Cara mengonfigurasi notifikasi CloudMonitor - Web Application Firewall

Anda dapat mengonfigurasi aturan notifikasi peringatan untuk metrik yang didukung oleh Web Application Firewall (WAF) dan insiden keamanan yang terdeteksi oleh WAF di Konsol Pemantauan Awan. Topik ini menjelaskan cara menggunakan CloudMonitor untuk mengonfigurasi pemantauan dan peringatan untuk WAF.

Prasyarat

Layanan web harus ditambahkan ke WAF pada halaman Website Configuration. Untuk informasi lebih lanjut, lihat Ikhtisar konfigurasi situs web.

Buat kontak peringatan dan grup kontak peringatan

Masuk ke Konsol Pemantauan Awan.
Di panel navigasi sisi kiri, pilih Alerts > Alert Contacts.

Buat kontak peringatan.

Pada tab Alert Contacts, klik Create Alert Contact.

Di panel Set Alert Contact, konfigurasikan parameter untuk kontak peringatan. Tabel berikut menjelaskan parameter tersebut.

Parameter	Deskripsi
Nama	Nama kontak peringatan. Nama harus dimulai dengan huruf dan harus memiliki panjang 2 hingga 40 karakter. Bisa berisi huruf, angka, titik (.), dan garis bawah (_).
Wilayah untuk Layanan Notifikasi Alarm	Wilayah tempat Anda ingin menggunakan layanan notifikasi alarm. Data yang disediakan oleh layanan notifikasi alarm, seperti nama kontak dan alamat email, disimpan dan diproses di wilayah yang dipilih.
Telepon	Hanya nomor telepon seluler dengan awalan kode negara 86 yang mendukung notifikasi alarm melalui pesan teks.
ID Email	Alamat email kontak peringatan.
Deskripsi	Deskripsi kontak peringatan.
Webhook (Opsional)	URL webhook kontak peringatan. URL harus dimulai dengan http:// atau https://. Catatan Untuk menguji konektivitas URL webhook, klik Test di sebelah URL webhook. Di panel Webhook Test, Anda dapat memeriksa serta menangani masalah konektivitas URL webhook berdasarkan kode status dan detail hasil tes yang dikembalikan. Untuk mendapatkan detail hasil tes, konfigurasikan parameter Test Template Type dan Language lalu klik Test.
Bahasa Notifikasi Peringatan	Nilai default adalah Automatic. Ini menunjukkan bahwa CloudMonitor secara otomatis memilih bahasa notifikasi peringatan berdasarkan bahasa yang Anda gunakan untuk membuat akun Alibaba Cloud Anda.

Verifikasi nilai parameter dan klik OK.

Buat grup kontak peringatan.
1. Pada tab Alert Contact Group, klik Create Alert Contact Group.
2. Di panel Create Alert Contact Group, tentukan nama untuk grup kontak peringatan yang ingin dibuat dan pilih kontak peringatan yang ingin ditambahkan ke grup. Lalu, klik Confirm.
Tambahkan beberapa kontak peringatan ke grup kontak peringatan.
1. Pada tab Alert Contacts, pilih kontak peringatan yang ingin ditambahkan ke grup kontak peringatan dan klik Add to Contact Group.
2. Di kotak dialog Add to Contact Group, pilih grup kontak peringatan ke mana Anda ingin menambahkan kontak peringatan dan klik OK.
Setelah membuat kontak peringatan, grup kontak peringatan, dan menambahkan kontak peringatan ke grup, kontak peringatan dapat menerima notifikasi peringatan. Pastikan kontak peringatan memeriksa notifikasi peringatan dan menanganinya sesegera mungkin.

Konfigurasi pemantauan dan peringatan untuk insiden keamanan WAF

Masuk ke Konsol Pemantauan Awan.
Di panel navigasi sisi kiri, pilih Event Center > System Event.
Pada tab Event Monitoring, klik Old Event Alarm Rules di pojok kanan atas. Lalu, klik Create Alert Rule. Pilih Alert rules for legacy system events are still created di kotak dialog yang muncul.

