Web Application Firewall：配置CloudMonitor通知

前提條件

已在接入管理頁面完成Web業務接入。

建立警示連絡人和警示連絡人群組

1. 登入CloudMonitor控制台。

2. 在左側導覽列，選擇警示服務 > 警示連絡人。

3. 建立警示連絡人。

   1. 在警示連絡人頁簽，單擊建立連絡人。

   2. 在設定警示連絡人面板，設定警示連絡人的相關參數。

      設定參數	說明
      姓名	警示連絡人的姓名，請以中英文字元開始，且長度大於2位，小於40位，由中文、英文字母、數字、".”、底線組成。
      警示通知服務的地區	警示通知服務提供的資料（如姓名、電子郵件地址）將在所選地區儲存和處理。
      手機	僅國際電話區號為86的手機號碼支援簡訊警示。
      郵箱	設定警示聯絡郵箱地址
      描述	自訂描述資訊。
      DingTalk | 飛書 | 企微 | Slack Webhook(http|https)	自訂設定Webhook地址，以http:// 或 https:// 開頭。 說明 當您需要測試Webhook地址的連通性時，可以單擊Webhook地址正後方的測試。 在WebHook測試面板，您可以通過Webhook返回的狀態代碼和測試結果詳情對Webhook地址的連通性進行判斷和排查。 您還可以設定Webhook的回調模板類型和語言，再次單擊測試，擷取對應的測試結果詳情。
      警示通知資訊語言	預設為自動，表示CloudMonitor根據當前阿里雲帳號註冊時的語言，自動適配警示通知資訊的語言。

   3. 資訊驗證無誤後，單擊確認。

4. 建立警示聯絡組。

   1. 在警示聯絡組頁簽，單擊建立連絡人群組。

   2. 在建立連絡人群組面板，填寫警示聯絡組的組名，並選擇警示連絡人後，單擊確認。

5. 大量新增警示連絡人到警示聯絡組。

   1. 在警示連絡人頁簽，選中要添加到警示聯絡組的警示連絡人，單擊添加到警示聯絡組。

   2. 在添加到警示聯絡組對話方塊，單擊目標警示聯絡組，單擊確定。

   建立警示連絡人、建立警示聯絡組、大量新增警示連絡人到警示聯絡組後，您配置的WAF監控和警示資訊會發送給警示連絡人。警示連絡人需及時查看警示通知資訊，並對警示進行相應的處理。

設定WAF安全事件的監控與警示

1. 在左側導覽列，選擇事件中心 > 事件訂閱。

2. 在訂閱策略頁簽，單擊建立訂閱策略。

3. 在建立訂閱策略頁面，設定如下資訊。

   地區	參數	說明
   基本資料	名稱	訂閱策略的名稱。
   	描述	訂閱策略的描述資訊。
   警示訂閱	訂閱類型	警示訂閱的類型。選擇系統事件，並在訂閱範圍地區，完成如下配置。 產品：選擇Web Application Firewall。 事件類型：取值：Attack、Exceed、事件。 事件名稱：下拉式清單中，不帶V3尾碼的事件為WAF 2.0支援監控的事件，帶V3尾碼的事件為WAF 3.0支援監控的事件。 事件等級：WAF 3.0的事件等級均為嚴重。 其餘未提及的參數保持預設值即可，詳細資料請參見管理事件訂閱（推薦）。
   合并降噪	合并內容	從訂閱類型的訂閱範圍中選擇合并維度。
   	降噪	降低警示通知的頻率。包括以下三種： 條件觸發，觸發後抑制通知：表示某段時間（預設5分鐘）內連續觸發幾次（預設5次）通知後，進入某段時間（預設5分鐘）的沉默期，沉默期內不再週期性通知，沉默期結束後重複此流程。 直接觸發，觸發後抑制通知：表示觸發警示後直接通知，通知後進入某段時間（預設5分鐘）的沉默期，沉默期不再週期性通知，沉默期結束後重複此流程。 直接觸發，不抑制（使用系統預設的防風暴設定）：表示觸發警示後，直接發送通知。 說明 預設防風暴設定規則為：5分鐘最多50封郵件。
   通知	通知配置	單擊下拉式清單的建立通知配置，新建立一個通知配置，選擇上一步建立的警示聯絡組。 名稱：通知配置的名稱。 通知設定： 直接設定通知群組：直接選擇警示通知群組。 按照嚴重層級設定通知群組：按照警示層級嚴重（Critical）、警示（Warn）、通知（Info）和恢複選擇警示通知群組。
   	自訂通知方式	自訂警示通知方式。 單擊某種通知方式後面的修改，修改通知模板和警示層級。
   推送與整合	推送渠道	警示通知的推送渠道。建立推送渠道的具體操作如下： 單擊建立新推送。 選擇已有推送渠道，或單擊添加渠道，新建立一個推送渠道。 關於如何設定推送渠道的相關參數，請參見通知推送渠道參數說明。

