安恒明御WAF防火墙日志管理功能指南
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 选择“日志”—“访问审计”——“查看完整访问列表”,完整的访问列表可以 记录源IP、访问时间、访问的URL、返回码
24
5、访问审计日志————访问统计
访问统计主要是对每日、每周、每月Web保护站点的访问流量进行日志统计,可以对每日、每天、 每月的Web的访问流量、访问者的IP(TOP10)、访问URL(TOP10)、访问的文件类型等信息 进行统计。通过这些信息可以有助于管理员更好的了解每日、每周、每月的Web业务是否正常。 Step 1:选择“日志”—“访问审计”,用户根据实际的需要选择相应的“保护站点”、选择 相应的时间段
'/**/ 10. SQL注入12010093————阻止sql进行注入攻击,防参数、cookie中的注释符
'#'和关键字
9
2、规则误报调整———常见的比较容易误报的规则
目前WAF规则常见的误报规则如下所示:
1. SQL注入12010093————阻止sql进行注入攻击,防参数中的注释符'--'和关键字 2. SQL盲注12020061————阻止sql盲注,防"||"或者以"/* */"注释分 割特征串的注
注意:WAF再进行误报分析时尽可能的缩短时间范围,比如4天或一周,如果时间范围 比较大,告警日志量比较大可能会导致误判分析一直统计结果最终统计不出任何结果
13
2、规则误报调整———误判分析
误判分析分析结果处理方案: 1.结论中出现少量URL频繁触发可将触发的URL添加至该规则白名单中 2.出现较多的URL触发该规则,可将该规则直接禁用
27
7、IP信誉库日志
WAF内置国际公认的恶意IP库,如果有恶意的IP访问保护的web服务器就会触发IP信誉库 功能并生成告警日志,通过IP信誉库日志可以查看IP地址及IP所在区域
28
8、误判分析
WAF可以自动针对一段时间的告警日志进行汇总、分析并生成分析结果,工程师可以 根据分析结果进行规制调整
21Leabharlann 4、CC防护日志——被CC攻击的URL
• 选择“日志”—“CC防护日志”点击“原因”模块中“某个URL”就能看到被CC 攻击的URL路径
22
5、访问审计日志
访问审计提供用户查询历史访问日志信息,以便用户对访问日志进行统计分析。可以 针对客户端IP、URL、时间、主机名等选项进行查询。
23
5、访问审计日志————查看完整访问列表
入 3. SQL盲注12020062————阻止sql盲注,防"=+++"或者以"0+0+0“等绕过型SQL
盲注 4. 跨站脚本攻击13010046———— 阻止xss注入攻击,防类似“<SCRIPT
SRC="/xss.jpg"> 5. 跨站脚本攻击13010061————阻止xss注入攻击,防类似“><a href="#nogo"
34
谢谢!
35
3.根据误判分析和自定义报表调整完部分规则之后,如果还出现策略误报导致业务被阻断 的情况则需要根据实时的告警日志进行分析,比如查看攻击特征串,查看请求头部和请求 内容判断是否属于误报。
12
2、规则误报调整———误判分析
明御WAF可以自动针对一段时间的告警日志进行汇总、分析并生成分析结果,工程师可以根据分 析结果进行规制调整
6
1、应用防护日志——请求头部内容
一般攻击都会存在请求的URL、请求参数中、或者请求请求头部的各个字段中,比如 user-agent、referer等字段中,常见的攻击主要是SQL注入、XSS、命令注入等
7
1、应用防护日志——请求内容
有些攻击会在POST参数或POST内容中存在,因此需要查看请求内容,常见的攻击包括 SQL注入、XSS等
安恒明御 WAF防火墙日志管理功能指南
技术创新 变革未来
日志管理
1. 应用防护日志 2. 网络防护日志 3. CC防护日志 4. 访问审计 5. 防篡改日志 6. IP信誉库 7. 误判分析 8. 操作日志 9. 系统日志 10. 升级日志
2
1、应用防护日志
应用防护日志是对攻击事件的记录审计,常见的攻击行为有SQL注入、XSS、CSRF等攻 击行为都可以通过应用防护日志进行记录。应用防护日志记录的内容主要有攻击者IP地 址、攻击特征、攻击时间、URL地址等内容,通过应用防护日志能够更好的协助管理员 及时的了解攻击行为和攻击来源
31
9、操作日志
操作日志记录的是用户登陆WAF管理平台后进行的各种配置操作的记录,及时跟踪用 户的操作情况。
32
10、系统日志
系统日志记录的是明御WAF系统事件的名称和发生时间。系统事件主要包括CPU使 用率、磁盘使用率、内存使用率等信息。
33
11、升级日志
