模式

设置自定义策略的检测模式。

  • 简易模式:提供简易的配置界面,便于操作。

    选择简易模式后,您需要设置检测的字符长度

    • 字符:支持检测数字、大写字母、小写字母,可多选。

    • 长度:支持检测的长度范围为6~64,且起始值和结束值需为整数。

  • 专家模式:填写检测的正则表达式。为避免误识别,请确保正则匹配的命中字符不少于6位。

等级

设置检测的敏感数据的等级。可选项:S1、S2、S3、S4。

说明

关于敏感数据类型的详细信息,请参见API安全支持检测哪些敏感数据

脱敏展示

在敏感数据配置页签中提供了脱敏展示开关,默认为关闭状态,不进行数据脱敏展示。

脱敏展示开启后,会对以下信息进行脱敏处理:

  • 风险详情API详情中,请求样例和响应样例的全字段默认将敏感数据替换为占位符{{Phone}}

  • 安全事件的事件详情中,包含敏感数据的请求数据样例和响应数据样例被脱敏展示为{}

  • 样例信息中Request Cookie脱敏为{{Cookie}}、包含TokenRequest Header脱敏为{{XXXToken}}、Response SetCookie脱敏为{{SetCookie}}

脱敏展示功能的生效范围如下:

  • 风险详情API详情:仅对新增的请求数据样例和响应数据样例信息生效。

  • 事件详情:对新增和存量的请求数据样例和响应数据样例信息都生效。

API实时脱敏

敏感数据配置页签,单击左侧列表的API实时脱敏,然后单击新建模板配置脱敏模板。

  • 模板名称:设置一个便于识别的模板名称。

  • 脱敏规则配置:单击新建规则配置具体的脱敏规则,支持配置多个规则。

    • 规则名称:设置一个便于识别的规则名称。

    • 敏感数据类型:勾选需脱敏的数据类型,仅支持系统内置的敏感数据类型。

    • 匹配条件:设定触发规则的 HTTP 条件,支持配置 0 到 5 个条件。若未配置任何条件,则规则将在所有 HTTP 请求下触发。

      说明

      若规则包含多个条件,则请求必须满足所有条件(逻辑与关系),才能命中该规则。关于匹配字段和逻辑符的详细说明,请参见匹配条件说明

    • 数据处理方式:支持以下两种处理方式。

      • 脱敏:对数据进行脱敏,需继续设置具体脱敏动作,支持置空掩码

      • 观察:不进行脱敏,仅记录日志。

  • 生效对象:指定规则适用的 API 资产,仅支持敏感等级为高、中、低的资产。每个生效对象仅允许配置一个脱敏模板。

模板新建完成后,需等待 10 至 20 分钟,脱敏规则方可对新接入的生效对象生效。如需查看 API 脱敏日志,请前往安全报表页面。

针对已创建的模板,支持执行以下管理操作:

  • 配置模板与规则开关,以启用或禁用其生效状态。

  • 为模板新增规则。

  • 编辑模板与规则的信息。

  • 删除模板与规则。

四、鉴权凭据配置

如果您在业务中使用了非常规字段作为您的鉴权字段,或者纯数字等特征较弱的鉴权字段名称,推荐您配置自定义鉴权凭据。在系统内置的鉴权凭据识别的基础上,您可以指定参数名,用于辅助内置模型准确识别判断请求中是否携带鉴权凭据,从而提升API安全,以及提高未鉴权风险识别的准确率。

  1. API安全页面,选择策略配置鉴权凭据配置页签。

  2. 单击新建策略,完成如下配置后,单击确定

    配置项

    说明

    名称

    为该策略设置一个名称。

    支持中文和大小写英文字母,可包含数字、半角句号(.)、下划线(_)和短划线(-)。

    匹配条件

    每个条件由匹配字段逻辑符匹配内容组成。最多支持10个条件。在配置时请添加至少一个请求Header、请求Cookie、请求Query、请求Body的匹配条件。

    说明

    如果定义了多个条件,则只有当多个条件同时满足时,才算命中规则。

    关于匹配条件的详细配置,对应逻辑符和匹配内容示例如下表所示。

    说明

    • 匹配内容可以输入最多50个,并按回车键确认。

    • 鉴权凭据配置的匹配内容大小写敏感。

    详细配置

    匹配字段

    子条件(需要输入/选择)

