日常运营中如何进行误拦截处置
最近更新时间: 2023-02-09 14:52:48
1、排查客户IP地址是否已触发天幕联动封禁,如需解封客户IP可联系一线值班处理;
2、确认WAF拦截的告警类型,告警日志中的攻击类型字段包含规则引擎17种告警类型、AI引擎拦截、自定义策略、IP黑名单和CC拦截,对于不同类型告警需做不同处置;
3、对于规则引擎拦截,应急处置可通过告警日志获取触发的规则编号,关闭该条规则开关;后续根据规则编号查看规则内容及CVE信息等,根据攻击内容判断属于开发不合规问题还是误报,对于不合规情形需应用整改,对于误报可设置规则白名单;
4、对于AI引擎拦截,应急处置可将AI引擎切换为观察模式;分析引擎拦截原因,进行应用改造或AI模型学习或设置自定义放行策略不再勾选“继续执行AI引擎防护”等后续处置;
5、对于其他自定义类型拦截,需根据自身配置规则进行排查,关闭、删除或修改配置规则。