分析与日志
  • 日志服务
    • 概述
    • 实时日志
      • 实时日志概述
      • 推送至腾讯云 CLS
      • 推送至 AWS S3 兼容对象存储
      • 推送至 HTTP 服务器
    • 离线日志
    • 相关参考
      • 字段说明
        • 七层访问日志
        • 四层代理日志
      • 推送实时日志筛选条件
      • 自定义推送日志字段
  • 数据分析
    • 概述
    • 流量分析
    • 缓存分析
    • 安全分析
      • 站点安全概览
      • Web 安全分析
    • 四层代理
    • DNS 解析
    • 相关参考
      • 如何使用筛选条件
      • 如何修改查询时间范围
      • 如何导出统计数据与报告
  • AlarmService
    • Custom Statistical Metrics

站点安全概览

概述

站点安全概览集中展示了站点面临的主要安全风险情况。通过展示一段时间内命中 EdgeOne 安全模块的请求统计情况,包括趋势图和 TOP N 图表,站点安全概览可以为您提供多个维度安全风险参考:风险严重和紧急程度(安全事件规模与趋势)、安全风险的主要对象(攻击的主要目标域名、路径等)和风险分类(主要攻击方式,如 HTTP DDoS 攻击、漏洞攻击和爬虫访问等)。通过这些信息,您可以快速了解当前站点面临的安全威胁,并对应调整或加固安全策略。

支持的能力

站点安全概览提供了多种统计分析功能,展示命中安全规则请求的整体情况,来帮助您快速评估威胁。




1. 数据范围

调整数据时间范围,展示不同时间段内的安全事件数据。

2. 过滤与筛选

说明:
筛选条件将对页面的所有数据生效,包括自定义规则、速率限制、CC攻击防护、托管规则、Bot管理分页中的统计数据。
当查询的数据量较大时,可能会消耗较长的查询时间。
站点安全概览支持的筛选项可参考 如何使用筛选条件

3. 关键防护指标数据

托管规则:查看命中托管规则,携带漏洞攻击特征的请求。
CC 攻击防护:查看命中 CC 攻击防护,可能对站点可用性造成风险的请求。
速率限制规则:查看触发速率限制规则,可能滥用资源或应用接口的请求。
自定义规则:查看触发自定义规则的请求。您可以进一步分析请求趋势,评估您的定制安全策略。
Bot 管理:查看来自自动化程序(Bot)的请求,包括搜索引擎和自动化工具在内的各类爬虫请求。

4. 安全事件趋势图

趋势图帮助您理解某一段时间内的外部安全风险趋势,并通过堆叠图方式展示整体风险规模和各个风险分类的规模趋势,帮助您快速评估风险的严重程度和优先级,以采取合适的流程应对。
说明:
趋势图为叠加面积图,其中:
纵轴展示了命中各个安全模块,包括命中自定义规则、速率限制、CC 攻击防护、托管规则和 Bot 管理模块的请求数。
横轴展示了时间戳,对应计数窗口的起始时间。例如:当数据按1分钟颗粒度展示时,16:05:00的数据点对应了16:05:00-16:05:59的请求数总和。

5. 安全事件分类统计展示

指标
指标说明
命中规则统计
命中安全防护规则的 TOP 10 规则统计,包含命中规则的Host、规则ID、处置方式以及命中时间、命中请求数信息
请求路径统计
命中安全防护规则的请求路径 TOP 10 数据
客户端 IP 统计
命中安全防护规则的请求客户端 IP TOP 10 统计
客户端分布统计
命中 Web 防护规则的客户端分布地区 TOP 10 统计
已拦截恶意客户端统计
统计 CC 攻击防护内已拦截恶意客户端 IP 数量
Bot 标签趋势
统计已拦截的 Bot 标签趋势
在安全事件中,您也可以通过单击对应的域名、请求路径、规则 ID、客户端 IP 快速加入为筛选条件,查看更细致维度的统计分析数据;
如果在安全概览中发现某规则 ID 拦截了正常请求,可单击该规则 ID,单击新建防护例外规则,快速新建一条防护例外规则。

分析示例

场景一:查看正在进行的 CC 攻击活动

使用站点安全概览中的趋势图,趋势图的峰值对应着各类攻击总量,CC 攻击规模通常对应了速率限制和 CC 攻击防护的命中请求数。
用于 CC 攻击的客户端数量往往对应着攻击强度和攻击方的成本投入,您可以在 CC 攻击防护分页中查看已拦截的恶意客户端数量,来判断攻击方投入的资源,作为防护参考。
说明:
当已拦截的恶意客户端数量超过2000个时,通常意味着攻击方投入了较多资源,并调用了一个或多个 Botnet 网络,请考虑升级企业版并购买独立 DDoS 防护,以确保有足够防护资源进行对抗,避免攻击造成业务损失。

