全部产品
Search

搜索本产品

    Web Application Firewall:Praktik Terbaik untuk Mendorong Peringatan Keamanan API

    文档中心

    Web Application Firewall:Praktik Terbaik untuk Mendorong Peringatan Keamanan API

    更新时间:Jul 02, 2025

    Dalam sebagian besar kasus, CloudMonitor digunakan untuk mendorong peringatan insiden berisiko tinggi yang terdeteksi oleh modul keamanan API dari Web Application Firewall (WAF). Ini membantu Anda menanggapi risiko secara tepat waktu. Namun, insiden yang terdeteksi oleh keamanan API diklasifikasikan menjadi insiden berisiko rendah, sedang, dan tinggi. Jika hanya menggunakan CloudMonitor, Anda tidak dapat mendorong peringatan untuk semua tingkat insiden serangan yang terdeteksi oleh keamanan API. Untuk mendorong peringatan untuk semua tingkat insiden serangan, Anda dapat menggunakan Alibaba Cloud Simple Log Service bersama dengan CloudMonitor. Topik ini menjelaskan cara mengonfigurasi peringatan di Simple Log Service.

    Ikhtisar Solusi

    Setelah mengonfigurasi pengaturan langganan log di modul keamanan API, pengiriman log diaktifkan. Semua insiden keamanan API langsung dicatat dan disimpan. Untuk informasi lebih lanjut, lihat 8. Konfigurasi Langganan Log. Anda dapat menggunakan sintaks kueri dan analisis yang didukung oleh Simple Log Service serta data log dalam peringatan keamanan API untuk membuat aturan peringatan. Anda dapat mendorong peringatan dengan metode berikut:

    Metode 1: Gunakan fitur peringatan dan notifikasi Simple Log Service untuk mendorong peringatan insiden keamanan API.

    Metode 2: Gunakan fitur peringatan Simple Log Service dan fitur notifikasi CloudMonitor untuk mendorong peringatan insiden keamanan API.

    Prasyarat

    • Simple Log Service telah diaktifkan.

    • CloudMonitor telah diaktifkan. Pastikan prasyarat ini terpenuhi jika Anda menggunakan CloudMonitor untuk mendorong peringatan.

    • Logstore telah dibuat. Log keamanan API dikirimkan ke Logstore. Untuk informasi lebih lanjut, lihat Logstore.

      Catatan

      Saat memilih Logstore tempat Anda ingin mengirimkan log, Anda tidak dapat memilih Logstore yang dibuat secara otomatis oleh Simple Log Service atau Logstore bernama waf-logstore, wafng-logstore, dan wafnew-logstore.

    Langkah 1: Aktifkan pengiriman log dan buat indeks

    Kirimkan insiden serangan yang terdeteksi oleh keamanan API ke Logstore yang ditentukan. Kemudian, gunakan Simple Log Service untuk mengonfigurasi peringatan untuk berbagai tingkat insiden serangan.

    1. Masuk ke konsol WAF 3.0. Di bilah navigasi atas, pilih grup sumber daya dan wilayah instance WAF Anda. Anda dapat memilih Chinese Mainland atau Outside Chinese Mainland.

    2. Di panel navigasi kiri, pilih Protection Configuration > API Security.

    3. Di halaman API Security, klik tab Policy Configurations lalu klik tab Log Subscription Configurations.

    4. Klik Konfigurasikan di bagian Attack EventInformation.

    5. Di kotak dialog Konfigurasi Informasi Langganan, pilih wilayah Logstore tempat log dikirimkan, proyek tempat Logstore berada, dan Logstore tersebut.image

    6. Konfirmasikan bahwa Status di bagian Attack EventInformation diaktifkan.

    7. Buat indeks untuk Logstore. Dengan cara ini, Anda dapat menentukan bidang event_level dalam pernyataan kueri untuk parameter Query Statistics saat mengonfigurasi peringatan di Simple Log Service. Bidang tersebut menunjukkan tingkat insiden serangan. Untuk informasi lebih lanjut, lihat Buat Indeks.

    Penting

    • Anda akan dikenakan biaya tambahan untuk proyek, Logstore, dan indeks yang dibuat di konsol Simple Log Service. Biaya tersebut termasuk dalam tagihan Simple Log Service. Untuk informasi lebih lanjut tentang item yang dapat ditagih dan harga Simple Log Service, lihat Gambaran Penagihan Simple Log Service.

