背景

Web攻擊形勢

網際網路界的安全一直都不斷的面臨著挑戰，以DDoS/Web攻擊為代表的網路威脅直接對網路安全產生嚴重的影響。

據近年來的調查報告顯示，Web攻擊的方式向兩極化發展，慢速攻擊、混合攻擊尤其是CC攻擊佔比不斷增大，這給檢測防禦造成更大的難度。在整個網路攻擊中, 應用層攻擊也在大幅度翻倍（參考Imperva 2017Q4的DDoS風險報告）

阿里雲WAF

阿里云云盾Web應用防火牆(Web Application Firewall, 簡稱 WAF)基於雲安全大資料能力實現，通過防禦SQL注入、XSS跨站指令碼、常見Web伺服器外掛漏洞、木馬上傳、非授權核心資源訪問等OWASP常見攻擊，過濾海量惡意CC攻擊，避免您的網站資產資料洩露，保障網站的安全與可用性。

阿里雲日誌服務

阿里雲的日誌服務（log service）是針對日誌類資料的一站式服務，無需開發就能快捷完成海量日誌資料的採集、消費、投遞以及查詢分析等功能，提升運維、運營效率。日誌服務主要包括 實時採集與消費、資料投遞、查詢與實時分析 等功能，適用於從實時監控到資料倉庫的各種開發、運維、運營與安全場景：

阿里雲WAF日誌分析概述

根據FileEye M-Trends 2018報告，企業組織的攻擊從發生到被發現，一般經過了多達101天，其中亞太地區問題更為嚴重，一般網路攻擊被發現是在近498（超過16個月）之後。另一方面，根據報告，企業組織需要花費多達57.5天才能去驗證這些攻擊行為。例如某快遞公司的資料洩露事件中，從內部發現資料洩露到首批方案人員抓取，花費了3個月左右，到追蹤抓獲主要犯案人員，時間跨度1年之久。

目前，阿里雲WAF與日誌服務打通，對外開發Web訪問與攻擊日誌。提供近實時的網站具體的日誌自動採集儲存、並提供基於日誌服務的查詢分析、報表報警、下游計算對接與投遞的能力。

釋出地域

• 國內
• 國際

適用客戶

• 對雲上資產的主機、網路以及安全日誌有儲存合規需求的大型企業與機構，如金融公司、政府類機構等。
• 擁有自己的安全運營中心（SOC)，需要收集安全告警等日誌進行中央運營管理的企業，如大型地產、電商、金融公司、政府類機構等。
• 擁有較強技術能力，需要基於雲上資產的日誌進行深度分析、對告警進行自動化處理的企業，如IT、遊戲、金融公司等。

功能優勢

WAF日誌實時查詢分析服務具有以下功能優勢：

• 配置簡單：輕鬆配置即可實現Web訪問與攻擊日誌的實時採集。
• 實時分析：依託日誌服務產品，提供實時日誌分析能力、開箱即用的報表中心與自帶互動挖掘支援，從傳統幾十分鐘級別到秒級別, 讓您對網站業務的各種Web攻擊狀況以及客戶訪問細節瞭如指掌。
• 實時告警：支援基於特定指標定製準實時的監測與告警，確保在關鍵業務發生異常時能第一時間響應。
• 生態體系：支援對接其他生態如實時計算、雲端儲存、視覺化等方案，進一步挖掘資料價值。

方案比較

與AWS WAF, Azure WAF的比較: 

開通前提

• 開通日誌服務
• 購買阿里雲WAF企業版, 併購買日誌分析模組.

限制說明

WAF所儲存的日誌庫屬於專屬的日誌庫，有如下限制：

1. 使用者無法通過API/SDK等方式寫入資料，或者修改日誌庫的屬性（例如儲存週期等）
2. 其他日誌庫的功能，例如查詢、統計、報警、流式消費等均支援與一般日誌庫無差別
3. 日誌服務對專屬日誌庫不進行任何收費，但日誌服務本身需處於可用狀態（不超期欠費）
4. 內建的報表可能會在以後更新並升級

使用場景

1.追蹤Web攻擊日誌，溯源安全威脅：

2. 實時檢視Web請求活動，洞察狀態與趨勢：

3. 快速瞭解安全運營效率，即時反饋處理：

4. 輸出安全網路日誌到自建資料與計算中心

介紹視訊

更多參考視訊：

進一步參考

我們會陸續釋出WAF安全日誌分析的最佳時間, 這裡可以進一步參考相關使用者手冊：

• 阿里雲WAF日誌分析 - 配置實時日誌
• 阿里雲WAF日誌分析 - 查詢分析日誌
• 阿里雲WAF日誌分析 - 檢視內建報表
• 阿里雲WAF日誌分析 - 高階管理
• 阿里雲WAF日誌分析 - 計費

原文連結
本文為雲棲社群原創內容，未經允許不得轉載。