日常运营中如何进行误拦截处置

1、排查客户IP地址是否已触发天幕联动封禁，如需解封客户IP可联系一线值班处理；
2、确认WAF拦截的告警类型，告警日志中的攻击类型字段包含规则引擎17种告警类型、AI引擎拦截、自定义策略、IP黑名单和CC拦截，对于不同类型告警需做不同处置；
3、对于规则引擎拦截，应急处置可通过告警日志获取触发的规则编号，关闭该条规则开关；后续根据规则编号查看规则内容及CVE信息等，根据攻击内容判断属于开发不合规问题还是误报，对于不合规情形需应用整改，对于误报可设置规则白名单；
4、对于AI引擎拦截，应急处置可将AI引擎切换为观察模式；分析引擎拦截原因，进行应用改造或AI模型学习或设置自定义放行策略不再勾选“继续执行AI引擎防护”等后续处置；
5、对于其他自定义类型拦截，需根据自身配置规则进行排查，关闭、删除或修改配置规则。