Konfigurieren einer Aktionsrichtlinie, um Benachrichtigungen über Anwendungsereignisse
Neben der vorhandenen Analyseansicht von Anwendungsereignissen können Sie eine Aktionsrichtlinie konfigurieren, um Benachrichtigungen über Anwendungsereignisse über Slack, E-Mail, PagerDuty oder ServiceNow zu erhalten. Zu den Anwendungsereignissen gehören Leistungsprobleme, Bot- und WAF-Verstöße sowie Service-Graph-Verstöße. Als Administrator können Sie mithilfe der Aktionsrichtlinie Ereignisbenachrichtigungen in Echtzeit erhalten.
Mit der Aktionsrichtlinie können Sie:
-
Definieren Sie bestimmte Bedingungen für die Anwendungsereignisse.
-
Lassen Sie sich über Slack, E-Mail, PagerDuty und ServiceNow über die folgenden Ereignisse benachrichtigen:
-
Alle Sicherheitsverstöße
-
Alle Bot-Verstöße
(Weitere Informationen zur Liste der Bot-Verstöße finden Sie unter Kategorien von Verstößen).
-
Alle Verstöße gegen die WAF
-
Verstöße gegen WAF SQL
-
Verstöße gegen WAF XSS
-
WAF-Infer-XML-Verstöße
-
-
-
Alle Sicherheitsverletzungen pro Kunde
-
Bot-Verstöße pro Kunde
-
Verstöße gegen WAF pro Kunde
Hinweis
Um die Benachrichtigung über einen WAF-Verstoß zu erhalten, müssen die Mindesttransaktionen bei Verstößen 20% betragen. Beispielsweise müssen von 100 Transaktionen mindestens 20 Verstöße gegen Transaktionen sein.
-
-
Verstoß gegen App-Score
-
Netzwerklatenz des Clients
-
Servernetzwerklatenz
-
Verarbeitungszeit des Servers
-
Verstoß gegen das Service-Diagramm
-
Eine Aktionsrichtlinie konfigurieren
-
Navigieren Sie zu Einstellungen > Aktion > Aktionsrichtlinien.
-
Klicken Sie auf Hinzufügen.
-
Auf der Seite Aktionsrichtlinie erstellen :
-
Richtlinienname — Geben Sie einen Policy-Namen Ihrer Wahl an.
-
Aktiviert — Diese Option ist standardmäßig ausgewählt.
-
Wenn das folgende Ereignis eintritt — Wählen Sie in der Liste ein Ereignis aus.
-
Und die folgende Bedingung ist erfüllt — Wählen Sie aus der Liste aus, um eine Bedingung zu definieren, für die Sie benachrichtigt werden möchten. Sie können auf + klicken, um weitere Bedingungen hinzuzufügen. Um eine Bedingung zu entfernen, klicken Sie auf —.
Sie können die Aktionsrichtlinie mit den folgenden Operatoren konfigurieren. Die Operatoren werden basierend auf den von Ihnen ausgewählten Bedingungen angezeigt.
Betreiber Beschreibung Entspricht Entspricht einem definierten Wert Nicht gleich Entspricht nicht einem definierten Wert Größer als Größer als ein definierter Wert Größer als oder gleich Größer als oder gleich einem definierten Wert Weniger als Kleiner als ein definierter Wert Kleiner als oder gleich Kleiner als oder gleich einem definierten Wert Enthält Enthält den definierten Begriff oder Wert Beginnt mit Beginnt mit einem definierten Begriff oder Wert Endet mit Endet mit einem definierten Begriff oder Wert IN Ermöglicht die Auswahl mehrerer Werte -
Gehen Sie dann wie folgt vor — Wählen Sie Benachrichtigen. Nachdem Sie Benachrichtigenausgewählt haben, wird die Option Benachrichtigungstyp angezeigt.
-
Benachrichtigungstyp — Wählen Sie den Benachrichtigungstyp E-Mail, Slack, PagerDuty oder ServiceNow aus. Abhängig vom ausgewählten Benachrichtigungstyp wird die entsprechende Option (Verteilerliste, Slack-Profil, PagerDuty-Profil oder ServiceNow-Profil) angezeigt. Wählen Sie ein Profil aus der Liste aus.
Wenn Sie ein neues Profil erstellen möchten, klicken Sie auf Hinzufügen.
-
Klicken Sie auf Richtlinie erstellen.
Die Richtlinie ist konfiguriert. Sie können die konfigurierten Richtliniendetails anzeigen.
Nachdem Sie die Richtlinie konfiguriert haben, können Sie die Richtlinie auswählen und auf Folgendes klicken:
-
Bearbeiten, um die Aktionsrichtlinie zu aktualisieren oder zu ändern. Klicken Sie nach dem Update auf Richtlinie aktualisieren.
-
Löschen, um die Aktionsrichtlinie zu entfernen. Sie können mehrere Richtlinien auswählen und auf Löschen klicken, um sie zu entfernen.