設定WAF業務指標的監控與警示

1. 登入CloudMonitor控制台。

2. 在左側導覽列，選擇警示服務 > 警示規則。

3. 在警示規則頁面，單擊建立警示規則。

4. 在建立警示規則面板完成如下配置後，單擊確認。

   參數	說明
   產品	CloudMonitor可管理的雲產品名稱，選擇Web Application Firewall3.0。
   資源範圍	警示規則作用的資源範圍。取值： 全部資源：警示規則作用於WAF 3.0的全部資源上。 應用分組：警示規則作用於WAF 3.0的指定應用分組內的全部資源上。 執行個體：警示規則作用於WAF 3.0的指定資源上。
   規則描述	警示規則的主體。當監控資料滿足警示條件時，觸發警示規則。規則描述的設定方法如下： 單擊添加規則。 在設定規則描述面板，設定規則名稱、監控指標類型、監控指標、閾值和警示層級等，單擊確定。 說明 關於WAF 3.0支援監控的業務指標，請參見支援監控的業務指標。
   通道沉默周期	警示發生後未恢複正常，間隔多久重複發送一次警示通知。取值：1分鐘、5分鐘、15分鐘、30分鐘、60分鐘、3小時、6小時、12小時和24小時。 某監控指標達到警示閾值時發送警示，如果監控指標在通道沉默周期內持續超過警示閾值，在通道沉默周期內不會重複發送警示通知；如果監控指標在通道沉默周期後仍未恢複正常，則CloudMonitor再次發送警示通知。
   生效時間	警示規則的生效時間，警示規則只在生效時間內才會檢查監控資料是否需要警示。
   警示連絡人群組	選擇發送警示的連絡人群組。具體操作，請參見建立警示連絡人和警示連絡人群組。
   警示回調	公網可訪問的URL，用於接收CloudMonitor通過POST請求推送的警示資訊。目前僅支援HTTP協議。關於如何設定警示回調，請參見使用閾值警示回調。 說明 單擊進階設定，可設定該參數。
   Auto Scaling	如果您開啟Auto Scaling開關，當警示發生時，會觸發相應的伸縮規則。您需要設定Auto Scaling的地區、Auto Scaling組和Auto Scaling規則。 關於如何建立Auto Scaling組，請參見配置伸縮組。 關於如何建立Auto Scaling規則，請參見配置伸縮規則。 說明 單擊進階設定，可設定該參數。
   Log Service	如果您開啟Log Service開關，當警示發生時，會將警示資訊寫入Log Service的日誌庫。您需要設定Log Service的地區、ProjectName和日誌Logstore。關於如何建立Project和Logstore，請參見使用LoongCollector採集並分析ECS文本日誌。 說明 單擊進階設定，可設定該參數。
   輕量訊息佇列（原 MNS）— topic	如果您開啟輕量訊息佇列（原 MNS）— topic開關，當警示發生時，會將警示資訊寫入輕量訊息佇列的主題。您需要設定輕量訊息佇列的地區和主題。關於如何建立主題，請參見建立主題。 說明 單擊進階設定，可設定該參數。
   無資料處理方法	無監控資料時警示的處理方式。取值： 不做任何處理（預設值） 發送無數據警示 視為恢複 說明 單擊進階設定，可設定該參數。
   標籤	警示規則的標籤。包括標籤名稱和標籤值。

   成功建立規則後，您可以在警示規則列表頁面，在列表上的篩選框中，選擇產品為Web Application Firewall3.0，指標名稱為resource分頁的指標，查詢已建立的監控指標警示規則。

   說明

   WAF支援的監控指標說明如下：

   • domain分頁下的指標為WAF 2.0支援監控的指標。

   • resource分頁下的指標為WAF 3.0支援監控的指標。關於WAF 3.0支援監控的業務指標，請參見支援監控的業務指標。

   • 執行個體分頁下的指標為混合雲WAF支援監控的指標。其中，不帶V3尾碼的指標為WAF 2.0支援監控的指標，帶V3尾碼的指標為WAF 3.0支援監控的指標。

支援監控的安全事件

CloudMonitor支援對接入WAF的防護對象上發生的如下安全事件進行監控和警示。

支援監控的業務指標

CloudMonitor支援對接入WAF的防護對象的如下系統請求資料指標設定異常監控和警示，支援自訂指標異常的判斷方法。

相關文檔

API安全只能通過CloudMonitor實現嚴重程度為高危的警示推送，如果您需要低危、中危的警示推送，請參見API安全警示推送最佳實務。