    逻辑符

    匹配内容说明

    域名

    不支持

    包含多值之一

    不包含任一值

    等于多值之一

    不等于任一值

    可以输入多个,最多50个,按回车键确认。

    API

    不支持

    包含多值之一

    不包含任一值

    等于多值之一

    不等于任一值

    可以输入多个,最多50个,按回车键确认。

    请求Header

    自定义Header

    存在

    长度等于

    长度小于

    长度大于

    请求Cookie

    自定义Cookie-Exact

    存在

    长度等于

    长度小于

    长度大于

    请求Query

    自定义Parameter

    存在

    长度等于

    长度小于

    长度大于

    请求Body

    自定义Post-Arg

    存在

    长度等于

    长度小于

    长度大于

五、业务用途配置

API安全提供如下两种业务用途策略配置:

内置策略配置

支持多个场景的业务用途策略,包括数据更新、数据分享、手机短信发送、信息发送等。内置策略默认全部开启,不支持修改或删除,可根据业务需要,开启或关闭对应策略。

自定义策略配置

如果内置策略不满足业务需求,您可以自定义URL特征、参数名特征,进一步提升API安全在具体业务场景中的检测准确率。

  1. API安全页面,选择策略配置业务用途配置页签。

  2. 单击自定义策略进入自定义策略管理,单击新建策略,完成如下配置后,单击确定保存您的配置。

    3. 说明

    • 匹配内容可以输入最多50个,并按回车键确认。

    • 业务用途配置的匹配内容大小写敏感。

    详细配置

    匹配字段

    逻辑符

    匹配内容

    域名

    包含多值之一

    不包含任一值

    等于多值之一

    不等于任一值

    可以输入多个,最多50个,按回车键确认。

    API

    包含多值之一

    不包含任一值

    等于多值之一

    不等于任一值

    可以输入多个,最多50个,按回车键确认。

    请求Header参数名

    等于多值之一

    包含多值之一

    可以输入多个,最多50个,按回车键确认。

    请求Cookie参数名

    等于多值之一

    包含多值之一

    可以输入多个,最多50个,按回车键确认。

    请求Query参数名

    等于多值之一

    包含多值之一

    可以输入多个,最多50个,按回车键确认。

    请求Body参数名

    等于多值之一

    包含多值之一

    可以输入多个,最多50个,按回车键确认。

    请求敏感数据类型

    等于多值之一

    包含多值之一

    勾选请求敏感数据类型列表,支持多选。

    响应敏感数据类型

    等于多值之一

    包含多值之一

    勾选响应敏感数据类型列表,支持多选。

    响应参数名

    等于多值之一

    包含多值之一

    可以输入多个,最多50个,按回车键确认。

六、白名单配置

API安全的白名单配置功能支持您自定义配置您的安全事件及风险检测白名单,帮助您结合业务实际情况过滤不需要关注的告警噪音,例如来自办公网络出口的IP地址所产生的告警,提升业务运营效率。

