Directrices para monitorizar tu estrategia de control de bots - AWS Guía prescriptiva
Seguimiento de las principales reglasRealizar un seguimiento de las principales etiquetas y espacios de nombresCrear expresiones matemáticasUso de la detección de anomalíasUso de CloudWatch métricasCrear un panel

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Directrices para monitorizar tu estrategia de control de bots

Para el tráfico de bots y el tráfico de aplicaciones web, la supervisión y la visibilidad son de gran importancia. Le ayuda a priorizar las actividades y las operaciones de seguridad. Si no es posible realizar un registro detallado o utilizar un sistema SIEM, un buen punto de partida es supervisar las métricas básicas proporcionadas por la solución o el proveedor que haya seleccionado.

Esta visibilidad es útil para obtener información sobre amenazas, reforzar las reglas, solucionar los falsos positivos y responder a un incidente. Hay varias opciones de monitoreo disponibles con. AWS WAF Para un monitoreo de alto nivel, AWS WAF proporciona información general del tráfico en el AWS Management Console. Está disponible para todo el tráfico, así como para una vista detallada del tráfico de bots, cuando el grupo de reglas de control de bots está habilitado en su ACL web.

AWS WAF ofrece diferentes opciones para el registro detallado del tráfico de ACL web. También puede añadir etiquetas a las solicitudes, que puede utilizar para facilitar el análisis de los registros y configurar las reglas de evaluación de los bots. Al integrar Amazon CloudWatch Logs Insights, puede consultar los AWS WAF registros y visualizar los resultados.

Si activa el registro detallado, AWS WAF proporciona una visibilidad adicional más allá del panel de control de bots preconfigurado. El uso de AWS WAF registros para visualizar el tráfico, así como de las investigaciones ad hoc, puede proporcionar una comprensión profunda de los patrones de tráfico y las opciones de mitigación de una aplicación web.

Puede integrar los datos de AWS WAF registro con Amazon CloudWatch Logs, Amazon Simple Storage Service (Amazon S3) o Amazon Data Firehose. Para obtener más información, consulte Activar el AWS WAF registro y enviar registros a CloudWatch Amazon S3 o Amazon Data Firehose. También puedes enviar registros a varios objetivos para su análisis, incluso a Amazon OpenSearch Service o a una AWS Marketplacesolución. Para obtener más información, consulte Configuración de destino en la documentación de Firehose. Si se utilizan varias fuentes de registro, se recomienda una solución de registro centralizada para correlacionar las fuentes. 

A continuación, en esta guía se ofrecen recomendaciones sobre cómo empezar a monitorizar el tráfico de bots y ganar visibilidad con Amazon CloudWatch.

Seguimiento de las principales reglas

El seguimiento de las reglas más afectadas puede poner de relieve tendencias y actividades potencialmente anómalas. El aumento de las tasas de una regla específica puede indicar un posible falso positivo o una actividad específica que deberías investigar. La regla más común para el seguimiento serían Controles basados en IP las reglas de bloqueo geográfico (un pico en este caso puede mostrar tráfico procedente de países poco comunes, que podrían no estar bloqueados automáticamente), y Reglas basadas en frecuencia Estas reglas siempre tienen variaciones inherentes, pero una anomalía en el patrón de tráfico puede ser indicativa de la actividad de los bots. Ten esto en cuenta si estableces los umbrales manualmente.

Realizar un seguimiento de las principales etiquetas y espacios de nombres

Al utilizar CloudWatch métricas para realizar un seguimiento de las etiquetas principales, puedes ver qué AWS WAF reglas se invocan con frecuencia. Esto le ayuda a detectar anomalías, como el aumento de la actividad de los rastreadores, el tráfico procedente de fuentes sospechosas o un intento de uso indebido de la página de inicio de sesión o la API de la aplicación.

Los siguientes son ejemplos de etiquetas que podrían ser de interés:

  • awswaf:managed:aws:bot-control:signal:non_browser_user_agent 

  • awswaf:managed:aws:bot-control:bot:category:http_library

  • awswaf:managed:aws:bot-control:bot:name:curl

  • awswaf:managed:aws:atp:signal:credential_compromised

  • awswaf:managed:aws:core-rule-set:NoUserAgent_Header

  • awswaf:managed:token:rejected

A continuación se muestran ejemplos de espacios de nombres de etiquetas que podrían ser de interés:

  • awswaf:managed:aws:bot-control:

  • awswaf:managed:aws:atp:

  • awswaf:managed:aws:anonymous-ip-list:

Crear expresiones matemáticas

En Amazon CloudWatch, puedes crear expresiones matemáticas para cualquiera de las reglas o para todas ellas. Si configuras alertas en las expresiones matemáticas, se te notificará si hay anomalías en las tasas, no en las cantidades, de determinadas métricas. Se trata de una herramienta importante para reducir la fatiga provocada por las alertas.

Cree una métrica personalizada basada en una expresión matemática. Observe las tasas relativas de las reglas a partir del número total de solicitudes a una aplicación. La siguiente es una expresión matemática común: 

[ruleX count * 100]/[All allowed requests + All blocked requests]

Esta expresión matemática proporciona un porcentaje para que puedas realizar un seguimiento de una regla específica y visualizar su tendencia a lo largo del tiempo.

Uso de la detección de anomalías

El uso de la detección de CloudWatch anomalías en cualquier CloudWatch métrica puede generar alertas sobre tendencias anormalmente bajas o altas, sin necesidad de configurar el umbral real de forma manual. Estos algoritmos analizan continuamente las métricas de los sistemas y las aplicaciones, determinan las líneas de base normales y detectan las anomalías con una intervención mínima del usuario. CloudWatch aplica algoritmos estadísticos y de aprendizaje automático en su función de detección de anomalías. 

Uso de CloudWatch las métricas de Amazon

AWS WAF procesa el tráfico y agrega etiquetas a las solicitudes que coinciden con las reglas definidas en la ACL web. Cada etiqueta crea una métrica en CloudWatch. Al mismo tiempo, cada regla de ACL web también crea métricas para cada una de sus posibles acciones. Utilice estas métricas de etiquetas y acciones para obtener una comprensión exhaustiva del tráfico de bots. Se trata de un enfoque rentable para visualizar las tendencias. Para obtener más información, consulte Ver las métricas disponibles y Graficar las métricas en la CloudWatch documentación.

CloudWatch ofrece la opción de enviar datos a un recopilador o agregador de registros, ya sea una solución Servicio de AWS o una de terceros. La ingesta de datos CloudWatch puede proporcionar una experiencia de observabilidad de la seguridad más consolidada, en la que se pueden correlacionar los datos de varias fuentes. Esto puede ayudarle a investigar, ver o configurar sus alertas y automatizaciones de seguridad.

Crear un panel

Tras identificar las métricas importantes a las que hay que hacer un seguimiento, cree un panel que contenga las métricas más relevantes. Mostrarlas side-by-side bajo un solo panel de vidrio puede proporcionar visibilidad y control adicionales.

Siempre es preferible configurar alertas y reglas de automatización para valores métricos anómalos. No confíe en las personas para identificar las anomalías mirando un panel de control. Sin embargo, los paneles pueden ser útiles para fines de investigación después de recibir una alerta.