Richtlinien für die Überwachung Ihrer Bot-Kontrollstrategie - AWS Präskriptive Leitlinien
Die wichtigsten Regeln verfolgenNachverfolgung der wichtigsten Labels und NamespacesMathematische Ausdrücke erstellenVerwenden der Anomalieerkennung CloudWatch Metriken verwendenAufbau eines Dashboards

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Richtlinien für die Überwachung Ihrer Bot-Kontrollstrategie

Für den Bot-Traffic und den Traffic von Webanwendungen sind Überwachung und Sichtbarkeit von großer Bedeutung. Es hilft Ihnen, Aktivitäten und Sicherheitsoperationen zu priorisieren. Wenn eine detaillierte Protokollierung oder die Verwendung eines SIEM-Systems nicht möglich sind, ist die Überwachung grundlegender Kennzahlen, die von Ihrer ausgewählten Lösung oder Ihrem Anbieter bereitgestellt werden, ein guter Ausgangspunkt.

Diese Transparenz ist nützlich, um Bedrohungsinformationen zu sammeln, Regeln zu verschärfen, Fehlalarme zu beheben und auf einen Vorfall zu reagieren. Es stehen mehrere Überwachungsoptionen mit zur Verfügung AWS WAF. Für die Überwachung auf hoher Ebene AWS WAF bietet es Informationen zur Verkehrsübersicht im AWS Management Console. Diese Option ist für den gesamten Datenverkehr sowie eine detaillierte Ansicht für den Bot-Verkehr verfügbar, sofern die Regelgruppe Bot Control in Ihrer Web-ACL aktiviert ist.

AWS WAF bietet verschiedene Optionen für die detaillierte Protokollierung des Web-ACL-Datenverkehrs. Sie können Anfragen auch Labels hinzufügen, die Sie verwenden können, um die Protokollanalyse zu vereinfachen und Regeln für die Bot-Auswertung zu konfigurieren. Durch die Integration von Amazon CloudWatch Logs Insights können Sie die AWS WAF Protokolle abfragen und die Ergebnisse visualisieren.

Wenn Sie die detaillierte Protokollierung aktivieren, AWS WAF bietet dies zusätzliche Einblicke, die über das vorkonfigurierte Dashboard zur Bot-Kontrolle hinausgehen. Die Verwendung von AWS WAF Protokollen zur Visualisierung des Datenverkehrs sowie Ad-hoc-Untersuchungen können zu einem umfassenden Verständnis der Verkehrsmuster und der Optionen zur Risikominderung für eine Webanwendung führen.

Sie können AWS WAF Protokolldaten mit Amazon CloudWatch Logs, Amazon Simple Storage Service (Amazon S3) oder Amazon Data Firehose integrieren. Weitere Informationen finden Sie unter AWS WAF Protokollierung aktivieren und Protokolle an CloudWatch Amazon S3 oder Amazon Data Firehose senden. Sie können Protokolle auch zur Analyse an verschiedene Ziele senden, z. B. an Amazon OpenSearch Service oder eine AWS MarketplaceLösung. Weitere Informationen finden Sie unter Zieleinstellungen in der Firehose-Dokumentation. Wenn mehrere Protokollquellen verwendet werden, wird eine zentralisierte Protokollierungslösung empfohlen, um die Quellen zu korrelieren. 

Als Nächstes enthält dieser Leitfaden Empfehlungen, wie Sie mit der Überwachung des Bot-Traffics beginnen und mithilfe von Amazon Transparenz gewinnen können CloudWatch.

Die wichtigsten Regeln verfolgen

Durch die Nachverfolgung der am häufigsten aufgerufenen Regeln können Trends und potenziell ungewöhnliche Aktivitäten aufgedeckt werden. Erhöhte Raten für eine bestimmte Regel könnten auf eine potenzielle falsch positive oder gezielte Aktivität hinweisen, die Sie untersuchen sollten. Die gängigste Regel für Tracking wären IP-basierte Steuerungen Geoblocking-Regeln (ein Anstieg kann hier Traffic aus ungewöhnlichen Ländern anzeigen, die möglicherweise nicht automatisch blockiert werden) und. Ratenbasierte Regeln Diese Regeln würden immer von Natur aus variieren, aber eine Anomalie im Verkehrsmuster kann auf Bot-Aktivitäten hinweisen. Berücksichtigen Sie dies, wenn Sie die Schwellenwerte manuell festlegen.

Nachverfolgung der wichtigsten Labels und Namespaces

Mithilfe von CloudWatch Metriken können Sie die am häufigsten verwendeten Labels nachverfolgen, welche AWS WAF Regeln häufig aufgerufen werden. Auf diese Weise können Sie Anomalien wie eine Zunahme der Scraper-Aktivität, Traffic aus verdächtigen Quellen oder versuchten Missbrauch der Anmeldeseite oder der API der Anwendung erkennen.