  1. API安全页面,选择策略配置白名单配置页签。

  2. 单击新建策略,输入您想新建的策略名称,并选择希望配置白名单的功能类型,目前支持配置风险检测安全事件白名单。

  3. 根据您选择希望配置白名单的功能类型,完成匹配条件设置。

    说明

    • 匹配条件最多支持10个。

    • 白名单配置的匹配条件大小写敏感。

    风险检测白名单策略匹配条件

    匹配字段

    逻辑符

    匹配内容

    域名

    包含多值之一

    不包含任一值

    等于多值之一

    不等于任一值

    可以输入多个,最多50个,按回车键确认。

    API

    包含多值之一

    不包含任一值

    等于多值之一

    不等于任一值

    可以输入多个,最多50个,按回车键确认。

    安全事件白名单策略匹配条件

    匹配字段

    逻辑符

    匹配内容

    域名

    包含多值之一

    不包含任一值

    等于多值之一

    不等于任一值

    可以输入多个,最多50个,按回车键确认。

    API

    包含多值之一

    不包含任一值

    等于多值之一

    不等于任一值

    可以输入多个,最多50个,按回车键确认。

    IP

    属于

    不属于

    请填入IPIP/掩码(例如:1.1.X.X/24)。暂不支持正则,最多填写50个,以英文逗号分隔,或者按回车键确认。

  4. 选择不检测的风险检测或安全事件类型,单击确定保存您的配置。

    说明

    不检测类型支持内置和自定义,支持多选。

七、生命周期管理

API安全支持通过设置日访问量、持续时间,来自定义失活接口的判断标准,使得失活API检测更符合业务情况。API生命周期管理可以帮助您识别符合您自定义标准的失活API接口,并辅助您及时处置,防止被攻击者利用失活接口进行攻击,造成不必要的业务损失。

  1. API安全页面,选择策略配置生命周期管理页签。

  2. 设置失活API判断标准后,单击确定

    • 单击内置模型

      表示使用内置的判断标准,即近8天无访问量或访问量大幅下跌的API接口为失活API。

    • 单击自定义,并设置日访问量、持续时间(最大为31天)。

      表示如果某API接口在自定义的持续时间内,日访问量小于设置的次数时,则该API接口被判定为失活API。

重要

若资产的最近活跃时间超过30天,系统将自动删除该资产及其关联的风险数据与安全事件记录。

八、日志订阅

当您开启资产信息、风险信息或者事件信息的日志订阅后,在触发日志投递条件时,可以将对应日志投递至您在日志服务控制台创建的指定的LogStore中。方便您基于阿里云日志服务SLS的功能进行日志统一管理及操作。

说明

目前仅支持中国内地的WAF实例向中国内地的日志服务LogStore中投递日志,非中国内地的WAF实例向非中国内地的日志服务LogStore中投递日志,不支持跨中国内地、非中国内地的日志投递。

开通服务角色

如果您没有开通过Web应用防火墙服务关联角色,在您使用API安全日志订阅服务之前,需要您根据提示,开通Web应用防火墙服务关联角色,用于授权Web应用防火墙访问您的其他云产品资源,关于服务关联角色的详细信息,请参见服务关联角色。如果您此前开通WAF日志服务等功能时已完成授权,请忽略此步骤。

日志订阅配置

  1. 在您配置API安全的相关日志订阅任务之前,请打开日志服务控制台,创建希望接收日志订阅ProjectLogStore,若您已经创建完成目标LogStore且核对符合命名规则,请直接进行下一步操作。

    说明

    日志订阅功能当前不支持选择日志服务自动创建的以及您自定义命名为“waf-logstore”、“wafng-logstore” 和 “wafnew-logstore” 的Logstore作为日志订阅的目标。

  2. 创建完成后,返回日志订阅的页签,进行您的资产信息、风险信息、攻击事件信息订阅配置。如果您希望通过日志服务控制台对投递到指定Logstore的日志分析查询操作,请先根据提示开通索引,具体操作请参见创建索引

  3. 选择要执行日志订阅任务的日志类型,单击配置按钮进入配置页面。

  4. 选择您希望配置日志订阅任务的Logstore所在Region,Project名称和Logstore名称,单击确定按钮保存配置。配置完成后,在触发相应条件产生日志后,您可以回到日志服务控制台的对应Logstore中,查询分析相关日志。如您希望对日志进行数据脱敏等加工处理,请参见数据加工

