功能简介
BOT 攻击分析通过命中模块、BOT 行为等对 BOT 流量详情进行研判,过滤展示当前 BOT 流量中的确凿恶意 BOT ,支持快速查看未缓解攻击并调整防护动作,帮助用户实现高效分析、快速止损的效果。
功能说明:
分析范围:BOT 攻击分析当前仅针对命中第二道拦截防护规则集的确凿 BOT 进行分析与展示,通过不断丰富内置防护规则集提升确凿 BOT 研判比例和防护效果。
使用说明:
BOT 攻击是命中专家规则/自定义规则的确凿 BOT 流量,优先处置 BOT 攻击可以快速缓解绝大多数的 BOT 攻击,且不容易误伤正常用户,建议在日常运维中优先关注高危未缓解攻击,并及时处置。
全流量 BOT 分析报表对所有经过 BOT 模块的流量进行风险分析,涵盖更多可疑 BOT 、恶意 BOT 命中情况,能够更全面地分析与统计业务面临的 BOT 威胁,建议在处置确凿 BOT 后关注全流量 BOT 分析报表中尚未拦截的恶意 BOT、可疑 BOT 命中情况,及时调整防护策略,进一步提升防护效果。
筛选查看范围
1. 登录 Web 应用防火墙控制台,在左侧导航栏中,选择 BOT 流量分析。
2. 左上角选择要查看的域名和场景,下拉展示可选域名、所属实例与是否开启 BOT 开关。
3. 选择 BOT 攻击分析页面,并支持筛选分析时间范围。
查看统计趋势
攻击分类趋势
攻击分类趋势对确凿 BOT 的类型进行分类与趋势统计,支持快速查看不同类型 BOT 的命中趋势与 TOP 分布。
1. 单击攻击分类趋势,默认展示所有支持检测的 BOT 类型的命中趋势与命中总次数。
2. 支持单击具体的 BOT 类型或拖拽筛选更细粒度时间范围,下钻分析更细粒度攻击趋势。
查看攻击详情
攻击详情对发现的 BOT 攻击进行聚合记录,每一个详情均可以下钻分析更详细的访问日志或 BOT 流量特征,快速处置未处置的威胁。
快速过滤查看的攻击范围
查看未缓解攻击:未缓解攻击是指当前规则已检出,但是仅记录日志的监控动作流量。建议将规则执行动作调整至重定向、人机识别或拦截。
查看全部攻击:全部攻击包含已处置及未处置的全部攻击记录。
只看高危攻击:快速筛选风险等级为高危、超高危的攻击记录,优先分析与处置。
攻击详情列表
查看攻击详情列表:攻击详情按照命中规则 ID、BOT 类型、所属域名进行聚合,并且支持快速调整命中规则的处置动作。
列表字段 | 字段说明 |
命中规则 ID | 攻击命中的唯一规则 ID,可通过规则 ID 查询日志及配置。 |
BOT 类型 | 规则命中的 BOT 分类,不同类型的 BOT 目的和影响不同。 |
处置动作 | 攻击发生并记录日志时的处置动作,如果攻击发生后对规则的处置状态进行调整,不会变更历史产生的攻击记录的处置动作,以便追溯。 |
所属域名 | 攻击的目标对象。 |
场景名称 | 攻击命中的规则所属的场景名称以及场景唯一 ID。 |
访问URL | 攻击的目标 URL 数量,单击展开查看目标 URL 详情。 |
攻击次数 | 攻击发生的次数。 |
攻击源 IP | 攻击的来源 IP 数量,单击展开查看来源 IP 详情。 |
最近攻击时间 | 攻击发生时记录的攻击时间。 |
操作 | 支持查看切换规则或更多分析动作。 |
展开命中规则详情:单击
操作:支持切换规则动作或进行更多分析。
切换规则动作:快速调整配置,变更命中规则的规则处置动作。
更多分析:快速查看详情,支持选择查看访问日志详情或 BOT 流量分析,分别对记录的访问日志和统计的 BOT 特征进行分析。