    • Setelah membuat proyek dan Logstore, Anda tetap akan dikenakan biaya meskipun tugas langganan log dinonaktifkan. Oleh karena itu, jika Anda yakin bahwa Logstore tidak lagi diperlukan, hapus Logstore sesegera mungkin. Untuk informasi lebih lanjut, lihat Mengapa saya dikenakan biaya meskipun hanya membuat proyek dan Logstore?

    Langkah 2: Buat aturan peringatan di Simple Log Service

    Buat aturan peringatan untuk memantau dan menangani insiden keamanan API pada berbagai tingkat.

    Buat aturan peringatan

    1. Di panel navigasi kiri konsol Simple Log Service, klik ikon image. Di halaman Pusat Peringatan, klik Create Alert. Panel Create Alert muncul.

    2. Klik Create di sebelah Query Statistics. Kotak dialog Statistik Kueri muncul.image

    3. Di tab Advanced Settings kotak dialog Query Statistics, pilih Logstore yang ingin Anda gunakan.image

    4. Masukkan pernyataan kueri dan tentukan query time range berdasarkan kebutuhan bisnis Anda.

      image

      Filter data berdasarkan tingkat risiko

      Gunakan pernyataan kueri berikut untuk menyaring log dan mendapatkan log yang tingkat risikonya tinggi, sedang, atau rendah:

      /*Filter untuk data berisiko tinggi*/
select event_level,COUNT(*) AS CNT WHERE event_level='high'

/*Filter untuk data berisiko sedang*/
select event_level,COUNT(*) AS CNT WHERE event_level='medium'

/*Filter untuk data berisiko rendah*/
select event_level,COUNT(*) AS CNT WHERE event_level='low'
      Anda dapat menentukan pernyataan kueri untuk menyaring log berdasarkan tingkat risiko.

    5. Klik Konfirmasi. Panel Create Alert muncul. Anda dapat melihat pernyataan kueri yang ditentukan di sebelah parameter Statistik Kueri.

    6. Konfigurasikan parameter Kondisi Pemicu dan tingkat keparahan peringatan.

      Pengaturan severity dalam parameter Trigger Condition diperlukan untuk mengonfigurasi pengaturan notifikasi di CloudMonitor. Kami sarankan Anda menggunakan bidang event_level untuk menentukan tingkat insiden dalam pernyataan kueri. Misalnya, Anda dapat menentukan high untuk bidang event_level.image

      Konfigurasi di atas dapat memenuhi persyaratan contoh ini. Anda dapat lebih lanjut mengonfigurasi parameter Check Frequency, Trigger Condition, Group Evaluation, Recovery Notifications, Add Tags, dan Add Annotation berdasarkan kebutuhan bisnis Anda. Untuk informasi lebih lanjut, lihat Buat Aturan Peringatan. Jika Anda ingin menggunakan CloudMonitor untuk mendorong peringatan, tingkat keparahan yang ditentukan dalam parameter Kondisi Pemicu sesuai dengan tingkat insiden dalam kebijakan langganan yang Anda buat.

    7. Tentukan tujuan ke mana peringatan dikirim.

      Jangan aktifkan Enable. Untuk informasi lebih lanjut, lihat Langkah 3.

      image

    8. Klik OK. Anda dapat melihat aturan peringatan yang dibuat di tab Aturan Peringatan halaman Pusat Peringatan. Konfigurasi aturan peringatan selesai di Simple Log Service.

    Langkah 3: Konfigurasikan dorongan peringatan

    Metode 1: Gunakan Simple Log Service untuk mendorong peringatan

    Jika Anda memilih metode ini, fitur peringatan dan notifikasi Simple Log Service digunakan untuk mendorong peringatan insiden keamanan API.

    Konfigurasikan objek notifikasi

    Buat objek ke mana Anda ingin mengirimkan peringatan.

    1. Di halaman Pusat Peringatan, klik tab Notification Objects.

    2. Di tab User Management, klik Create. Kotak dialog Buat Pengguna muncul.

      image

    3. Di kotak dialog Buat Pengguna, masukkan informasi tentang pengguna yang ingin Anda buat dan aktifkan Enabled, Terima Pesan Teks, dan Terima Panggilan Telepon.

    4. Klik OK. Lalu, segarkan halaman saat ini dan konfirmasikan bahwa pengguna telah dibuat.

    Konfigurasikan template peringatan

    Anda dapat menentukan nilai kustom untuk parameter Konten saat membuat template peringatan. Misalnya, Anda dapat menentukan bahwa peringatan yang didorong berisi ID instance, nama aturan peringatan, dan tingkat keparahan peringatan.