Di panel Create/Modify Event-triggered Alert Rule, konfigurasikan parameter dan klik Ok. Tabel berikut menjelaskan parameter tersebut.

Parameter	Deskripsi
Alert Rule Name	Nama aturan peringatan.
Product Type	Layanan Alibaba Cloud untuk mana Anda ingin membuat aturan peringatan. Pilih WAF.
Event Type	Tipe insiden keamanan yang ingin Anda terapkan aturan peringatan. Nilai valid: Attack, Exceed, dan Event.
Event Level	Tingkat keparahan insiden keamanan yang ingin Anda terapkan aturan peringatan. Tingkat keparahan semua insiden keamanan yang terdeteksi oleh WAF 3.0 adalah CRITICAL.
Event Name	Nama insiden keamanan yang ingin Anda terapkan aturan peringatan. Catatan Di daftar drop-down Event Name, insiden keamanan yang namanya mengandung v3 dideteksi oleh WAF 3.0 dan insiden keamanan lainnya dideteksi oleh WAF 2.0. Untuk informasi lebih lanjut tentang insiden keamanan yang dapat dideteksi oleh WAF 2.0, lihat Insiden keamanan yang dapat dideteksi.
Keyword Filtering	Kata kunci yang digunakan dalam aturan peringatan. Nilai valid: Contains any of the keywords: Jika isi insiden keamanan mengandung salah satu kata kunci yang ditentukan, CloudMonitor mengirimkan notifikasi peringatan. Does not contain any of the keywords: Jika isi insiden keamanan tidak mengandung salah satu kata kunci yang ditentukan, CloudMonitor mengirimkan notifikasi peringatan.
SQLFilter	Pernyataan SQL yang ingin Anda gunakan untuk penyaringan.
Resource Range	Rentang sumber daya yang ingin Anda terapkan aturan peringatan. Nilai valid: All Resources dan Application Groups.
Notification Method	Grup Kontak Peringatan: Grup kontak peringatan yang ingin Anda kirimkan notifikasi peringatan. Untuk informasi lebih lanjut, lihat Buat kontak peringatan dan grup kontak peringatan. Metode Notifikasi: Tingkat keparahan dan metode notifikasi dari peringatan yang dapat dipicu. Nilai valid: Kritis (Pesan Teks + Email + Webhook) Peringatan (Pesan Teks + Email + Webhook) Info (Email + Webhook)
SMQ	Antrian Simple Message Queue (sebelumnya MNS, juga disebut SMQ) ke mana peringatan dikirimkan.
Function Compute	Fungsi Function Compute ke mana peringatan dikirimkan.
URL Callback	URL callback ke mana notifikasi peringatan dikirimkan. Pastikan URL dapat diakses melalui Internet. CloudMonitor mengirimkan permintaan POST untuk mendorong notifikasi peringatan. Hanya HTTP yang didukung. Untuk informasi lebih lanjut tentang cara mengonfigurasi callback peringatan, lihat Konfigurasikan callback untuk peringatan berbasis insiden sistem (lama).
Simple Log Service	Logstore Layanan Log Sederhana ke mana peringatan dikirimkan.
Mute For	Interval di mana CloudMonitor mengirim ulang notifikasi peringatan sebelum peringatan yang ada dihapus. Nilai valid: 5 Menit, 15 Menit, 30 Menit, 60 Menit, 3 Jam, 6 Jam, 12 Jam, dan 24 Jam.

Setelah mengonfigurasi aturan peringatan, kontak yang ditentukan dalam aturan peringatan dapat menerima notifikasi ketika insiden keamanan terdeteksi oleh WAF pada objek yang dilindungi.

