分析与日志
  • 日志服务
    • 概述
    • 实时日志
      • 实时日志概述
      • 推送至腾讯云 CLS
      • 推送至 AWS S3 兼容对象存储
      • 推送至 HTTP 服务器
    • 离线日志
    • 相关参考
      • 字段说明
        • 七层访问日志
        • 四层代理日志
      • 推送实时日志筛选条件
      • 自定义推送日志字段
  • 数据分析
    • 概述
    • 流量分析
    • 缓存分析
    • 安全分析
      • 站点安全概览
      • Web 安全分析
    • 四层代理
    • DNS 解析
    • 相关参考
      • 如何使用筛选条件
      • 如何修改查询时间范围
      • 如何导出统计数据与报告
  • AlarmService
    • Custom Statistical Metrics

Web 安全分析

概述

Web 安全分析提供了安全事件精细化分析工具,为您制定或调整安全策略提供参考。您不仅可以查看近期安全事件在数十个维度下的统计分析和分布趋势,并通过查看样本日志,进一步了解某一事件的具体内容和详细信息。Web 安全分析为 EdgeOne 的 web 安全功能提供了多个分析维度,帮助您制定高效的安全策略。

支持的能力

说明:
由于一个安全事件中,单个请求可能命中多个安全规则。在进行筛选或选择统计维度时,请注意区分规则的处置方式和请求的处置结果。
例如:一个请求命中了多条处置方式为观察的规则,同时命中了一条处置方式为拦截的规则,导致该请求最终的处置结果为拦截。




1. 数据时间范围

通过调整查询时间范围,您可以查询某一特定时间段的安全事件。
说明:
不同版本套餐可支持的查询时间范围请参见 套餐选项对比

2. 添加筛选

支持的根据请求特征、规则 ID 等多种维度筛选需要统计的 Web 安全数据,Web 安全分析支持的筛选项可参考 如何使用筛选条件
说明:
1. 同一个请求可能命中多条规则,因此当使用规则 ID 筛选时,会展示同时命中的其他规则的统计详情和趋势分布。
2. 您可以在统计详情中点击需要筛选的特征值,快速添加到筛选。

3. 分析维度

统计分析:帮助您按所选维度展示指标排名,发现异常访问量和异常访问趋势。例如:当您选择按 User-Agent 头部维度展示时,您可以查看访问的设备分布和访问指标趋势,从而鉴别出访问量异常的设备类型,以及匀速周期访问的可疑访问行为。
样本日志:帮助您进一步查看安全事件详情,判断请求命中的安全策略是否符合预期。例如:您可以通过样本日志查看请求命中的托管规则,以及托管规则匹配的字段内容,从而帮助您判断是否为误杀,并据此调优安全策略。

4. 常用视图

您可以根据需要,将当前视图选项保存为常用视图,便于后续快捷使用。您可以为常用视图命名,视图将保存当前趋势展示选项、统计指标和 统计维度信息。

5. 趋势展示统计方式

说明:
当调整数据筛选时间范围时,数据颗粒度会对应调整,以确保有合适的趋势图表展示。
您可以按需要调整趋势图的展示选项:
数据颗粒度:趋势图中每个柱对应的数据统计时长。
汇聚方式:趋势图中每个柱对应数据的计算方式。
总和:展示按所选维度过滤数据后,该时间段段内所有统计项的指标总和。例如:趋势图中一个柱对应的统计时段中,有 6000 个请求,则该柱展示数据为 6000。
平均值:展示按所选维度过滤数据后,该时间段段内所有统计项指标的平均值。例如:按 Host 维度展示统计数据时,数据共包含 5 个 Host 数据,趋势图中一个柱对应的统计时段中,有 6000 个请求,则该柱展示数据为 6000 / 5 = 1200。
最大值:展示按所选维度分拆数据后,该时间段内的最大数据项。
99 分位值:展示按所选维度分拆数据后,该时间段内大于 99% 数据项的最小数值,即:该值大于其他 99% 的统计项指标值。
99.9 分位值:展示按所选维度分拆数据后,该时间段内大于 99.9% 数据项的最小数值,即:该值大于其他 99.9% 的统计项指标值。

6. 统计指标

您可以选择展示请求数或者平均请求速率指标,来展示需要的统计特征(如:速率特征或请求数特征)。
请求数:按当前统计维度展示总请求数,用于区分大量请求的访客特征。例如:按请求 Host维度分析,可以区分出访问较集中的业务域名。
平均请求速率:按当前统计维度统计平均请求速率,用于区分访问频次较高的访客特征。例如:按User-Agent头部维度分析,可区分出访问频率异常的设备类型。

