边缘安全
  • 概述
  • DDoS 防护
    • DDoS 防护概述
    • 使用独立 DDoS 防护
    • 配置独立 DDoS 防护策略
      • 调整 DDoS 防护等级
      • 独立 DDoS 攻击流量告警
      • 配置 IP 黑白名单
      • 配置区域封禁
      • 配置端口过滤
      • 配置特征过滤
      • 配置协议封禁
      • 配置连接类攻击防护
      • 相关参考
        • 处置方式
        • 相关概念介绍
  • Web 防护
    • 概述
    • 托管规则
    • CC 攻击防护
    • 自定义规则
    • 自定义速率限制规则
    • 防护例外规则
    • 托管定制规则
    • Web 安全监控告警
    • 相关参考
      • Web 防护请求处理顺序
      • 处置方式
      • 匹配条件
  • Bot 管理
    • 概述
    • Bot 智能分析
    • Bot 基础特征管理
    • 客户端画像分析
    • 主动特征识别
    • 自定义 Bot 规则
    • Bot 管理例外规则
    • 相关参考
      • 处置方式
  • 策略模板
  • IP 和网段分组
  • 源站防护
  • 自定义响应页面
  • 告警通知推送
  • SSL/TLS
    • 概述
    • 部署/更新 SSL 托管证书至 EdgeOne 域名
    • 使用免费证书部署至 EdgeOne 域名
    • HTTPS 配置
      • 强制 HTTPS 访问
      • 启用 HSTS
      • SSL/TLS 安全配置
        • 配置 SSL/TLS 安全等级
        • TLS 版本及密码套件说明
      • 开启 OCSP 装订
Docs Overview/
边缘安全/
Web 防护/
Web 安全监控告警/

Web 安全监控告警

功能简介

Web 安全监控规则可为您提供实时、定制化的安全事件通知,并支持 Webhook 推送,使告警与常用企业通讯工具无缝对接,提高安全运维效率,帮助您快速发现并应对潜在风险。您可以根据业务需求和风险评估,灵活配置监控范围、阈值和告警频率。

配置项说明


配置项
说明
规则名称(必填)
需满足以下要求:
英文、数字和下划线组合;
长度小于32个字符;
不可使用下划线开头。

监控域名(必选)

全部域名:包含本站点下全部域名,也包括后续添加的域名。
指定域名:仅监控本站点下特定域名。
说明
阈值统计仅针对单个域名独立生效,不会合并统计多个域名内的请求数。
监控指标(必选)
支持按处置方式或者按规则选择统计请求范围。
全部处置请求:所有命中安全模块规则,并被处置的请求(不包括放行),计入监控规则的统计计数。
仅统计指定处置方式的请求:命中 Web 防护或 Bot 管理规则,并最终按选择的方式处置的请求,计入监控规则的统计计数。
仅统计命中指定规则的请求:命中指定 Web 防护或 Bot 管理规则的请求。
说明
放行方式不会记录日志,因此不会加入监控统计。
告警开关
控制本条 Web 安全监控规则是否生效。
开启后,将通过消息中心提供的消息推送渠道(站内信/邮件/短信/微信/语音/企业微信服务号)进行告警,具体消息推送渠道可在 消息中心控制台 进行配置。
关闭后,本条 Web 安全监控规则将不再告警,包括消息中心相关渠道和 Webhook 推送。
说明
EdgeOne Web 安全监控告警消息对应消息中心的「安全事件通知」类型消息。
告警配置

静态告警条件(必选)

支持配置按照指定时间窗口内请求达到的阈值数量,当达到指定阈值时,即触发告警。
告警频率(可选)
配置推送告警的频率。当未进行自定义配置时,默认每条规则每 5 分钟最多推送 1 条告警通知。
Webhook 推送(可选)
在 消息中心 提供的消息推送渠道之外,额外提供 Webhook 接口回调方式。
目前支持的渠道包括:企业微信、飞书、钉钉、自定义接口回调。当您填写对应渠道的 Webhook 地址后,可单击测试 Webhook 推送,EdgeOne 将向您填写的地址推送一条测试消息以验证连通性。
消息内容模板以 Go text/template 语法定义,支持通过{{.通知变量}}引用与 Web 安全监控相关的变量。具体可参考消息内容模板与通知变量