  5. 如果您关闭该日志订阅任务后,不需要已有日志,并希望存放日志订阅的Logstore不产生后续费用,请在日志订阅页签关闭任务后,删除对应的Logstore,具体操作请参见如何关闭日志服务或停止计费

日志订阅任务的触发条件及详细字段说明如下。

重要

  • 您在日志服务中创建的云资源与开通索引等操作会产生额外费用,由日志服务产品进行计费,计费项及价格请参见日志服务计费概述

  • 创建ProjectLogstore后,未开启日志订阅任务时仍可能会产生费用,当您确保不再使用创建的Logstore时,请及时删除,避免产生额外费用,请参见为什么只创建ProjectLogstore会产生费用

资产信息日志

日志订阅任务触发条件:

  1. 新增API资产后会立即投递资产信息日志。

  2. 若无新增API资产,默认每1小时定时投递一次资产信息日志。

资产信息日志字段

字段名称

字段说明

字段格式

字段示例

user_id

客户UID

string

123456

service_host

域名

string

api.aliyun.com

api_format

API路径

string

/api/v1/getuserbyid/${param}

request_method

请求方法

string

GET

api_tag

业务用途

object []

['QueryInfo']

api_type

服务对象

object []

['PublicAPI']

auth_key

鉴权字段

object []

['id_token', 'access_token']

api_status

生命周期

string

NewbornInterface

api_sensitive_level

接口敏感等级

string

L1

api_sensitive_req

请求敏感数据类型

object []

['1014', '1017', '1002']

api_sensitive_res

响应敏感数据类型

object []

['1009', '1013', '1003', '1014', '1002']

farthest_ts

首次发现时间

long

1713237135

lastest_ts

最近活跃时间

long

1716452318

abnormal_num

风险数

integer

1

event_num

事件数

integer

2

struct_baseline

参数结构

object

['{"key":"Trace-Id","location":"request_header","format":"string","required":"true"}',

'{"key":"pageNum","location":"request_query","format":"integer","required":"true"}',

'{"key":"tlogTraceId","location":"response_header","format":"integer","required":"true"}',

'{"key":"Strict-Transport-Security","location":"request_header","format":"string","required":"true"}',

'{"key":"X-Forwarded-ClientSrcPort","location":"request_header","format":"integer","required":"true"}',

'{"key":"Trace-State","location":"request_header","format":"string","required":"true"}',

'{"key":"auth","location":"request_header","format":"string","required":"true"}',

'{"key":"Access-Control-Max-Age","location":"response_header","format":"integer","required":"true"}',

'{"key":"Enterprise-Hash","location":"request_header","format":"string","required":"true"}',

'{"key":"X-Request-ID","location":"request_header","format":"string","required":"true"}',

'{"key":"postName","location":"request_query","format":"string","required":"true"}', '{"key":"pageSize","location":"request_query","format":"integer","required":"true"}']

matched_hosts

防护对象

object []

['*.aliyun.com-waf']

hosts

域名

object []

['api.aliyun.com']

server_port

端口

object []

['443']

server_location

源站所处国家

object []

['CN']

api_id

API唯一ID

string

af418cb31036015fddea71b48d06aa4b

log_type

日志类型

string

asset

request_header

请求Header

JSON

{"Connection":"Keep-Alive","Host":"api.aliyun.com","eagleeye-rpcid":"0.1"}

querystring

请求URL参数

string

?token=7464f593205896e23b1286ba7532dcff

request_body

请求Body

string

xxx=1

response_header

响应Header

JSON

{"Accept-Ranges":["bytes","bytes"],"Cache-Control":"private, max-age=21600, no-transform"}

response_body

响应Body

string

xxxx

example_timestamp

样例时间戳

long

1718546694

example_traceid

样例traceid

string

784e2ca717213678365778292e58de

风险信息日志

日志订阅任务触发条件:当检测到新增风险信息时,会将风险信息日志投递至您指定的LogStore中。

风险信息日志字段

字段名称

字段说明

字段格式

字段示例

user_id

客户UID

string

123456

service_host

域名

string

api.aliyun.com

api_format

API路径

string

/api/v1/login

request_method

请求方法

string

POST

api_tag

业务用途

object []

