安全防护事件告警
背景介绍
EdgeOne 联合 腾讯云可观测平台 提供针对 DDoS 攻击、CC 攻击、DDoS 攻击封禁等安全事件的灵活告警解决方案。用户可以利用腾讯云可观测平台的告警能力,设置详细的告警触发规则,并通过 多种通知渠道 接收告警,包括电话、短信、邮件、微信、客户售后 VIP 群等,从而有效提升对安全威胁的响应速度和处理效率。
适用场景
本文档适用于已经接入 EdgeOne,且需要配置安全防护事件告警的所有用户。
默认告警策略
当您将域名/四层代理实例接入 EdgeOne 后,一旦发生安全防护事件,腾讯云可观测平台将默认推送告警消息至您腾讯云 主账号 设置的邮箱、短信。您可在 腾讯云可观测平台-事件总线-事件规则 查看 云服务事件默认告警 规则。
操作步骤
步骤1:配置告警
1. 登录 腾讯云可观测平台控制台,在左侧导航中,选择告警管理 > 告警配置,单击新建策略。
2. 告警策略配置细项如下:
2.1 监控类型选择云产品监控。
2.2 策略类型选择边缘安全加速平台EdgeOne / 站点加速 / 域名;不同安全防护事件的告警配置需要选择不同策略类型,详见下表:
EO 安全防护事件类型 | 腾讯云可观测平台告警策略类型 | 配置含义 |
HTTP 请求突增 | 边缘安全加速平台EdgeOne / 站点加速 / 域名 | 针对指定域名遭受到的 CC 攻击事件进行告警 |
DDoS 攻击 / DDoS 攻击封禁 | 边缘安全加速平台EdgeOne / 四层代理 / 实例 | 针对指定四层代理实例遭受到的 DDoS 攻击/封禁事件进行告警 |
| 边缘安全加速平台EdgeOne / 套餐 | |
2.3 告警对象选择您期望监控的域名列表。
2.4 触发条件选择事件告警。
2.5 下拉框选择 HTTP 请求突增。
2.6 其他相关配置请参考 新建告警策略。
3. 单击下一步:配置告警通知。
步骤2:配置告警通知
1. 确认系统预设通知模板是否符合预期,若需自定义通知模板,可参考 新建通知模板。
2. 选择所需通知模板后,单击完成,保存配置。
参考资料
EO 安全防护事件及对应处置建议
以下是 EdgeOne 可能触发的安全防护事件列表,包括事件类型、事件说明、处置建议等。
事件类型 | 事件说明 | 处置建议 |
HTTP 请求突增 | EdgeOne 检测到域名 HTTP 请求突增,疑似遭受 CC 攻击。 说明: 触发条件为当 HTTP 请求的速率超过 1000 次每秒(QPS),并且这一增长超出了平台通过智能学习算法对业务正常流量基线所预测的范围。 | 1. 请关注您的业务可用性,同时您可在 EdgeOne 控制台-指标分析页面查看近期流量、请求数详情,判断突增流量是否属于正常业务。 2. 若您判断突增流量不属于正常业务,且当前安全策略并未覆盖此次攻击所携带的特征,建议修改收紧 Web 防护策略。 3. 若您判断突增流量属于正常业务,则您可以忽略此条告警,同时建议您放宽 Web 防护-自适应频控限制等级 或改为观察模式。 |
DDoS 攻击 | EdgeOne 检测到为您提供服务的 IP 遭受 DDoS 攻击。 说明: | |
DDoS 攻击导致封禁 | 由于遭受到 DDoS 攻击,为您提供服务的 IP 已被运营商封禁。 |