Chuyển đến nội dung chính
CyStack WAF cung cấp khả năng quan sát lưu lượng theo thời gian thực để đội bảo mật biết WAF đang chặn gì, ai đang tấn công và website có khỏe mạnh không. Phần này gồm bốn góc nhìn: tổng quan sức khỏe, sự kiện bảo mật, hoạt động nghi vấnphân tích.

Tổng quan website

Trang Tổng quan của mỗi website tóm tắt tình trạng bảo vệ và lưu lượng gần đây. Trang tổng quan website
  • Thẻ sức khỏe kiểm tra theo từng lớp: DNS đã trỏ về WAF, origin truy cập được, chứng chỉ TLS hợp lệ (kèm số ngày còn lại) và node đang phục vụ.
  • Chỉ số 24 giờ: tổng số request, số request bị chặn, tỷ lệ chặn và số luật đang bật.
  • Sơ đồ kết nối: minh họa đường đi Khách → CyStack WAF → Origin cùng trạng thái mã hóa.
  • Biểu đồ lưu lượng: lưu lượng cho phép và bị chặn theo thời gian.

Sự kiện bảo mật

Trang Sự kiện bảo mật liệt kê các request bị WAF chặn hoặc ghi nhận, mới nhất ở trên cùng. Danh sách sự kiện bảo mật
CộtNội dung
Thời gianThời điểm xảy ra (tương đối, xem được thời gian đầy đủ).
IPĐịa chỉ nguồn kèm cờ quốc gia.
RequestPhương thức và đường dẫn, kèm User-Agent.
Trạng tháiMã HTTP trả về (403, 429, 301…) hoặc nhãn ghi nhận.
Chặn bởiNhóm luật đã khớp (bộ luật quản lý, luật tùy chỉnh, giới hạn tần suất, kiểm soát truy cập…) kèm mô tả và mã luật.
Bộ lọc cho phép thu hẹp theo IP, đường dẫn, mã trạng tháiReference ID (mã tham chiếu hiển thị cho người dùng cuối khi bị chặn). Mở chi tiết một sự kiện để xem đầy đủ host, quốc gia, hành động, mã luật đã khớp, thông điệp và User-Agent, cùng liên kết tới trang cấu hình luật tương ứng.
Khi người dùng hợp lệ báo bị chặn nhầm, hãy hỏi họ Reference ID hiển thị trên trang lỗi rồi tìm theo mã đó để xác định chính xác luật đã chặn và điều chỉnh.

Hoạt động nghi vấn

Trang Hoạt động nghi vấn phân tích lưu lượng gần đây và tự động đánh dấu các IP có dấu hiệu tấn công nhưng chưa chắc bị chặn — ví dụ đang dò quét ở mức dưới ngưỡng chặn. Danh sách nguồn nghi vấn Mỗi nguồn hiển thị:
  • IP và quốc gia kèm các nhãn lý do: công cụ dò quét, phát hiện tấn công, quét đường dẫn nhạy cảm, liệt kê (enumeration).
  • Thống kê: tổng số request, số lần trả về 404 và số lần phát hiện tấn công.
  • Đường dẫn mẫu mà nguồn đã thử (ví dụ /.env, /.git/config, /phpmyadmin).
  • Nút Chặn IP để tạo ngay luật chặn IP đó.
Đây là công cụ phát hiện sớm: kẻ tấn công thường dò quét trước khi tấn công thật, nên việc chặn sớm các nguồn nghi vấn giúp ngăn chặn trước khi chúng tìm ra điểm yếu.

Phân tích

Trang Phân tích tổng hợp toàn bộ lưu lượng đi qua WAF theo khoảng thời gian 24 giờ, 7 ngày hoặc 30 ngày. Trang phân tích lưu lượng
  • Chỉ số tổng hợp: tổng request, tổng số bị chặn, tỷ lệ chặn.
  • Biểu đồ lưu lượng: lưu lượng cho phép và bị chặn theo thời gian.
  • Bảng xếp hạng: IP nguồn nhiều nhất, đường dẫn bị chặn nhiều nhất, luật kích hoạt nhiều nhất và User-Agent nhiều nhất.
Các bảng xếp hạng có thể bấm để lọc nhanh sang sự kiện tương ứng, giúp truy vết từ số liệu tổng quan xuống từng request cụ thể. Cùng bộ lọc theo IP/đường dẫn/trạng thái/Reference ID như trang sự kiện.

Lưu trữ và thông báo

  • Thời gian lưu trữ sự kiện có thể cấu hình trong cài đặt WAF (ví dụ 30 ngày). Sự kiện cũ hơn ngưỡng sẽ được dọn tự động.
  • Email thông báo được gửi khi website được xác minh thành công, khi có luật mới được tạo (bao gồm vá ảo do AI sinh ra) và khi website mất khả năng phục vụ (không còn node sẵn sàng hoặc origin gián đoạn). Cấu hình email trong phần cài đặt không gian làm việc.

Quy trình giám sát khuyến nghị

  1. Theo dõi Tổng quan để bảo đảm thẻ sức khỏe luôn xanh.
  2. Rà soát Sự kiện bảo mật định kỳ, đặc biệt sau khi siết chặt luật, để phát hiện chặn nhầm.
  3. Xử lý Hoạt động nghi vấn: chặn các nguồn dò quét rõ ràng.
  4. Dùng Phân tích để nhận diện xu hướng tấn công và điều chỉnh luật bảo vệ cho phù hợp.