tencent cloud

PrevNext

文档反馈

请输入关键字

Recent Pages

文档
边缘安全加速平台 EO
    文档
    Download PDF

    Web 安全监控告警

    最后更新时间:2024-04-16 16:49:55
    下载PDF

      功能简介

      Web 安全监控规则可为您提供实时、定制化的安全事件通知,并支持 Webhook 推送,使告警与常用企业通讯工具无缝对接,提高安全运维效率,帮助您快速发现并应对潜在风险。您可以根据业务需求和风险评估,灵活配置监控范围、阈值和告警频率。

      配置项说明

      
      配置项
      说明
      规则名称(必填)
      需满足以下要求:
      英文、数字和下划线组合;
      长度小于32个字符;
      不可使用下划线开头。
      
      监控域名(必选)
      
      全部域名:包含本站点下全部域名,也包括后续添加的域名。
      指定域名:仅监控本站点下特定域名。
      说明
      阈值统计仅针对单个域名独立生效,不会合并统计多个域名内的请求数。
      监控指标(必选)
      支持按处置方式或者按规则选择统计请求范围。
      全部处置请求:所有命中安全模块规则,并被处置的请求(不包括放行),计入监控规则的统计计数。
      仅统计指定处置方式的请求:命中 Web 防护或 Bot 管理规则,并最终按选择的方式处置的请求,计入监控规则的统计计数。
      仅统计命中指定规则的请求:命中指定 Web 防护或 Bot 管理规则的请求。
      说明
      放行方式不会记录日志,因此不会加入监控统计。
      告警开关
      控制本条 Web 安全监控规则是否生效。
      开启后,将通过消息中心提供的消息推送渠道(站内信/邮件/短信/微信/语音/企业微信服务号)进行告警,具体消息推送渠道可在 消息中心控制台 进行配置。
      关闭后,本条 Web 安全监控规则将不再告警,包括消息中心相关渠道和 Webhook 推送。
      说明
      EdgeOne Web 安全监控告警消息对应消息中心的「安全事件通知」类型消息。
      告警配置
      
      静态告警条件(必选)
      
      支持配置按照指定时间窗口内请求达到的阈值数量,当达到指定阈值时,即触发告警。
      告警频率(可选)
      配置推送告警的频率。当未进行自定义配置时,默认每条规则每 5 分钟最多推送 1 条告警通知。
      Webhook 推送(可选)
      在 消息中心 提供的消息推送渠道之外,额外提供 Webhook 接口回调方式。
      目前支持的渠道包括:企业微信、飞书、钉钉、自定义接口回调。当您填写对应渠道的 Webhook 地址后,可单击测试 Webhook 推送,EdgeOne 将向您填写的地址推送一条测试消息以验证连通性。
      消息内容模板以 Go text/template 语法定义,支持通过{{.通知变量}}引用与 Web 安全监控相关的变量。具体可参考消息内容模板与通知变量

      场景一:监控站点遭遇 CC 攻击事件并在 5 分钟内告警

      某金融业务站点为满足监管合规要求,当业务域名www.example.com被 CC 攻击时需要在 5 分钟内快速响应。因此对站点的 CC 攻击事件进行监控。当站点遭受超过 5000 QPS CC 攻击时,5 分钟内推送告警至其安全运维团队处理。
      1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
      2. 在站点详情页面,单击安全防护 > 告警通知推送,进入告警通知推送详情页面。
      3. 在 Web 安全监控规则卡片中,单击设置,进入规则管理页面。
      4. 击添加规则,配置对应的告警规则。以当前场景为例,输入规则名称后,选择监控域名为 www.example.com,监控指标为 CC 攻击防护中高频访问请求限制、智能客户端过滤和慢速攻击防护事件,当 10 秒内超出 50000 次 CC 攻击时,则立即触发告警并通过您在 消息中心控制台 配置的通知渠道发送告警消息。
      
      5. 单击确定完成配置。

      场景二:监控命中托管规则的疑似漏洞攻击请求,并推送 Webhook 告警

      某企业官网已接入的站点域名为 www.example.com,站点包含客户敏感信息,需时刻关注 SQL 注入类型漏洞攻击情况。当有任何请求命中了 SQL 注入攻击类别的 Web 托管规则时,需要立即触发告警并通过 Webhook 推送至企业微信机器人中,进行进一步分析。
      1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
      2. 在站点详情页面,单击安全防护 > 告警通知推送,进入告警通知推送详情页面。
      3. 在 Web 安全监控规则卡片中,单击设置,进入规则管理页面。
      4. 单击添加规则,配置对应的告警规则。以当前场景为例,输入规则名称后,选择监控域名为 www.example.com,监控指标为请求命中托管规则为 SQL 注入攻击防护的规则,在 10 秒内超出 1 次,则立即触发告警并通过您在 消息中心控制台 配置的通知渠道发送告警消息,同时通过 Webhook 推送至指定的 URL 地址中。
      
      5. 单击确定完成配置。

      相关参考

      Webhook 消息内容模板

      消息内容模板以 Go text/template 语法定义,支持通过{{.通知变量}}引用与 Web 安全监控相关的变量。默认消息内容模板如下:
      通知类型:站点安全监控通知
      
      账号ID: {{.UIN}}
      昵称: {{.AccountName}}
      站点名称: {{.Zone}}
      监控对象: {{.Object}}
      监控规则名称: {{.AlertRule}}
      告警时间: {{.StartTime}} (GMT +8:00)
      告警条件: {{.Condition.TimeSpan}}秒内超过{{.Condition.Threshold}}个请求
      监控项指标: {{.Condition.TimeSpan}}秒内{{.MetricValue}}个请求
      通知变量名称
      数据类型
      变量含义
      UIN
      String
      腾讯云账号 ID
      AccountName
      String
      腾讯云账号昵称
      Zone
      String
      EdgeOne 站点名称
      AlertRule
      String
      告警策略名称
      Object
      Array of String
      告警对象(用户配置的监控域名
      Condition
      JSON object
      告警触发条件(用户配置的静态告警条件
      StartTime
      String
      告警触发时间,默认时区为东八区,示例值:2024-01-08 18:00:40
      MetricValue
      Integer
      告警触发时告警指标值
      说明
      目前控制台不支持自助修改消息内容模板,若您有相关需求,请联系 售后支持

      Condition 对象结构

      告警触发条件,即用户配置的静态告警条件
      key 名称
      value 含义
      TimeSpan
      用户配置的告警时间窗口
      Threshold
      用户配置的请求数静态阈值
      
      联系我们

      联系我们,为您的业务提供专属服务。

      联系我们
      技术支持

      如果你想寻求进一步的帮助,通过工单与我们进行联络。我们提供7x24的工单服务。

      提交工单
      7x24 电话支持
      Copyright © 2013-2024 Tencent Cloud. All Rights Reserved.
      隐私条款服务条款缓存条款