升级日志主要对升级的软件版本进行记录,主要记录升级的时间、软件版本、以及版本 中所增加的功能。
vbscript、data、mocha、livescript等关键字
10
2、规则误报调整———常见的比较容易误报的规则
目前WAF规则常见的误报规则如下所示: 1. 跨站脚本攻击13011075————阻止xss注入攻击,防类似“<STYLE
TYPE="text/javascript">alert('XSS');</STYLE> ”的字符串 2. 服务器信息泄露16020001————阻止泄露服务的错误信息,防应用不存在
25
5、访问审计日志————访问统计
Step 2:点击“重新统计”,即可查看到相应的访问统计日志
26
6、防篡改日志
防篡改日志主要记录的是Web服务器相关页面被篡改的信息。点击“日志”—“防篡改 日志”,从中我们可以看到发生篡改的服务器,篡改发生时间,被篡改页面的URL地址, 原文件内容,篡改后的文件内容。
14
2、规则误报调整———自定义报表
利用自定义报表对一段时间内触发的规则号进行统计,根据自定义报表生成的统计结果进 行分析
Step 1:选择“报表”——“自定义报表”,目前WAF内置多个自定义报表,可以选择第一 个报表类型,然后点击“查看”按钮
15
2、规则误报调整———自定义报表
Step 2:首先选择时间范围,可以选择“最近三天”或者“最近一周”
8
2、规则误报调整——常见的比较容易误报的规则
目前WAF规则常见的误报规则如下所示:
1. 协议违规11010001————对HTTP请求行进行基本的合规性验证,如对请求方 法进行有效性验证
2. 协议违规11010007————防止参数中包含无效的转义字符(%) 3. 协议违规11010013————对multipart/form-data格式严格检查 4. 协议违规11010014————过滤特殊字符,如'“ 5. 文件限制11060007————阻止URL文件扩展名受限制的访问,“browser.html,
18
2、规则误报调整———查询告警日志
根据误报分析或者自定义报表对部分规则调整完毕之后可能还会存在规则误报的问题, 则需要根据告警日志进行自定义查询
1.可以根据客户端的IP地址,指定时间范围进行告警日志的自定义查询 2.可以根据被阻断的URL,指定时间范围进行告警日志的自定义查询 3.找到告警日志之后,可以对触发的规则关闭或者添加URL白名单
onClick 6. 跨站脚本攻击13011069————阻止xss注入攻击,防类似a、abbr等html元素关键
字 7. 跨站脚本攻击13011073————阻止xss注入攻击,防background、dynsrc、href、
lowsrc、src等关键字 8. 跨站脚本攻击13011074————阻止xss注入攻击,防asfunction、javascript、
16
2、规则误报调整———自定义报表
Step 3:选择“指定报表类型”只选择“规则号”其他不需要选择,然后点击“生成报表”按 钮
17
2、规则误报调整———自定义报表
Step 4:根据生成的自定义报表查看一段时间内每条规则触发的数量
总结:
1.通过自定义报表方式对规则进行调整,对于一段时间内触发比较多的规则可以直接进 行关闭,比如一条规则触发几十万设置上百万,这条规则误报性比较大,建议关闭 2.通过自定义报表对规则调整的方式,可以关闭大部分误报性比较高的规则,但是可能 还有一小部分规则误报,针对这种情况只能从告警日志中查询并找出这条规则,关闭规 则或者添加URL白名单
5
1、应用防护日志
WAF告警日志可以记录“请求头部内容”、“POST请求内容”、“服务器返回头部内 容”、“服务器返回内容” 点击告警日志中的“详细”按钮,可以查看“请求头部”、“请求内容”、“服务器返回 头部”、“服务器返回内容”,通过查看“请求头部”、“请求内容”方便我们更好的对 规则进行调整,一般攻击都是集中在“请求头部”、“请求内容”,因此要学会查看请求 头部和请求内容
29
8、误判分析配置
Step 1:选择“日志”—“误判分析”—“新分析”,选择分析的起始时间,选择 的时间范围尽可能的缩小,按确定按钮等待一段时间后生成分析结果(分析时间根 据日志数量决定)
30
8、误判分析配置
误判分析分析结果处理方案: 1.结论中出现少量URL频繁触发可将触发的URL添加至该规则白名单中 2.出现较多的URL触发该规则,可将该规则直接禁用
11
2、规则误报调整———具体方法
WAF初始上架策略规则一开始需要设置为仅检测,WAF设备运行一周左右的时间需要进 行规则的调整,然后将规则引擎设置为“启用”
规则误报调整的具体方案:
1.可以利用误判分析功能协助进行规则的调整,误判分析可以根据一段时间的告警日志进 行汇总、分析并生成分析结果