Pada tab Event Monitoring, Anda dapat memilih WAF dari daftar drop-down cloud service, pilih insiden keamanan yang namanya mengandung v3 dari daftar drop-down SelectEvent Name, lalu klik Cari untuk menanyakan insiden keamanan yang terdeteksi oleh WAF 3.0.

Konfigurasi pemantauan dan peringatan untuk metrik WAF

Masuk ke Konsol Pemantauan Awan.
Di panel navigasi sisi kiri, pilih Alerts > Alert Rules.
Pada halaman Alert Rules, klik Create Alert Rule.

Di panel Create Alert Rule, konfigurasikan parameter dan klik Confirm. Tabel berikut menjelaskan parameter tersebut.

Parameter	Deskripsi
Product	Layanan Alibaba Cloud untuk mana Anda ingin membuat aturan peringatan. Pilih WAF3.0 dari daftar drop-down.
Resource Range	Rentang sumber daya yang ingin Anda terapkan aturan peringatan. Nilai valid: All Resources: Aturan peringatan berlaku untuk semua sumber daya WAF 3.0. Application Groups: Aturan peringatan berlaku untuk semua sumber daya di grup aplikasi WAF 3.0 yang ditentukan. Instances: Aturan peringatan berlaku untuk sumber daya tertentu WAF 3.0.
Rule Description	Kondisi aturan peringatan. Jika metrik memenuhi kondisi yang ditentukan, peringatan dipicu. Untuk menentukan kondisi, lakukan langkah-langkah berikut: Klik Add Rule. Di panel Configure Rule Description, konfigurasikan parameter Aturan Peringatan, Tipe Metrik, Metrik, dan Ambang Batas serta Level Peringatan. Lalu, klik OK. Catatan Untuk informasi lebih lanjut tentang metrik WAF 3.0 yang dapat dipantau, lihat Metrik yang dapat dipantau.
Mute For	Interval di mana CloudMonitor mengirim ulang notifikasi peringatan sebelum peringatan yang ada dihapus. Nilai valid: 1 Menit, 5 Menit, 15 Menit, 30 Menit, 60 Menit, 3 Jam, 6 Jam, 12 Jam, dan 24 Jam. Peringatan dipicu ketika kondisi aturan peringatan terpenuhi. Jika peringatan dipicu ulang dalam periode bisu, CloudMonitor tidak mengirim ulang notifikasi peringatan. Jika peringatan tidak dihapus setelah periode bisu berakhir, CloudMonitor mengirim ulang notifikasi peringatan.
Effective Period	Periode selama aturan peringatan berlaku. CloudMonitor memantau sumber daya yang ditentukan dan menghasilkan peringatan hanya selama periode efektif.
Alert Contact Group	Grup kontak peringatan yang ingin Anda kirimkan notifikasi peringatan. Untuk informasi lebih lanjut, lihat Buat kontak peringatan dan grup kontak peringatan.
Alert Callback	URL callback ke mana notifikasi peringatan dikirimkan. Pastikan URL dapat diakses melalui Internet. CloudMonitor mengirimkan permintaan POST untuk mendorong notifikasi peringatan. Hanya HTTP yang didukung. Untuk informasi lebih lanjut tentang cara mengonfigurasi callback peringatan, lihat Gunakan fitur callback peringatan untuk mengirimkan notifikasi tentang peringatan berbasis ambang batas. Catatan Anda dapat mengklik Advanced Settings untuk mengonfigurasi parameter ini.
Auto Scaling	Jika Anda mengaktifkan Auto Scaling, aturan penskalaan yang ditentukan akan berlaku ketika peringatan dipicu. Anda harus mengonfigurasi parameter Region, ESS Group, dan ESS Rule. Untuk informasi lebih lanjut tentang cara membuat grup penskalaan, lihat Kelola grup penskalaan. Untuk informasi lebih lanjut tentang cara membuat aturan penskalaan, lihat Konfigurasikan aturan penskalaan. Catatan Anda dapat mengklik Advanced Settings untuk mengonfigurasi parameter ini.
Log Service	Jika Anda mengaktifkan Log Service, informasi peringatan ditulis ke Logstore yang ditentukan di Layanan Log Sederhana ketika peringatan dipicu. Anda harus mengonfigurasi parameter Region, ProjectName, dan Logstore. Untuk informasi lebih lanjut tentang cara membuat proyek dan Logstore, lihat Memulai. Catatan Anda dapat mengklik Advanced Settings untuk mengonfigurasi parameter ini.
Simple Message Queue (formerly MNS) - Topic	Jika Anda mengaktifkan Simple Message Queue (formerly MNS) - Topic, informasi peringatan ditulis ke topik yang ditentukan di Simple Message Queue (sebelumnya MNS) ketika peringatan dipicu. Anda harus mengonfigurasi parameter Wilayah dan Nama Topik untuk topik Simple Message Queue (sebelumnya MNS). Untuk informasi lebih lanjut tentang cara membuat topik, lihat Buat topik. Catatan Anda dapat mengklik Advanced Settings untuk mengonfigurasi parameter ini.
Method to handle alerts when no monitoring data is found	Metode yang digunakan untuk menangani peringatan ketika tidak ada data pemantauan. Nilai valid: Do not do anything (nilai default) Send alert notifications Treated as normal Catatan Anda dapat mengklik Advanced Settings untuk mengonfigurasi parameter ini.
Tag	Tag aturan peringatan. Tag terdiri dari nama tag dan nilai tag.