    1. Di halaman Alert Center, pilih Notification Management > Alert Template. Di tab Alert Template, klik Create.

    2. Di kotak dialog yang muncul, tentukan nilai kustom untuk parameter Content. Parameter ini menentukan isi peringatan yang didorong.

      image

      Catatan

      Gambar ini menunjukkan beberapa variabel template untuk referensi saja. Anda dapat mengklik Variabel Template Peringatan untuk melihat semua variabel template yang didukung.

    3. Klik Confirm. Lalu, segarkan halaman saat ini dan konfirmasikan bahwa template peringatan telah dibuat.

    Konfigurasikan tujuan peringatan

    1. Temukan aturan peringatan yang Anda buat dan klik Edit di kolom Aksi.

    2. Atur parameter Tujuan ke Simple Log Service Notification dan aktifkan Enable.

    3. Konfigurasikan parameter Alert Policy.

      Dalam kebanyakan kasus, Anda dapat memilih Mode Sederhana. Lalu, tentukan metode notifikasi yang ingin Anda gunakan, pilih Penerima Statis untuk parameter Jenis Penerima, tentukan penerima ke mana Anda ingin mengirimkan peringatan, dan pilih template peringatan yang ingin Anda gunakan. Gambar berikut menunjukkan contoh konfigurasi.

      image

      Catatan

      Simple Mode: Konfigurasikan parameter Metode Notifikasi, Penerima, Template Peringatan, dan Periode.

      Standard Mode: Pilih kebijakan tindakan yang ditentukan sistem atau buat kebijakan tindakan kustom.

      Advanced Mode: Pilih action policy dan alert policy.

      Untuk informasi lebih lanjut tentang metode notifikasi yang didukung oleh Simple Log Service, lihat Metode Notifikasi. Jika Anda memilih Pesan SMS atau Panggilan Suara untuk parameter Metode Notifikasi, Anda akan dikenakan biaya tambahan. Untuk informasi lebih lanjut, lihat Item yang Dapat Ditagih dari Metode Bayar Sesuai Fitur.

    4. Klik OK. Konfigurasi disimpan.

    Catatan

    Jika Anda memiliki persyaratan konfigurasi yang lebih kompleks, lihat Tujuan - Notifikasi Simple Log Service.

    Aktifkan notifikasi Simple Log Service

    1. Masuk ke konsol Simple Log Service.

    2. Di bagian Projects, klik proyek yang ingin Anda kelola.

    3. Di panel navigasi kiri, klik ikon image. Tab Alert Rules halaman Alert Center muncul.

    4. Konfirmasikan bahwa aturan peringatan diaktifkan dan berada dalam status Berjalan.

      image

    Metode 2: Gunakan CloudMonitor untuk mendorong peringatan

    Jika Anda memilih metode ini, fitur peringatan Simple Log Service dan fitur notifikasi CloudMonitor digunakan untuk mendorong peringatan insiden keamanan API.

    Konfigurasikan tujuan peringatan di Simple Log Service

    1. Temukan aturan peringatan yang Anda buat dan klik Edit di kolom Aksi.

    2. Atur parameter Destination ke CloudMonitor Event Center dan aktifkan Enable. Klik OK. Konfigurasi disimpan.

    image

    Buat kontak peringatan dan grup kontak peringatan

    CloudMonitor hanya dapat mengirimkan notifikasi ke grup kontak. Oleh karena itu, Anda harus menambahkan kontak Anda ke grup kontak.

    Buat kontak peringatan

    1. Masuk ke konsol CloudMonitor.

    2. Di panel navigasi kiri, pilih Alerts > Alert Contacts.

    3. Di tab Alert Contacts, klik Create Alert Contact.

    4. Di panel Set Alert Contact, masukkan nama, nomor telepon, alamat email, dan URL webhook kontak yang ingin Anda buat. Pertahankan nilai default parameter lainnya.

    5. Klik OK. Halaman Alert Contacts muncul. Konfirmasikan bahwa kontak telah dibuat.

    Buat grup kontak peringatan

    1. Klik tab Alert Contact Group.

    2. Di tab Alert Contact Group, klik Create Alert Contact Group.

    3. Di panel Create Alert Contact Group, masukkan nama untuk grup kontak peringatan dan tambahkan kontak peringatan ke grup kontak peringatan.

    4. Klik Confirm.

    Buat kebijakan notifikasi

    Prasyarat: Kontak peringatan dan grup kontak peringatan telah dibuat.

    1. Kembali ke konsol CloudMonitor.

    2. Di panel navigasi kiri, pilih Event Center > Notification Configuration.

    3. Di halaman Notification Configuration, klik Create policy. Di panel Buat Kebijakan, konfigurasikan parameter Name dan Contact Group.