-
Aktionsverlauf, um Details wie Uhrzeit, durchgeführte Aktion, Richtlinienname, Warnungstyp und Warnmeldung anzuzeigen.
-
-
In der folgenden Tabelle werden die Details der Konfiguration der Aktionsrichtlinie beschrieben.
| Name des Verstoßes | Bedingung | Beschreibung |
|---|---|---|
| Alle Sicherheitsverstöße | Instanz-IP | IP-Adresse der ADC-Instanz. Wählen Sie die IP-Adresse aus der Liste aus. |
| Anzahl der Verstöße | Die Anzahl der Verstöße, für die Sie benachrichtigt werden möchten. Wenn Sie beispielsweise die Anzahl der Verstöße als kleiner oder gleich 10 konfigurieren, werden Sie benachrichtigt, wenn 10 oder weniger Bot-Verstoßtransaktionen eingehen. | |
| Verhältnis von Verstößen | Dieser Wert gibt die Gesamtzahl der Verstöße durch bestimmte Transaktionen an und der Wert muss zwischen 0 und 1 liegen. Beispielsweise handelt es sich bei 20 von 100 Transaktionen um Verstöße, und wenn Sie für ein solches Szenario benachrichtigt werden möchten, müssen Sie 0,2 eingeben. | |
| Alle Bot-Verstöße | Bot-Profil | Der Bot-Profilname, der für die Konfiguration der Bot-Verwaltung auf der ADC-Instanz verwendet wird. |
| Instanz-IP | IP-Adresse der ADC-Instanz. Wählen Sie die IP-Adresse aus der Liste aus. | |
| Anzahl der Verstöße | Die Anzahl der Verstöße, für die Sie benachrichtigt werden möchten. Wenn Sie beispielsweise die Anzahl der Verstöße als kleiner oder gleich 10 konfigurieren, werden Sie benachrichtigt, wenn 10 oder weniger Bot-Verstoßtransaktionen eingehen. | |
| Verhältnis von Verstößen | Dieser Wert gibt die Gesamtzahl der Verstöße durch bestimmte Transaktionen an und der Wert muss zwischen 0 und 1 liegen. Beispielsweise handelt es sich bei 20 von 100 Transaktionen um Verstöße, und wenn Sie für ein solches Szenario benachrichtigt werden möchten, müssen Sie 0,2 eingeben. | |
| Alle WAF-Verstöße, WAF-SQL-Verletzung, WAF-XSS-Verletzung, WAF Infer XML-Verletzung | WAF-Profil | Der WAF-Profilname, der zum Konfigurieren der WAF-Sicherheitseinstellungen auf der ADC-Instanz verwendet wird. |
| Instanz-IP | IP-Adresse der ADC-Instanz. Wählen Sie die IP-Adresse aus der Liste aus. | |
| Anzahl der Verstöße | Die Anzahl der Verstöße, für die Sie benachrichtigt werden möchten. Die Mindestanforderung für die Benachrichtigung der WAF-Verstöße beträgt 20%. | |
| Verhältnis von Verstößen | Dieser Wert gibt die Gesamtzahl der Verstöße durch bestimmte Transaktionen an und der Wert muss zwischen 0 und 1 liegen. Beispielsweise handelt es sich bei 20 von 100 Transaktionen um WAF-SQL-Verletzungstransaktionen, und wenn Sie für ein solches Szenario benachrichtigt werden möchten, müssen Sie 0,2 eingeben. | |
| Alle Sicherheitsverletzungen pro Kunde | Anwendungsname | Der Name der benutzerdefinierten Anwendung. Wählen Sie die Anwendung aus der Liste aus. Wenn Sie diese Bedingung nicht hinzufügen, werden alle Anwendungen aus der ADC-Instanz berücksichtigt. |
| Instanz-IP | IP-Adresse der ADC-Instanz. Wählen Sie die IP-Adresse aus der Liste aus. | |
| Client-IP | Die Quelle, aus der der Bot stammt. Geben Sie die IP-Adresse an. | |
| Angriffe insgesamt | Die Gesamtzahl der Angriffe, für die Sie benachrichtigt werden möchten. | |
| URL anfragen | Die URL, die Sie zum Blockieren konfigurieren möchten. Geben Sie die URL an. | |
| Vserver-Name | Die zugehörigen Anwendungen, die für benutzerdefinierte Anwendungen konfiguriert sind. Wählen Sie die Anwendung aus der Liste aus. Wenn Sie diese Bedingung nicht hinzufügen, werden alle Anwendungen aus der ADC-Instanz berücksichtigt. | |
| Bot-Verstöße pro Kunde | Anwendungsname | Der Name der benutzerdefinierten Anwendung. Wählen Sie die Anwendung aus der Liste aus. Wenn Sie diese Bedingung nicht hinzufügen, werden alle Anwendungen aus der ADC-Instanz berücksichtigt. |
| Instanz-IP | IP-Adresse der ADC-Instanz. Wählen Sie die IP-Adresse aus der Liste aus. | |
| Client-IP | Die Quelle, aus der der Bot stammt. Geben Sie die IP-Adresse an. | |