Setelah membuat aturan peringatan, Anda dapat melihat aturan tersebut pada halaman Alert Rules. Anda juga dapat melakukan operasi berikut untuk mencari aturan peringatan yang dibuat untuk metrik tertentu: Pilih WAF3.0 dari daftar drop-down Product dan resource dari daftar drop-down Metric Name. Lalu, pilih metrik dari metrik yang ditampilkan di sebelah kanan.

Catatan

Daftar berikut menjelaskan metrics WAF yang dapat dipantau oleh CloudMonitor:

Jika Anda memilih domain dari daftar drop-down Nama Metrik, metrik yang ditampilkan di sebelah kanan adalah metrik WAF 2.0 yang dapat dipantau.
Jika Anda memilih resource dari daftar drop-down Nama Metrik, metrik yang ditampilkan di sebelah kanan adalah metrik WAF 3.0 yang dapat dipantau. Untuk informasi lebih lanjut tentang metrik WAF 3.0 yang dapat dipantau, lihat Metrik yang dapat dipantau.
Jika Anda memilih Instance dari daftar drop-down Nama Metrik, metrik yang ditampilkan di sebelah kanan adalah metrik Hybrid Cloud WAF yang dapat dipantau. Metrik yang namanya mengandung v3 adalah metrik WAF 3.0, dan metrik lainnya adalah metrik WAF 2.0.

Insiden keamanan yang dapat dideteksi

Anda dapat menggunakan CloudMonitor untuk mengonfigurasi pemantauan dan peringatan untuk insiden keamanan yang terjadi pada objek yang dilindungi. Untuk informasi lebih lanjut, lihat Konfigurasikan pemantauan dan peringatan untuk insiden keamanan WAF.