['LoginAPI']

abnormal_tag

风险名称

string

Risk_DefaultPasswd

abnormal_type

风险类型(自定义/内置)

string

default

abnormal_level

风险等级

string

medium

abnormal_discover_ts

风险发现时间

long

1716343432

abnormal_info

风险信息

object

{'default_passwd':'aliyun123'}

api_id

API唯一ID

string

2c0f97e10b586208039e60671150bd9b

abnormal_id

风险唯一ID

string

8cfccc0e8c3d41aa1221e94a2fdeffe3

log_type

日志类型

string

risk

matched_hosts

防护对象

object []

['*.aliyun.com-waf']

request_header

请求Header

JSON

{"Connection":"Keep-Alive","Host":"api.aliyun.com","eagleeye-rpcid":"0.1"}

querystring

请求URL参数

string

?token=7464f593205896e23b1286ba7532dcff

request_body

请求Body

string

xxx=1

response_header

响应Header

JSON

{"Accept-Ranges":["bytes","bytes"],"Cache-Control":"private, max-age=21600, no-transform"}

response_body

响应Body

string

xxxx

example_timestamp

样例时间戳

long

1718546694

example_traceid

样例traceid

string

784e2ca717213678365778****58de

攻击事件信息日志

日志订阅任务触发条件:

  1. 当检测到新增攻击事件时,会将新增攻击事件信息日志投递至您指定的LogStore中。

  2. 若攻击持续进行,则攻击事件信息日志会间隔10分钟持续投递至您指定的LogStore中。

攻击事件信息日志字段

字段名称

字段说明

字段格式

字段示例

user_id

客户UID

string

123456

service_host

域名

string

api.aliyun.com

matched_host

防护对象

string

api.aliyun.com-waf

host

域名

string

api.aliyun.com

api_format

API路径

string

/api/admin/login

request_method

请求方法

string

POST

api_tag

业务用途

object []

['AdminService', 'LoginService']

event_tag

事件名称

string

Event_LoginCollision

event_origin

事件类型(自定义/内置)

string

default

event_level

事件等级

string

high

start_ts

攻击开始时间

long

1713886210

end_ts

攻击结束时间

long

1713887817

attack_cnt

攻击总量

integer

147

attack_ip_info

攻击IP信息

object []

['{'ip':'103.44.XX.XXX'', 'country_id':'HK', 'region_id':'-', 'cnt':'147'']

api_id

API唯一ID

string

4dfc73b37d2d645fe2ca7f45c08f7398

event_id

事件ID

string

f09f6802e9b57a58ebb9f1bea212027e

log_type

日志类型

string

event

request_data

请求数据样例

JSON

{'1002':['张三','李四','陈六'],'1004':['13200000001','15200000002']}

response_data

响应数据样例

JSON

{'postarg.userId':['lisi111','zhangsan123'],'postarg.corpId':['wx1111111'],'postarg.externalUserid':['wm7_KpDgOm6Bm-BGA']}

日志订阅字段值说明

如果您在分析或查询日志的过程中,需要了解日志中字段值的含义,或者查看其对应控制台界面显示的说明,请参照下表进行使用。表中说明列的内容,即为该日志字段的值在 Web 应用防火墙控制台中的名称。

生命周期(api_status)

字段值

说明

NewbornInterface

新增

OfflineInterface

失活

normal

正常

服务对象(api_type)

字段值

说明

PublicAPI

公共服务

ThirdpartAPI

三方合作

InternalAPI

内部办公

业务用途(api_tag)