2.可以利用自定义报表对一段时间内触发的规则号进行统计,根据自定义报表生成的统计 结果进行分析,比如统计最近5天的结果,如果一条规则5天内触发了几十万条甚至百万条 那么这条规则误报的可能性比较大,建议关闭规则
ewebeditor.asp,fckeditor.html” 6. 文件限制11060008————阻止URL文件扩展名受限制的访问,如
“ewebeditor.asp” 7. 文件限制11060009————阻止异常的请求体类型 8. SQL注入12010091————阻止sql进行注入攻击,防参数中出现单引号 9. SQL注入12010092————阻止sql进行注入攻击,防参数、cookie中的注释符
19
3、网络防护日志
网络防护日志主要记录触发智能防护功能以及网络防护功能(黑白名单、并发数限制、连 接频率限制)的攻击者,可以记录攻击的时间、客户端IP、服务器IP等信息。
20
4、CC防护日志
CC防护日志是对CC攻击进行防护后产生的日志。CC防护日志记录的内容主要有攻击时间、 攻击者IP地址、触发规则、动作和被CC攻击的URL等内容,通过CC防护日志能够更好的 协助管理员及时地了解攻击行为和攻击来源。
告警日志中点击触发的规则号,可以查看规则的描述,另外还可以对规则进行如下调整:
1.可以对规则状态进行调整,比如关闭规则,如果这条规则导致大量的误报,可以关闭该规则 2.大部分规则的动作默认是“阻断并告警”,如果该规则误报性比较高,可以选择将规则动作选择 为“仅检测” 3.在规则调整误报的时候,可以选择将URL添加到规则白名单中,点击“添加当前URL到白名单”, WAF会自动将URL加入到白名单中,这样这条规则就不会在检测该URL
3
1、应用防护日志
告警日志需要查看“攻击特征串”、“触发的规则号” 攻击特征串:通过查看攻击特征串可以明确是什么攻击特征导致触发了WAF规则 触发的规则号:通过查看触发的规则号,告警告警日志中的规则号,可以查看规则的描 述,另外可以对规则进行调整,比如是否开启规则,规则的动作进行调整
4
1、应用防护日志
24
5、访问审计日志————访问统计
访问统计主要是对每日、每周、每月Web保护站点的访问流量进行日志统计,可以对每日、每天、 每月的Web的访问流量、访问者的IP(TOP10)、访问URL(TOP10)、访问的文件类型等信息 进行统计。通过这些信息可以有助于管理员更好的了解每日、每周、每月的Web业务是否正常。 Step 1:选择“日志”—“访问审计”,用户根据实际的需要选择相应的“保护站点”、选择 相应的时间段
'/**/ 10. SQL注入12010093————阻止sql进行注入攻击,防参数、cookie中的注释符
'#'和关键字
9
2、规则误报调整———常见的比较容易误报的规则
目前WAF规则常见的误报规则如下所示:
1. SQL注入12010093————阻止sql进行注入攻击,防参数中的注释符'--'和关键字 2. SQL盲注12020061————阻止sql盲注,防"||"或者以"/* */"注释分 割特征串的注
注意:WAF再进行误报分析时尽可能的缩短时间范围,比如4天或一周,如果时间范围 比较大,告警日志量比较大可能会导致误判分析一直统计结果最终统计不出任何结果
13
2、规则误报调整———误判分析
误判分析分析结果处理方案: 1.结论中出现少量URL频繁触发可将触发的URL添加至该规则白名单中 2.出现较多的URL触发该规则,可将该规则直接禁用
27
7、IP信誉库日志
WAF内置国际公认的恶意IP库,如果有恶意的IP访问保护的web服务器就会触发IP信誉库 功能并生成告警日志,通过IP信誉库日志可以查看IP地址及IP所在区域
28
8、误判分析
WAF可以自动针对一段时间的告警日志进行汇总、分析并生成分析结果,工程师可以 根据分析结果进行规制调整
21Leabharlann 4、CC防护日志——被CC攻击的URL
• 选择“日志”—“CC防护日志”点击“原因”模块中“某个URL”就能看到被CC 攻击的URL路径
22
5、访问审计日志
访问审计提供用户查询历史访问日志信息,以便用户对访问日志进行统计分析。可以 针对客户端IP、URL、时间、主机名等选项进行查询。
23
5、访问审计日志————查看完整访问列表
入 3. SQL盲注12020062————阻止sql盲注,防"=+++"或者以"0+0+0“等绕过型SQL
盲注 4. 跨站脚本攻击13010046———— 阻止xss注入攻击,防类似“<SCRIPT
SRC="/xss.jpg"> 5. 跨站脚本攻击13010061————阻止xss注入攻击,防类似“><a href="#nogo"
34
谢谢!