场景一:监控站点遭遇 CC 攻击事件并在 5 分钟内告警

某金融业务站点为满足监管合规要求,当业务域名www.example.com被 CC 攻击时需要在 5 分钟内快速响应。因此对站点的 CC 攻击事件进行监控。当站点遭受超过 5000 QPS CC 攻击时,5 分钟内推送告警至其安全运维团队处理。
1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
2. 在站点详情页面,单击安全防护 > 告警通知推送,进入告警通知推送详情页面。
3. 在 Web 安全监控规则卡片中,单击设置,进入规则管理页面。
4. 击添加规则,配置对应的告警规则。以当前场景为例,输入规则名称后,选择监控域名为 www.example.com,监控指标为 CC 攻击防护中高频访问请求限制、智能客户端过滤和慢速攻击防护事件,当 10 秒内超出 50000 次 CC 攻击时,则立即触发告警并通过您在 消息中心控制台 配置的通知渠道发送告警消息。

5. 单击确定完成配置。

场景二:监控命中托管规则的疑似漏洞攻击请求,并推送 Webhook 告警

某企业官网已接入的站点域名为 www.example.com,站点包含客户敏感信息,需时刻关注 SQL 注入类型漏洞攻击情况。当有任何请求命中了 SQL 注入攻击类别的 Web 托管规则时,需要立即触发告警并通过 Webhook 推送至企业微信机器人中,进行进一步分析。
1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
2. 在站点详情页面,单击安全防护 > 告警通知推送,进入告警通知推送详情页面。
3. 在 Web 安全监控规则卡片中,单击设置,进入规则管理页面。
4. 单击添加规则,配置对应的告警规则。以当前场景为例,输入规则名称后,选择监控域名为 www.example.com,监控指标为请求命中托管规则为 SQL 注入攻击防护的规则,在 10 秒内超出 1 次,则立即触发告警并通过您在 消息中心控制台 配置的通知渠道发送告警消息,同时通过 Webhook 推送至指定的 URL 地址中。

5. 单击确定完成配置。

相关参考

Webhook 消息内容模板

消息内容模板以 Go text/template 语法定义,支持通过{{.通知变量}}引用与 Web 安全监控相关的变量。默认消息内容模板如下:
通知类型:站点安全监控通知

账号ID: {{.UIN}}
昵称: {{.AccountName}}
站点名称: {{.Zone}}
监控对象: {{.Object}}
监控规则名称: {{.AlertRule}}
告警时间: {{.StartTime}} (GMT +8:00)
告警条件: {{.Condition.TimeSpan}}秒内超过{{.Condition.Threshold}}个请求
监控项指标: {{.Condition.TimeSpan}}秒内{{.MetricValue}}个请求
通知变量名称
数据类型
变量含义
UIN
String
腾讯云账号 ID
AccountName
String
腾讯云账号昵称
Zone
String
EdgeOne 站点名称
AlertRule
String
告警策略名称
Object
Array of String
告警对象(用户配置的监控域名
Condition
JSON object
告警触发条件(用户配置的静态告警条件
StartTime
String
告警触发时间,默认时区为东八区,示例值:2024-01-08 18:00:40
MetricValue
Integer
告警触发时告警指标值
说明
目前控制台不支持自助修改消息内容模板,若您有相关需求,请联系 售后支持

Condition 对象结构

告警触发条件,即用户配置的静态告警条件
key 名称
value 含义
TimeSpan
用户配置的告警时间窗口
Threshold
用户配置的请求数静态阈值