字段值

说明

LoginByUserPasswd

账号密码登录

LoginByPhoneCode

手机验证码登录

LoginByMailCode

邮箱验证码登录

WeChatLogin

微信登录

AliPayLogin

支付宝登录

OAuthLogin

OAuth认证

OIDCLogin

OIDC认证

SAMLLogin

SAML认证

SSOLogin

SSO认证

LoginAPI

登录服务

LogoutAPI

注销登录

RegisterByUserPasswd

账号密码注册

RegisterByPhoneCode

手机验证码注册

RegisterByMailCode

邮箱验证码注册

WeChatRegister

微信注册

AliPayRegister

支付宝注册

RegisterAPI

注册服务

SendSMS

短信发送

SendMail

邮件发送

ResetPasswd

重置密码

CheckVerifyCode

验证码校验

CheckStatus

状态检查

QueryOrder

订单查询

ExportOrder

订单导出

UpdateOrder

订单更新

PayOrder

订单支付

QueryLog

日志查询

UploadLog

日志上报

DownloadLog

日志导出

LogService

日志服务

GraphQL

GraphQL

SqlService

SQL服务

FileUpload

文件上传

FileDownload

文件下载

FileService

文件服务

AdminService

后台管理

DashBoard

数据看板

MonitorService

监控服务

SendInfo

信息发送

CheckInfo

数据检查

QueryInfo

数据查询

UploadInfo

数据上传

DownloadInfo

数据下载

AddInfo

添加数据

EditInfo

编辑数据

UpdateInfo

数据更新

ShareInfo

数据分享

DeleteInfo

数据删除

SyncInfo

数据同步

SubmitInfo

数据提交

CopyInfo

数据拷贝

AuditInfo

数据审计

SaveInfo

数据保存

CancelOp

取消

StartOp

启动

BatchOp

批处理

PauseOp

暂停

BindOp

绑定

DebugOp

调试

SetOp

设置

ShutDown

关闭

请求敏感数据类型、响应敏感数据类型(api_sensitive_req,api_sensitive_res)

字段值

说明

1000

身份证(中国内地)

1001

储蓄银行卡

1002

姓名(简体中文)

1003

地址(中国内地)

1004

手机号(中国内地)

1005

邮箱

1006

护照号(中国内地)

1007

港澳通行证

1008

车牌号(中国内地)

1009

电话号码(中国内地)

1010

军官证

1011

性别

1012

民族

1013

省份(中国内地)

1014

城市(中国内地)

1015

身份证(中国香港)

1016

姓名(繁体中文)

1017

姓名(英文)

1018

身份证(马来西亚)

1019

身份证(新加坡)

1020

借贷银行卡

1022

SWIFT Code

1023

SSN

1024

电话号码 (美国)

1025

宗教信仰

2000

IP地址

2001

MAC地址

2002

JDBC连接串

2003

PEM证书

2004

KEY私钥

2005

AccessKeyId

2006

AccessKeySecret

2007

IPv6地址

2009

日期

2010

IMEI

2011

MEID

2013

Linux-Passwd文件

2014

Linux-Shadow文件

2015

URL链接

4000

营业执照号码

4001

税务登记证号码

4002

组织机构代码

4003

统一社会信用代码

4004

车辆识别码

风险类型(risk)