35
3.根据误判分析和自定义报表调整完部分规则之后,如果还出现策略误报导致业务被阻断 的情况则需要根据实时的告警日志进行分析,比如查看攻击特征串,查看请求头部和请求 内容判断是否属于误报。
12
2、规则误报调整———误判分析
明御WAF可以自动针对一段时间的告警日志进行汇总、分析并生成分析结果,工程师可以根据分 析结果进行规制调整
6
1、应用防护日志——请求头部内容
一般攻击都会存在请求的URL、请求参数中、或者请求请求头部的各个字段中,比如 user-agent、referer等字段中,常见的攻击主要是SQL注入、XSS、命令注入等
7
1、应用防护日志——请求内容
有些攻击会在POST参数或POST内容中存在,因此需要查看请求内容,常见的攻击包括 SQL注入、XSS等
安恒明御 WAF防火墙日志管理功能指南
技术创新 变革未来
日志管理
1. 应用防护日志 2. 网络防护日志 3. CC防护日志 4. 访问审计 5. 防篡改日志 6. IP信誉库 7. 误判分析 8. 操作日志 9. 系统日志 10. 升级日志
2
1、应用防护日志
应用防护日志是对攻击事件的记录审计,常见的攻击行为有SQL注入、XSS、CSRF等攻 击行为都可以通过应用防护日志进行记录。应用防护日志记录的内容主要有攻击者IP地 址、攻击特征、攻击时间、URL地址等内容,通过应用防护日志能够更好的协助管理员 及时的了解攻击行为和攻击来源
31
9、操作日志
操作日志记录的是用户登陆WAF管理平台后进行的各种配置操作的记录,及时跟踪用 户的操作情况。
32
10、系统日志
系统日志记录的是明御WAF系统事件的名称和发生时间。系统事件主要包括CPU使 用率、磁盘使用率、内存使用率等信息。
33
11、升级日志
升级日志主要对升级的软件版本进行记录,主要记录升级的时间、软件版本、以及版本 中所增加的功能。
vbscript、data、mocha、livescript等关键字
10
2、规则误报调整———常见的比较容易误报的规则
目前WAF规则常见的误报规则如下所示: 1. 跨站脚本攻击13011075————阻止xss注入攻击,防类似“<STYLE
TYPE="text/javascript">alert('XSS');</STYLE> ”的字符串 2. 服务器信息泄露16020001————阻止泄露服务的错误信息,防应用不存在
25
5、访问审计日志————访问统计
Step 2:点击“重新统计”,即可查看到相应的访问统计日志
26
6、防篡改日志
防篡改日志主要记录的是Web服务器相关页面被篡改的信息。点击“日志”—“防篡改 日志”,从中我们可以看到发生篡改的服务器,篡改发生时间,被篡改页面的URL地址, 原文件内容,篡改后的文件内容。
14
2、规则误报调整———自定义报表
利用自定义报表对一段时间内触发的规则号进行统计,根据自定义报表生成的统计结果进 行分析
Step 1:选择“报表”——“自定义报表”,目前WAF内置多个自定义报表,可以选择第一 个报表类型,然后点击“查看”按钮
15
2、规则误报调整———自定义报表
Step 2:首先选择时间范围,可以选择“最近三天”或者“最近一周”
8
2、规则误报调整——常见的比较容易误报的规则
目前WAF规则常见的误报规则如下所示:
1. 协议违规11010001————对HTTP请求行进行基本的合规性验证,如对请求方 法进行有效性验证
2. 协议违规11010007————防止参数中包含无效的转义字符(%) 3. 协议违规11010013————对multipart/form-data格式严格检查 4. 协议违规11010014————过滤特殊字符,如'“ 5. 文件限制11060007————阻止URL文件扩展名受限制的访问,“browser.html,
18
2、规则误报调整———查询告警日志
根据误报分析或者自定义报表对部分规则调整完毕之后可能还会存在规则误报的问题, 则需要根据告警日志进行自定义查询
1.可以根据客户端的IP地址,指定时间范围进行告警日志的自定义查询 2.可以根据被阻断的URL,指定时间范围进行告警日志的自定义查询 3.找到告警日志之后,可以对触发的规则关闭或者添加URL白名单
onClick 6. 跨站脚本攻击13011069————阻止xss注入攻击,防类似a、abbr等html元素关键