| Angriffe insgesamt | Die Gesamtzahl der Angriffe, für die Sie benachrichtigt werden möchten. | |
| Art der Verletzung | Wählen Sie den Bot-Verstoß aus der Liste aus. | |
| URL anfragen | Die URL, die Sie zum Blockieren konfigurieren möchten. Geben Sie die URL an. | |
| Vserver-Name | Die zugehörigen Anwendungen, die für benutzerdefinierte Anwendungen konfiguriert sind. Wählen Sie die Anwendung aus der Liste aus. Wenn Sie diese Bedingung nicht hinzufügen, werden alle Anwendungen aus der ADC-Instanz berücksichtigt. | |
| Verstöße gegen WAF pro Kunde | Anwendungsname | Der Name der benutzerdefinierten Anwendung. Wählen Sie die Anwendung aus der Liste aus. Wenn Sie diese Bedingung nicht hinzufügen, werden alle Anwendungen aus der ADC-Instanz berücksichtigt. |
| Instanz-IP | IP-Adresse der ADC-Instanz. Wählen Sie die IP-Adresse aus der Liste aus. | |
| Client-IP | Die Quelle, aus der der Bot stammt. Geben Sie die IP-Adresse an. | |
| Angriffe insgesamt | Die Gesamtzahl der Angriffe, für die Sie benachrichtigt werden möchten. | |
| Art der Verletzung | Wählen Sie den WAF-Verstoß aus der Liste aus. | |
| URL anfragen | Die URL, die Sie zum Blockieren konfigurieren möchten. Geben Sie die URL an. | |
| Vserver-Name | Die zugehörigen Anwendungen, die für benutzerdefinierte Anwendungen konfiguriert sind. Wählen Sie die Anwendung aus der Liste aus. Wenn Sie diese Bedingung nicht hinzufügen, werden alle Anwendungen aus der ADC-Instanz berücksichtigt. | |
| Verstoß gegen App-Score | Leistungsindikator | Die App-Score-Komponenten und deren Schwellenwerte. Wählen Sie die App-Score-Komponente aus der Liste aus. Weitere Informationen finden Sie unter App-Score-Komponenten auswählen und Schwellenwerte festlegen. |
| Anzahl der Verstöße | Die Anzahl der Verstöße, für die Sie benachrichtigt werden möchten. Wenn Sie beispielsweise die Anzahl der Sicherheitsverletzungen gleich 5 für die Antwortzeit konfigurieren, werden Sie benachrichtigt, wenn der Schwellenwert für die Antwortzeit fünfmal überschritten wird. | |
| Anwendungsname | Wählen Sie die Anwendung aus, bei der der Verstoß gegen den App-Score benachrichtigt werden soll. Wenn Sie diese Bedingung nicht hinzufügen, werden alle Anwendungen aus der ADC-Instanz berücksichtigt. | |
| Latenz im Client-Netzwerk | Netzwerklatenz des Clients (Millisekunden) | Geben Sie den Wert für die Client-Latenz (Client zu ADC) in Millisekunden an, für den Sie benachrichtigt werden möchten. |
| Anwendungsname | Klicken Sie auf Anwendungen auswählen, um die Anwendungen auszuwählen, bei denen der Verstoß benachrichtigt werden soll. | |
| Server-Netzwerk-Latenz | Netzwerklatenz des Servers (Millisekunden) | Geben Sie den Wert für die Serverlatenz (Server zu ADC) in Millisekunden an, für den Sie benachrichtigt werden möchten. |
| Anwendungsname | Klicken Sie auf Anwendungen auswählen, um die Anwendungen auszuwählen, bei denen der Verstoß benachrichtigt werden soll. | |
| Verarbeitungszeit des Servers | Verarbeitungszeit des Servers (Millisekunden) | Geben Sie den Wert für die Serververarbeitung (Server zu ADC) in Millisekunden an, für den Sie benachrichtigt werden möchten. |
| Anwendungsname | Klicken Sie auf Anwendungen auswählen, um die Anwendungen auszuwählen, bei denen der Verstoß benachrichtigt werden soll. | |
| Verstoß gegen das Service-Diagramm | Microservices, die die konfigurierten Schwellenwerte überschreiten. Weitere Informationen finden Sie unter Konfigurieren von Schwellenwerten im Servicegraphen. |
Verwenden Sie die Suchleiste
Über die Suchleiste können Sie Ergebnisse filtern. Wenn Sie auf die Suchleiste klicken, erhalten Sie eine Liste mit Suchvorschlägen. Sie können die Komponente auswählen und die Ergebnisse basierend auf Ihren Anforderungen filtern.
Auditprotokolloption verwenden
Klicken Sie auf Überwachungsprotokolle und wählen Sie die Dauer aus der Liste aus, um die Aktionsrichtlinien anzuzeigen, die für die ausgewählte Dauer erstellt, geändert und gelöscht wurden.