    4. Klik OK.

    Buat kebijakan langganan

    1. Kembali ke konsol CloudMonitor.

    2. Di panel navigasi kiri, pilih Event Center > Event Subscription.

    3. Di tab Subscription Policy, klik Create Subscription Policy.

    4. Di halaman Create Subscription Policy, konfigurasikan parameter. Tabel berikut menjelaskan parameter.

      Bagian

      Deskripsi

      Basic Information

      Masukkan nama untuk kebijakan langganan.

      Alert Subscription

      Subscription Type: Pilih System events.

      Product: Pilih Simple Log Service.

      Event Type: Pilih Firing dan Resolved.

      Catatan

      • Firing menunjukkan bahwa peringatan dalam keadaan terpicu, sesuai dengan nama event:

        • Event peringatan KRITIS

        • Event peringatan INFO

        • Event peringatan PERINGATAN

      • Resolved menunjukkan bahwa peringatan telah diselesaikan, sesuai dengan nama event: Event pemulihan peringatan.

      Event name: Pilih AlertEvent:CRITICAL, AlertEvent:INFO, AlertEvent:RESOLVED, dan AlertEvent:WARN.

      Event Level: Pilih Critical.

      Catatan

      Karena kondisi pemicu di Langkah 2 disetel ke Kritis, level event juga disetel ke Kritis. Jika Tingkat Keparahan Kondisi Pemicu Anda disetel ke level lainnya, Anda harus memilih level event yang sesuai sebagai berikut:

      • Jika kondisi pemicu disetel ke Kritis atau Tinggi, level event disetel ke Kritis.

      • Jika kondisi pemicu disetel ke Rendah atau Sedang, level event disetel ke Peringatan.

      • Jika kondisi pemicu disetel ke Laporan, level event disetel ke Info.

      Event Content: Masukkan nama aturan peringatan yang Anda buat di Langkah 2: Buat Aturan Peringatan di Simple Log Service.

      Application grouping dan Event Resources: Kedua parameter ini dapat diabaikan.

      Combined noise reduction

      Pertahankan nilai default.

      Notification

      Pilih kebijakan notifikasi yang dibuat untuk parameter Konfigurasi Notifikasi dan pertahankan nilai default parameter Custom notification method.

      Penting

      CloudMonitor menyediakan kuota gratis untuk pesan teks peringatan. Untuk informasi lebih lanjut, lihat Kuota Gratis. Jika Anda ingin menggunakan panggilan suara sebagai metode notifikasi, masuk ke konsol CloudMonitor dan klik Aktifkan Sekarang di bagian Dasar CloudMonitor untuk mengaktifkan metode penagihan bayar sesuai pemakaian. Untuk informasi lebih lanjut, lihat Penagihan Bayar Sesuai Pemakaian Dasar CloudMonitor.

      Push and Integration

      Anda tidak perlu mengonfigurasi parameter di bagian ini.

      Konfigurasi Alert Subscription ditampilkan pada gambar:

      image

      Catatan

      Konfigurasi di atas hanya untuk referensi. Anda dapat mengonfigurasi parameter berdasarkan kebutuhan bisnis Anda. Untuk informasi lebih lanjut, lihat Buat Kebijakan Langganan.

    5. Klik Submit di bagian bawah halaman Create Subscription Policy. Halaman Event Subscription muncul. Konfirmasikan bahwa kebijakan telah dibuat dan berada dalam status Diaktifkan.

    Verifikasi

    Setelah Anda menyelesaikan konfigurasi dorongan peringatan, verifikasi akurasi peringatan yang didorong di pihak penerima.

    Lihat peringatan yang didorong oleh CloudMonitor

    1. Masuk ke konsol CloudMonitor.

    2. Di panel navigasi kiri, pilih Event Center > Event Subscription. Konfirmasikan informasi yang didorong di konsol CloudMonitor.

      image

    3. Konfirmasikan informasi yang didorong di pihak penerima.

      Pesan teks

      image

      Email

      image

      Panggilan suara

      image

    Lihat peringatan yang didorong oleh Simple Log Service

    1. Di tab Alert Rules, klik aturan peringatan yang dibuat. Halaman Alert Overview muncul. Kemudian, lihat detail peringatan di bagian Alert History.

    2. Bandingkan informasi yang diterima di pihak penerima dan informasi yang ditampilkan di konsol. Format informasi yang diterima konsisten dengan format yang ditentukan dalam template peringatan yang dibuat, dan isi informasi yang diterima konsisten dengan informasi yang ditampilkan di bagian Alert History.

    image