字段值

说明

RiskType_Specification

安全规范

Risk_UnsafeHttpMethod

不安全的HTTP方法

Risk_WeakSignAlgorithm

JWT弱签名算法

Risk_UrlParam

参数为URL

RiskType_Account

账号安全

Risk_PasswdUnencrypt

密码明文传输

Risk_WeakPasswd

允许弱密码

Risk_InternalWeakPasswd

内部应用存在弱口令

Risk_DefaultPasswd

存在默认密码

Risk_PasswdResponse

返回明文密码

Risk_PasswdCookie

Cookie中存储密码

Risk_LoginRestrict

登录接口缺乏限制

Risk_LoginPrompt

登录失败提示不合理

Risk_PasswdUrl

URL传输账号密码

RiskType_Control

访问控制

Risk_InternalAPI

内部应用公网可访问

Risk_SourceRestrict

接口未限制访问来源

Risk_ClientRestrict

接口未限制访问工具

Risk_SpeedRestrict

接口未限制访问速率

RiskType_Permission

权限管理

Risk_WeakToken

鉴权凭据强度较弱

Risk_UnauthSensitive

敏感接口未鉴权

Risk_UnauthInternalAPI

内部接口可未授权访问

Risk_TokenUrl

URL传输凭据信息

Risk_AkLeak

AK信息泄漏

RiskType_Sensitive

数据保护

Risk_SensitiveTypeExcessive

返回敏感数据类型过多

Risk_SensitiveNumExcessive

返回敏感数据数量过多

Risk_InvalidDesensitize

敏感数据未有效脱敏

Risk_ServerInfoLeak

服务器敏感信息泄漏

Risk_InternalIPLeak

泄漏内网IP地址

Risk_SensitiveURL

URL传输敏感数据

RiskType_Design

接口设计

Risk_ParamTraverse

请求参数可遍历

Risk_PageSize

返回数据量可修改

Risk_SqlAPI

数据库查询

Risk_RceAPI

命令执行接口

Risk_SmsContent

任意短信内容发送

Risk_MailContent

任意邮件内容发送

Risk_SmsVerifyCodeLeak

短信验证码泄漏

Risk_MailVerifyCodeLeak

邮件验证码泄漏

Risk_FileDownload

指定文件下载

Risk_ExceptionLeak

应用异常信息泄漏

Risk_ExceptionSql

数据库异常信息泄漏

事件类型(event)

字段值

说明

Event_AbnormalFrequency

异常高频访问

Event_ExceptionIPInvoke

异常IP访问内部接口

Event_ExceptionRegionInvoke

异常地区访问内部接口

Event_ExceptionClientInvoke

使用异常工具访问

Event_ExceptionTimeInvoke

异常时间段访问

Event_AbnormalParamValue

参数值异常的访问

Event_InternalLoginWeakPasswd

内部应用弱口令登录

Event_LoginAccountBruteForce

爆破用户名

Event_LoginPasswdBruteForce

爆破登录密码

Event_LoginCollision

撞库攻击

Event_MobileVerifyBruteForce

短信验证码爆破

Event_MailVerifyBruteForce

邮件验证码爆破

Event_AbnormalRegister

批量注册

Event_SMSInterfaceAbuse

恶意消耗短信资源

Event_EmailInterfaceAbuse

恶意消耗邮件资源

Event_AbnormalExport

批量下载

Event_DataTraverse

遍历爬取接口数据

Event_WebAttackAPI

恶意攻击API接口

Event_ObtainSensitiveUnauthorized

未授权访问获取敏感数据

Event_ObtainSensitiveExcessive

获取大量敏感数据

Event_CrossborderIPSensitiveExcessive

境外IP获取大量敏感数据

Event_ExceptionResponse

接口返回异常报错信息

Event_ExceptionSql

接口返回数据库报错信息

Event_SystemInfoResponse

接口返回系统敏感信息

Event_AbnormalStatus

接口响应状态异常

九、生效对象配置

包年包月版WAF

API安全提供三个防护对象或防护对象组级别的生效开关:

  • 基础检测开关:默认开启,控制所有内置检测机制和自定义检测策略是否生效。

  • 合规审查开关:默认关闭,仅在基础检测开启后才能开启,控制合规审查功能是否生效。

  • 溯源审计开关:默认关闭,仅在基础检测开启后才能开启,控制溯源审计功能是否生效。

按量付费版WAF

API安全提供一个防护对象或防护对象组级别的生效开关:

  • 基础检测开关:控制所有内置检测机制和自定义检测策略是否生效。如需关闭API安全功能,请关闭所有防护对象与防护对象组的基础检测开关。

上一篇:安全合规审查与溯源审计下一篇:Bot管理(旧版)