CIS 安全事件表

安全事件表显示 WAF 阻止的网络请求信息。 每个条目都显示一个被阻止的请求。

• 触发的规则 指示阻止请求的规则。 提供了下列任何操作:
  • 块: 硬块。
  • 提问: 人员可以绕过的 CAPTCHA 页面。
  • 模拟: 允许正常执行但已记录的请求。

有时未标识触发的规则。 在这种情况下，UI 会显示 - 而不是规则标识。

• IP 地址: 显示 Web 请求的源 IP 地址。
• 位置: 显示与 Web 请求的源 IP 关联的国家或地区。
• 主机: 显示 Web 请求已访问的服务器的主机名。
• 日期: 显示事件发生的日期。

CIS 安全事件详情

查看安全事件时，可以单击事件上的箭头以展开该事件的详细信息。 页面的一部分会显示事件详情以及 Ray-Id。 另一部分显示请求详细信息，例如头，URI，协议，阻止请求的防火墙类型以及用户代理。

例如，假设您看到事件的触发规则具有标识 981176。 这意味着该块是由 OWASP 引起的。 当OWASP规则集中的任何规则匹配时，请求的“威胁评分”就会增加。 区域的 Paranoia level 设置 (P1 到 P4) 将转换为阈值。 如果所有匹配的 OWASP 规则的累积分数超过该阈值，那么将触发规则 981176 并阻止请求。

这意味着由 OWASP 阻止的所有请求在安全性事件上显示为由 981176 阻止。 展开事件详细信息并查看 事件触发器 部分，以查看匹配以提高请求威胁分数的各个 OWASP 规则。

如果有效流量被阻塞，该怎么办?

展开每个事件以查看事件详细信息。 事件触发器 部分显示与 OWASP 规则触发的事件匹配的所有个别 OWASP 规则。 确定此流量对于您的 Web 站点是否看起来正常，或者是否已适当阻止。 如果您确定此块为误报，那么可以返回到 WAF 配置并禁用个别 OWASP 规则，直到此请求不再超过敏感度阈值为止。

安全性事件保留时间策略

企业套餐将安全事件保留 90 天。 标准套餐将安全事件保留 30 天。

已知限制

CIS 安全事件目前有以下限制：

• 安全事件使用 采样数据。 因此，仪表板可能无法显示所有事件。
• 安全事件通过 GraphQL 获取。 因此，它受 GraphQL 查询限制。