功能简介
当检测到安全监控事件时,边缘安全加速平台 EO 将通过消息中心推送通知,您可在消息中心配置订阅范围:
DDoS 攻击流量告警:针对企业版 DDoS 防护(站点接入和四层代理)的 DDoS 攻击,当攻击数据速率超过配置阈值时,推送 DDoS 攻击通知。
Web 安全监控规则:针对命中 Web 防护规则和 Bot 管理规则的监控,当匹配条件的请求超过配置阈值,并符合告警条件时,推送 Web 安全监控规则告警通知。
DDoS 攻击流量告警
边缘安全加速平台 EO 持续检测外部访问流量,并识别其中的 DDoS 攻击。当检测到攻击时,无需人工介入,将自动进行流量清洗,过滤恶意攻击流量。
仅支持针对企业版 DDoS 防护(站点接入和四层代理)的 DDoS 攻击推送告警通知,其他业务暂不支持 DDoS 攻击流量告警功能。
DDos 攻击流量告警设置
1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
2. 在站点详情页面,单击安全防护 > 告警通知推送。
3. 在 DDoS 攻击流量告警卡片中,单击设置。
4. 在 DDoS 攻击流量告警页面,支持对当前站点调整全局默认 DDoS 攻击告警阈值,仅对攻击数据速率超过配置阈值的攻击事件推送消息中心通知。单击默认告警阈值的编辑,修改默认告警阈值,单击保存。
说明
DDoS 攻击流量告警页面展示了全部支持 DDoS 攻击流量告警的业务,和对应的 DDoS 攻击告警阈值。对于未启用自定义阈值的业务,可通过调整默认告警阈值,调整对应 DDoS 攻击告警阈值。
5. 在 DDoS 攻击流量告警页面,支持单独配置安全加速或四层代理业务项目的告警阈值。
说明
建议根据被攻击频率和历史调整,默认100Mbps,最小可调节至10Mbps。
5.1 设置单个告警阈值
5.1.1 选择所需业务,单击对应告警阈值列的编辑,可调整该业务推送 DDoS 攻击通知的攻击规模范围(最小攻击速率)。
5.1.2 修改告警阈值,单击保存,自定义阈值自动开启。
5.2 批量设置告警阈值
5.2.1 选择一个或多个业务,单击批量设置。
5.2.2 单击开启自定义开关
,调整预警值,单击确定。
Web 安全监控规则
边缘安全加速平台 EO 处理请求时,根据命中 Web 安全和 Bot 管理规则的情况(包括策略模板中配置的安全规则),命中规则的请求将被记录到 Web 安全日志。
说明:
命中处置方式为放行的规则,不会记录日志。
统计请求数计数时,每个域名的请求独立计数,超过告警条件阈值时告警。
Web 安全监控规则会根据监控规则的匹配条件,统计单个域名下命中规则的请求总数。当一段时间内请求总数超过阈值时,支持按告警选项推送告警。
Web 安全监控规则配置
Web 安全监控规则支持灵活的监控统计范围和告警配置,可以基于安全运维需要,配置多条监控规则,以覆盖日常监控和告警场景。
Web 安全监控规则支持下列选项:
规则名称:必填,需满足以下要求:
为英文、数字和下划线组合。
长度小于32个字符。
不能以下划线开头。
监控域名:必选
全部域名:包含本站点下全部域名,也包括后续添加的域名。
指定域名:可选择本站点下域名。
监控范围:必选,支持按处置方式或者按规则选择统计请求范围。
全部处置请求:所有命中安全模块规则,并被处置的请求(不包括放行),计入监控规则的统计计数。
仅统计指定处置方式的请求:命中 Web 防护或 Bot 管理规则,并最终按选择的方式处置的请求,计入监控规则的统计计数。
仅统计命中指定规则的请求:命中指定 Web 防护或 Bot 管理规则的请求。
告警配置:必须选择告警条件配置,可选告警频率配置。
静态告警条件:基于一个固定请求数阈值,超过阈值即满足告警推送条件,将按照该规则告警频率进行推送告警通知。
告警频率:当本规则满足告警条件时,按配置的告警频率推送告警通知。
说明
未选择告警频率时,默认每条规则每5分钟推送最多1条告警通知。
Web 安全监控规则管理
1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
2. 在站点详情页面,单击安全防护 > 告警通知推送。
3. 在 Web 安全监控规则卡片中,单击设置,进入配置页。可添加、删除、编辑、开关 Web 安全监控规则。
添加 Web 安全监控规则
1. 在 Web 安全监控规则配置页中,单击添加规则新增监控规则。
2. 在 Web 监控规则配置弹窗中,配置规则名称、域名、监控统计范围和告警选项后,单击确定,保存监控规则,告警条件即时生效。
编辑 Web 安全监控规则
1. 在 Web 安全监控规则配置页中,找到需要编辑的 Web 安全监控规则,单击操作列中对应该规则的编辑。
2. 在 Web 监控规则配置弹窗中,修改规则名称、域名、监控统计范围和告警选项,单击确定,保存监控规则,告警条件即时生效。
删除 Web 安全监控规则
删除单个 Web 安全监控规则
在 Web 安全监控规则配置页中,找到需要删除的 Web 安全监控规则,单击操作列中对应该规则的删除。
批量删除 Web 安全监控规则
在 Web 安全监控规则配置页中,选择一个或多个 Web 安全监控规则,单击删除已选,将同时删除全部已选中规则。
启用或禁用 Web 安全监控规则
启用或禁用单个 Web 安全监控规则
在 Web 安全监控规则配置页中,找到需要启用或禁用的 Web 安全监控规则,单击告警开关列中对应该规则的
。
批量启用或批量禁用 Web 安全监控规则
选择一个或多个 Web 安全监控规则,单击启用已选或禁用已选,将同时启用或禁用全部已选中规则。