字 7. 跨站脚本攻击13011073————阻止xss注入攻击,防background、dynsrc、href、
lowsrc、src等关键字 8. 跨站脚本攻击13011074————阻止xss注入攻击,防asfunction、javascript、
16
2、规则误报调整———自定义报表
Step 3:选择“指定报表类型”只选择“规则号”其他不需要选择,然后点击“生成报表”按 钮
17
2、规则误报调整———自定义报表
Step 4:根据生成的自定义报表查看一段时间内每条规则触发的数量
总结:
1.通过自定义报表方式对规则进行调整,对于一段时间内触发比较多的规则可以直接进 行关闭,比如一条规则触发几十万设置上百万,这条规则误报性比较大,建议关闭 2.通过自定义报表对规则调整的方式,可以关闭大部分误报性比较高的规则,但是可能 还有一小部分规则误报,针对这种情况只能从告警日志中查询并找出这条规则,关闭规 则或者添加URL白名单
5
1、应用防护日志
WAF告警日志可以记录“请求头部内容”、“POST请求内容”、“服务器返回头部内 容”、“服务器返回内容” 点击告警日志中的“详细”按钮,可以查看“请求头部”、“请求内容”、“服务器返回 头部”、“服务器返回内容”,通过查看“请求头部”、“请求内容”方便我们更好的对 规则进行调整,一般攻击都是集中在“请求头部”、“请求内容”,因此要学会查看请求 头部和请求内容
29
8、误判分析配置
Step 1:选择“日志”—“误判分析”—“新分析”,选择分析的起始时间,选择 的时间范围尽可能的缩小,按确定按钮等待一段时间后生成分析结果(分析时间根 据日志数量决定)
30
8、误判分析配置
误判分析分析结果处理方案: 1.结论中出现少量URL频繁触发可将触发的URL添加至该规则白名单中 2.出现较多的URL触发该规则,可将该规则直接禁用
11
2、规则误报调整———具体方法
WAF初始上架策略规则一开始需要设置为仅检测,WAF设备运行一周左右的时间需要进 行规则的调整,然后将规则引擎设置为“启用”
规则误报调整的具体方案:
1.可以利用误判分析功能协助进行规则的调整,误判分析可以根据一段时间的告警日志进 行汇总、分析并生成分析结果
2.可以利用自定义报表对一段时间内触发的规则号进行统计,根据自定义报表生成的统计 结果进行分析,比如统计最近5天的结果,如果一条规则5天内触发了几十万条甚至百万条 那么这条规则误报的可能性比较大,建议关闭规则
ewebeditor.asp,fckeditor.html” 6. 文件限制11060008————阻止URL文件扩展名受限制的访问,如
“ewebeditor.asp” 7. 文件限制11060009————阻止异常的请求体类型 8. SQL注入12010091————阻止sql进行注入攻击,防参数中出现单引号 9. SQL注入12010092————阻止sql进行注入攻击,防参数、cookie中的注释符
19
3、网络防护日志
网络防护日志主要记录触发智能防护功能以及网络防护功能(黑白名单、并发数限制、连 接频率限制)的攻击者,可以记录攻击的时间、客户端IP、服务器IP等信息。
20
4、CC防护日志
CC防护日志是对CC攻击进行防护后产生的日志。CC防护日志记录的内容主要有攻击时间、 攻击者IP地址、触发规则、动作和被CC攻击的URL等内容,通过CC防护日志能够更好的 协助管理员及时地了解攻击行为和攻击来源。
告警日志中点击触发的规则号,可以查看规则的描述,另外还可以对规则进行如下调整:
1.可以对规则状态进行调整,比如关闭规则,如果这条规则导致大量的误报,可以关闭该规则 2.大部分规则的动作默认是“阻断并告警”,如果该规则误报性比较高,可以选择将规则动作选择 为“仅检测” 3.在规则调整误报的时候,可以选择将URL添加到规则白名单中,点击“添加当前URL到白名单”, WAF会自动将URL加入到白名单中,这样这条规则就不会在检测该URL
3
1、应用防护日志
告警日志需要查看“攻击特征串”、“触发的规则号” 攻击特征串:通过查看攻击特征串可以明确是什么攻击特征导致触发了WAF规则 触发的规则号:通过查看触发的规则号,告警告警日志中的规则号,可以查看规则的描 述,另外可以对规则进行调整,比如是否开启规则,规则的动作进行调整
4
1、应用防护日志