Tipe insiden	Nama insiden	Tingkat keparahan	Kondisi pemicu
Serangan	wafv3_event_aclattack (aturan kustom)	KRITIS	Sistem menggunakan jendela geser untuk memantau insiden secara akurat dan mengumpulkan statistik insiden. Jendela geser 10 menit digunakan, dan nilai statistik dikumpulkan setiap menit. Nilai statistik menunjukkan jumlah serangan yang diblokir dalam satu menit. Insiden dipicu ketika kondisi berikut terpenuhi: Jumlah serangan yang diblokir melebihi 600. Jumlah serangan yang diblokir dalam menit saat ini lebih dari tiga standar deviasi lebih tinggi dari rata-rata selama 11 menit sebelumnya. Insiden tidak lagi dipicu ketika jumlah serangan yang diblokir dalam menit saat ini kurang dari rata-rata selama 11 menit sebelumnya.
Serangan	wafv3_event_ccattack
Serangan	wafv3_event_webattack
Serangan	wafv3_event_webscan
Melebihi	xray_wafv3_event_qps_exceed		Insiden dipicu ketika batas QPS dilampaui. Untuk informasi lebih lanjut, lihat Edisi.
Melebihi	xray_wafv3_event_cost_protection		Insiden dipicu ketika ambang batas perlindungan penagihan lalu lintas dilampaui.
Insiden	wafv3_event_apisec		Insiden dipicu ketika insiden risiko tinggi atau berisiko tinggi terdeteksi oleh modul keamanan API.

Metrik yang dapat dipantau

Anda dapat menggunakan CloudMonitor untuk mengonfigurasi pemantauan dan peringatan untuk metrik berikut. Untuk informasi lebih lanjut, lihat Konfigurasikan pemantauan dan peringatan untuk metrik.

Catatan

Objek yang dilindungi yang ditambahkan secara manual di WAF tidak mendukung metrik terkait lalu lintas, seperti 4XX_ratio_v3, 5XX_ratio_v3, qps_v3, qps_ratio_v3, dan qps_ratio_down_v3.

Metrik	Dimensi	Deskripsi	Catatan
4XX_ratio_v3	Objek yang dilindungi	Proporsi kode status HTTP 4xx yang dikembalikan per menit. Kode status HTTP 405 tidak dihitung.	Nilainya ditampilkan sebagai angka desimal.
5XX_ratio_v3	Objek yang dilindungi	Proporsi kode status HTTP 5xx yang dikembalikan per menit.	Nilainya ditampilkan sebagai angka desimal.
acl_blocks_5m_v3	Objek yang dilindungi	Jumlah permintaan yang diblokir berdasarkan kebijakan kontrol akses dalam 5 menit terakhir.	Tidak ada.
acl_rate_5m_v3	Objek yang dilindungi	Proporsi permintaan yang diblokir berdasarkan kebijakan kontrol akses dalam 5 menit terakhir.	Nilainya ditampilkan sebagai angka desimal.
cc_blocks_5m_v3	Objek yang dilindungi	Jumlah permintaan yang diblokir berdasarkan aturan perlindungan flood HTTP dalam 5 menit terakhir.	Tidak ada.
cc_rate_5m_v3	Objek yang dilindungi	Proporsi permintaan yang diblokir berdasarkan aturan perlindungan flood HTTP dalam 5 menit terakhir.	Nilainya ditampilkan sebagai angka desimal.
waf_blocks_5m_v3	Objek yang dilindungi	Jumlah permintaan yang diblokir berdasarkan aturan pencegahan serangan untuk aplikasi web dalam 5 menit terakhir.	Tidak ada.
waf_rate_5m_v3	Objek yang dilindungi	Proporsi permintaan yang diblokir berdasarkan aturan pencegahan serangan untuk aplikasi web dalam 5 menit terakhir.	Nilainya ditampilkan sebagai angka desimal.
QPS_V3	Objek yang dilindungi	Jumlah permintaan per detik (QPS).	Tidak ada.
qps_ratio_v3	Objek yang dilindungi	Tingkat pertumbuhan per menit QPS.	Nilainya ditampilkan sebagai persentase.
qps_ratio_down_v3	Objek yang dilindungi	Tingkat penurunan per menit QPS.	Nilainya ditampilkan sebagai persentase.

Referensi

Hanya CloudMonitor yang dapat digunakan untuk mendorong peringatan risiko tinggi yang terdeteksi oleh modul keamanan API. Jika Anda ingin mendorong peringatan risiko rendah dan sedang, ikuti petunjuk yang disediakan di Praktik terbaik untuk mendorong peringatan keamanan API.