安全防御日志主要记录业务攻击的行为,包括Web应用防护、漏洞攻击防护、僵尸网络、网站访问、邮件安全和Dos攻击。攻击威胁触发安全策略,则会被记录安全日志,如果判断该攻击事件是误判,则可以对这个攻击事件进行添加例外排除,如果判断为真实攻击威胁,则可根据日志详情中提供的“解决方案”指引对攻击事件进行处置。可以对日志进行导出,然后进行分析或者在搜索框中输入IP/域名搜索对应的日志信息。
某企业网络管理员发现Web服务器正遭受攻击,需要查看Web防护日志、确定攻击的IP和攻击使用的手段等信息。
步骤1.点击<查询条件>,根据需求选择搜索的条件,如下图所示。
日志查询条件说明
|
查询条件 |
说明 |
|
起始/结束时间 |
选择查询开始至结束的时间 |
|
源区域 |
日志来源的区域 |
|
源地址 |
攻击者的来源IP |
|
目的区域 |
攻击目的IP的区域 |
|
目的地址 |
攻击者攻击的IP |
|
日志类型 |
可以根据不同的日志类型进行筛选 |
|
严重等级 |
根据不同的安全级别进行筛选 |
|
动作 |
根据日志的动作进行筛选 |
步骤2.根据需求选择对应的时间日期,勾选Web应用防护,查看Web应用防护日志,如下图所示。
步骤3.查看Web应用防护日志,如下图所示。
步骤4.点击<查看详情>,查看攻击行为是否为误报,如下图所示。
基础信息:描绘该攻击行为的一些信息,如匹配的规则ID、请求方式等;
数据包:记录该数据包完整的请求信息,标红部分为攻击的特征。
可以根据查看日志的详细信息判断是否为误报,如果为误报则添加到例外。例外添加在日志最右端操作界面上,点击<更多>,选择添加例外,弹对话框。
URL:需要匹配的URL。
排除例外:对匹配上的源目IP、目的端口、规则ID进行添加例外。
仅排除参数值符合以下特征需求:Web应用防护的网站攻击检测将跳过这些参数的检查。主要用于正常业务下某些请求参数因携带特征串而被检测为攻击的情况,可以只针对这些参数排除。
建议使用Chrome浏览器访问!