7. 统计维度

Web 安全分析提供了下列分析维度分类,您可以选择按所选维度调整统计对象和分组方式:
请求属性分类的统计维度有:
客户端 IP:统计来自不同客户端 IP 的请求数。
客户端 IP(XFF 头部优先):统计来自不同客户端 IP 的请求数。如果客户端经过 Web 代理访问,将按 XFF 头部中最近一跳的 IP 统计。
User-Agent:统计来自不同设备类型(通过 HTTP User-Agent 头部区分)的请求。
请求 URL:统计访问不同 URL (包括访问路径和查询参数)的请求。
域名 Host:统计访问不同域名(通过 HTTP 头部 Hostname 区分)的请求。
来源 Referer:统计使用不同引用方式(通过 HTTP Referer 头部区分)访问资源的请求。
规则属性分类的统计维度有:
类型:统计命中不同安全模块(如:自定义规则、托管规则等)的请求。
规则 ID:统计命中不同规则的请求。
说明:
1. 您可以使用规则分类中规则 ID 选项合并展示命中所有安全防护规则的请求。
2. 您也可以使用具体安全功能分类中的规则 ID 选项,仅查看命中该模块中规则的情况。如:按命中 Web 防护自定义规则的规则 ID 来统计请求。
3. 不同版本套餐可支持的统计维度不同,详情请参见 套餐选项对比
您也可以选择其他按防护功能提供的分析选项。如:托管规则的命中字段、Bot 智能分析的 Bot 标签等,来进行统计分析。

8. 统计趋势图

统计趋势图将根据您的趋势展示选项和筛选条件,展示对应的汇聚数据柱状图。

9. 统计详情

根据您的统计维度和统计指标选项,展示不同维度的请求特征值,以及对应的指标。例如:当选择了请求数指标和 User-Agent 分析维度时,统计详情部分将展示不同客户端设备类型(User-Agent 头部取值)的请求数,按请求数从大到小排列展示,并展示各个设备类型的请求趋势。

分析示例

场景一:分析近 1 天内 CC 攻击防护的请求趋势

场景示例

假设您的站点 example.com 发现可疑的访问量突增,命中了 CC 攻击防护规则。需要分析在近 1 天内所有命中 CC 攻击防护的请求是否为正常请求,您可以参考以下步骤进行分析。

操作步骤

1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
2. 在站点详情页面,单击数据分析 > 安全防护,默认进入站点安全概览分析页内,在上方单击 Web 安全分析
3. 筛选查看需要分析的站点域名、时间范围以及聚合条件,以当前场景为例,可选择过去 1 天的时间范围内。
4. 在统度分析中,单击 Web 防护-CC 攻击防护 > 规则 ID



5. 查看数据结果,以上图为例,智能客户端过滤触发的请求数非常高(规则 ID:4294967293)可单击该规则 ID 加入筛选。然后单击左侧统计维度内的请求 > User Agent,即可查看命中该规则的所有 User Agent 头部汇总信息。您可以根据 User Agent 值判断是否符合您正常客户端预期。您也可以在统计维度中继续添加其它统计维度,例如:客户端 IP 和 请求 URL 来进一步缩小筛选范围。

场景二:分析近 1 天内疑似 Bot 请求是否存在异常请求

场景示例

假设您的站点 example.com 近期频繁遭遇疑似 Bot 访问,需要分析在过去1天内所有疑似 Bot 请求访问的是否为正常请求,您可以参考以下步骤进行分析。

操作步骤

1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
2. 在站点详情页面,单击数据分析 > 安全防护,默认进入站点安全概览分析页内,在上方单击 Web 安全分析
3. 筛选查看需要分析的站点域名、时间范围以及聚合条件,以当前场景为例,可选择过去 1 天的时间范围内。
4. 在统计分析中,单击 Bot 管理-Bot 智能分析 > Bot 标签
5. 查询数据结果,在统计详情内,可以看到相应 Bot 标签的请求次数。以当前场景为例,可以单击疑似 Bot 请求 > 加入等于筛选做进一步分析,加入筛选条件后,您也可以在统计维度中继续添加其它统计维度,例如:User-Agent 来进一步缩小筛选范围。



6. 单击样本日志,切换至详细样本日志分析,单击每条日志左侧的箭头可展开查看详细的请求头以及命中规则情况,来用于判断该请求是否为正常请求。