功能简介
Web 安全监控规则可为您提供实时、定制化的安全事件通知,并支持 Webhook 推送,使告警与常用企业通讯工具无缝对接,提高安全运维效率,帮助您快速发现并应对潜在风险。您可以根据业务需求和风险评估,灵活配置监控范围、阈值和告警频率。
配置项说明
配置项 | 说明 | |
规则名称(必填) | | 需满足以下要求: 英文、数字和下划线组合; 长度小于32个字符; 不可使用下划线开头。 |
监控域名(必选) | | 全部域名:包含本站点下全部域名,也包括后续添加的域名。 指定域名:仅监控本站点下特定域名。 说明 阈值统计仅针对单个域名独立生效,不会合并统计多个域名内的请求数。 |
监控指标(必选) | | 支持按处置方式或者按规则选择统计请求范围。 全部处置请求:所有命中安全模块规则,并被处置的请求(不包括放行),计入监控规则的统计计数。 仅统计指定处置方式的请求:命中 Web 防护或 Bot 管理规则,并最终按选择的方式处置的请求,计入监控规则的统计计数。 仅统计命中指定规则的请求:命中指定 Web 防护或 Bot 管理规则的请求。 说明 放行方式不会记录日志,因此不会加入监控统计。 |
告警开关 | | 控制本条 Web 安全监控规则是否生效。 关闭后,本条 Web 安全监控规则将不再告警,包括消息中心相关渠道和 Webhook 推送。 说明 EdgeOne Web 安全监控告警消息对应消息中心的「安全事件通知」类型消息。 |
告警配置 | 静态告警条件(必选) | 支持配置按照指定时间窗口内请求达到的阈值数量,当达到指定阈值时,即触发告警。 |
| 告警频率(可选) | 配置推送告警的频率。当未进行自定义配置时,默认每条规则每 5 分钟最多推送 1 条告警通知。 |
| Webhook 推送(可选) | 目前支持的渠道包括:企业微信、飞书、钉钉、自定义接口回调。当您填写对应渠道的 Webhook 地址后,可单击测试 Webhook 推送,EdgeOne 将向您填写的地址推送一条测试消息以验证连通性。 消息内容模板以 Go text/template 语法定义,支持通过 {{.通知变量}}引用与 Web 安全监控相关的变量。具体可参考消息内容模板与通知变量。 |
场景一:监控站点遭遇 CC 攻击事件并在 5 分钟内告警
某金融业务站点为满足监管合规要求,当业务域名
www.example.com被 CC 攻击时需要在 5 分钟内快速响应。因此对站点的 CC 攻击事件进行监控。当站点遭受超过 5000 QPS CC 攻击时,5 分钟内推送告警至其安全运维团队处理。1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
2. 在站点详情页面,单击安全防护 > 告警通知推送,进入告警通知推送详情页面。
3. 在 Web 安全监控规则卡片中,单击设置,进入规则管理页面。
4. 单击添加规则,配置对应的告警规则。以当前场景为例,输入规则名称后,选择监控域名为
www.example.com,监控指标为 CC 攻击防护中高频访问请求限制、智能客户端过滤和慢速攻击防护事件,当 10 秒内超出 50000 次 CC 攻击时,则立即触发告警并通过您在 消息中心控制台 配置的通知渠道发送告警消息。
5. 单击确定完成配置。
场景二:监控命中托管规则的疑似漏洞攻击请求,并推送 Webhook 告警
某企业官网已接入的站点域名为
www.example.com,站点包含客户敏感信息,需时刻关注 SQL 注入类型漏洞攻击情况。当有任何请求命中了 SQL 注入攻击类别的 Web 托管规则时,需要立即触发告警并通过 Webhook 推送至企业微信机器人中,进行进一步分析。1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
2. 在站点详情页面,单击安全防护 > 告警通知推送,进入告警通知推送详情页面。
3. 在 Web 安全监控规则卡片中,单击设置,进入规则管理页面。
4. 单击添加规则,配置对应的告警规则。以当前场景为例,输入规则名称后,选择监控域名为
www.example.com,监控指标为请求命中托管规则为 SQL 注入攻击防护的规则,在 10 秒内超出 1 次,则立即触发告警并通过您在 消息中心控制台 配置的通知渠道发送告警消息,同时通过 Webhook 推送至指定的 URL 地址中。
5. 单击确定完成配置。
相关参考
Webhook 消息内容模板
通知类型:站点安全监控通知账号ID: {{.UIN}}昵称: {{.AccountName}}站点名称: {{.Zone}}监控对象: {{.Object}}监控规则名称: {{.AlertRule}}告警时间: {{.StartTime}} (GMT +8:00)告警条件: {{.Condition.TimeSpan}}秒内超过{{.Condition.Threshold}}个请求监控项指标: {{.Condition.TimeSpan}}秒内{{.MetricValue}}个请求
说明
Condition 对象结构
key 名称 | value 含义 |
TimeSpan | 用户配置的告警时间窗口 |
Threshold | 用户配置的请求数静态阈值 |
Condition 对象的示例值如下:
{"TimeSpan": 10,"Threshold": 1}