Im Folgenden finden Sie Beispiele für Labels, die von Interesse sein könnten:

  • awswaf:managed:aws:bot-control:signal:non_browser_user_agent 

  • awswaf:managed:aws:bot-control:bot:category:http_library

  • awswaf:managed:aws:bot-control:bot:name:curl

  • awswaf:managed:aws:atp:signal:credential_compromised

  • awswaf:managed:aws:core-rule-set:NoUserAgent_Header

  • awswaf:managed:token:rejected

Im Folgenden finden Sie Beispiele für Label-Namespaces, die von Interesse sein könnten:

  • awswaf:managed:aws:bot-control:

  • awswaf:managed:aws:atp:

  • awswaf:managed:aws:anonymous-ip-list:

Mathematische Ausdrücke erstellen

In Amazon CloudWatch können Sie mathematische Ausdrücke für eine oder alle Regeln erstellen. Wenn Sie Warnmeldungen für mathematische Ausdrücke einrichten, werden Sie über Abweichungen bei den Raten, nicht bei den Mengen, bei bestimmten Kennzahlen informiert. Dies ist ein wichtiges Instrument zur Verringerung der Alarmmüdigkeit.

Erstellen Sie eine benutzerdefinierte Metrik, die aus einem mathematischen Ausdruck besteht. Schauen Sie sich die relativen Raten für Regeln an, gemessen an der Gesamtzahl der Anfragen an eine Anwendung. Der folgende mathematische Ausdruck ist gebräuchlich: 

[ruleX count * 100]/[All allowed requests + All blocked requests]

Dieser mathematische Ausdruck gibt einen Prozentsatz an, sodass Sie eine bestimmte Regel verfolgen und ihren Trend im Laufe der Zeit visualisieren können.

Verwenden der Anomalieerkennung

Wenn Sie die CloudWatchAnomalieerkennung für eine beliebige CloudWatch Metrik verwenden, können Sie Warnmeldungen bei ungewöhnlich niedrigen oder hohen Trends ausgeben, ohne den tatsächlichen Schwellenwert manuell einrichten zu müssen. Diese Algorithmen analysieren kontinuierlich Metriken von Systemen und Anwendungen, ermitteln normale Ausgangswerte und decken Anomalien mit minimalem Benutzereingriff auf. CloudWatch wendet in seiner Funktion zur Erkennung von Anomalien statistische Algorithmen und ML-Algorithmen an. 

Verwenden von CloudWatch Amazon-Metriken

AWS WAF verarbeitet den Datenverkehr und fügt Anfragen, die den in der Web-ACL definierten Regeln entsprechen, Labels hinzu. Jedes Label erstellt eine Metrik in CloudWatch. Gleichzeitig erstellt jede Web-ACL-Regel auch Metriken für jede ihrer möglichen Aktionen. Verwenden Sie diese Kennzeichnungs- und Aktionsmetriken, um sich einen umfassenden Überblick über den Bot-Traffic zu verschaffen. Dies ist ein kostengünstiger Ansatz zur Visualisierung von Trends. Weitere Informationen finden Sie in der Dokumentation unter Verfügbare Metriken anzeigen und Metriken grafisch darstellen. CloudWatch

CloudWatch bietet die Möglichkeit, Daten an einen Protokollsammler oder Aggregator zu senden, unabhängig davon, ob es sich um eine Lösung AWS-Service oder eine Drittanbieterlösung handelt. Die Erfassung von Daten ermöglicht eine CloudWatch konsolidiertere Sicherheitsbeobachtbarkeit, bei der Sie Daten aus mehreren Quellen korrelieren können. Dies kann Ihnen helfen, Ihre Warnmeldungen und Sicherheitsautomatisierungen zu untersuchen, einzusehen oder einzurichten.

Aufbau eines Dashboards

Nachdem Sie die wichtigen Kennzahlen identifiziert haben, die Sie verfolgen möchten, erstellen Sie ein Dashboard, das die relevantesten Kennzahlen enthält. Ihre Anzeige side-by-side unter einer einzigen Glasscheibe kann für zusätzliche Transparenz und Kontrolle sorgen.

Es ist immer vorzuziehen, Warnmeldungen und Automatisierungsregeln für anomale Metrikwerte zu konfigurieren. Verlassen Sie sich nicht darauf, dass Menschen Anomalien anhand eines Dashboards erkennen. Dashboards können jedoch für Untersuchungszwecke nützlich sein, nachdem eine Warnung eingegangen ist.