场景示例

当您的站点 example.com 内域名 www.example.com 在近1小时内遭受了大规模 CC 攻击时,您需要第一时间了解关于该威胁的信息,以便制定针对性的防护策略或评估已有策略。除了在流量分析页面查看状态码比例,检查是否对业务造成影响外,您也可以在安全分析 > 站点安全概览页中查看安全模块的统计情况。

操作步骤

1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
2. 在站点详情页面,单击数据分析 > 安全防护,默认进入站点安全概览分析页内。
3. 修改查看需分析的站点域名和时间范围。以本场景为例,选择业务域名为 www.example.com 的域名在近1小时内的安全防护数据。



4. 筛选后,会自动根据筛选结果查询安全分析数据。查看 Web 防护趋势,您可以通过点击图例下方的指标值,关闭其余指标展示,只展示 CC 攻击防护的攻击规模和趋势。



5. 在下方安全分类事件统计中,单击 CC 攻击防护,查看已拦截恶意客户端统计,可查看当前已出发拦截的客户端 IP 数量和趋势分布,确认发起攻击的客户端 IP 数量。



6. 分别切换至 CC 攻击防护和速率限制分页中,可以查看该域名命中次数最多的 TOP 规则列表,从而明确攻击的主要目标和对应方式。根据分析结果,您可以前往 CC 攻击防护速率限制 内配置调整相应的防护策略。

场景二:评估漏洞攻击防护策略

使用托管规则防护漏洞攻击时,需要进行测试调优避免误拦截。此时,站点安全概览可以帮助您评估规则的整体识别情况,并快速识别出可能误报的规则。
通常情况下,漏洞攻击具有偶发性特点,仅有少数场景(如:扫描站点漏洞)可能存在持续命中托管规则的情况。因此,当观察到持续命中固定规则时,需要排除规则误报的情况。

示例场景

当您持续接受到不同的用户反馈当前请求被拦截导致无法访问站点站点 example.com 内域名 www.example.com 的内容时,需要查看是否因为该用户请求命中了安全防护规则导致被拦截,需要对规则进行调优。其中,客户端 IP 为1.1.1.1用户为可信任的内部测试用户,也遭到了拦截。

操作步骤

1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
2. 在站点详情页面,单击数据分析 > 安全防护,默认进入站点安全概览分析页内。
3. 筛选查看需分析的站点域名、时间范围。以本场景为例,选择业务域名为 www.example.com 的域名在近7天内的安全防护数据。



4. 在托管规则分页中,查看所有命中规则统计,当有规则 ID 大量命中请求时,可单击该规则 ID,选择筛选 > 加入筛选,将该规则 ID 加入筛选条件,查看所有命中该规则 ID 的请求,触发的详细请求路径、客户端 IP 以及命中趋势信息。



5. 分析后,如果您发现该规则确实拦截了正常的路径请求或客户端 IP,但是也拦截了部分非正常的业务请求,您可以单击该规则 ID,选择规则例外 > 新建防护例外规则,快速新建一条 Web 防护例外规则。以本场景为例,新建一条规则,将受信任的客户端 IP 1.1.1.1 加入防护例外规则,跳过该规则 ID 扫描。



6. 如果需要查看更详细的规则命中日志,您可以记录该规则 ID,使用 Web 安全分析来进一步查看命中该规则 ID 的请求样本来判断是否为正常请求。

场景三:查看所有站点的整体安全趋势

场景示例

当您添加多个站点并在 EdgeOne 稳定运行一段时间后,为查看所有站点的安全防护趋势,找出其中频繁遭遇 CC 攻击的站点及域名,用于进一步对该站点域名加强防护,可以参照如下步骤操作。

操作步骤

1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击数据分析 > 安全分析,进入多站点聚合的缓存分析页面,默认为站点安全概览页面。
2. 在该页面内可查看所有站点汇总的安全防护统计数据,在下方的安全事件分类统计展示中,单击 CC 攻击防护,查看命中规则统计,可以看到命中 CC 规则最多的域名、规则名称、处置方式以及命中的请求数。



3. 您可以进一步点击对应域名,将该域名添加为筛选项后,进一步分析该域名触发的 CC 防护规则触发次数趋势以及客户端分布。之后参考 CC 攻击防护配置文档来进一步优化防护策略。