AWS Shield Advanced métricas

Shield Advanced publica las métricas de CloudWatch detección, mitigación y principales contribuyentes de Amazon para todos los recursos que protege. Estas métricas mejoran su capacidad de supervisar sus recursos, ya que permiten crear y configurar CloudWatch paneles y alarmas para ellos.

La consola Shield Advanced presenta resúmenes de muchas de las métricas que registra. Para obtener más información, consulte Visibilidad de los eventos de DDoS.

Si habilita la mitigación automática de DDoS en la capa de aplicación para la protección de la capa de aplicaciones,

Ubicaciones de informes métricos

Shield Advanced obtiene información sobre métricas de la región del Este de EE. UU. (Norte de Virginia), us-east-1 para:

• Los servicios globales Amazon CloudFront y Amazon Route 53.

• Grupos de protección. Para obtener más información sobre la protección degrupos, consulte AWS Shield Advanced grupos de protección.

Para otros tipos de recursos, Shield Advanced informa de las métricas de la región del recurso.

Plazo de presentación de informes métricos

Shield Advanced informa a Amazon de las métricas CloudWatch de un AWS recurso con más frecuencia durante los eventos de DDoS que cuando no hay ningún evento en curso. Shield Advanced informa de las métricas una vez por minuto durante un evento y, después, una vez finalizado el evento.

Aunque no haya eventos en curso, Shield Advanced notifica las métricas una vez al día, a una hora asignada al recurso. Este informe periódico mantiene las métricas activas y disponibles para su uso en CloudWatch alarmas y paneles personalizados.

Recomendaciones de alarmas

Le recomendamos que cree alarmas para notificarle las circunstancias que requieren atención. Como punto de partida, puede crear una alarma para cada recurso protegido que informe cuando la métrica DDoSDetected de detección no sea cero. Un valor distinto de cero en esta métrica no implica necesariamente que se esté produciendo un ataque DDoS, pero recomendamos analizar más detenidamente el estado del recurso cuando la métrica se encuentre en este estado.

En el caso de una avalancha de solicitudes, le recomendamos que cree alarmas para realizar comprobaciones compuestas que también tengan en cuenta factores como el estado de las aplicaciones y el volumen de solicitudes web. Puede optar por utilizar la alarma en las otras tres métricas que informan sobre el volumen de tráfico para diversas dimensiones del vector de ataque. Al tener en cuenta la capacidad de su aplicación y las alarmas cuando el tráfico se acerca a las limitaciones de la aplicación, se puede crear un conjunto de reglas que notifiquen cuando sea necesario, sin generar demasiados ruidos no deseados.

Métricas de detección

Shield Advanced proporciona las métricas y dimensiones del espacio de AWS/DDoSProtection nombres.

Métricas de detección
Métrica	Descripción
DDoSDetected	Indica si se está realizando un evento DDoS para un nombre de recurso de Amazon (ARN) determinado. Esta métrica tiene un valor distinto de cero durante un evento.
DDoSAttackBitsPerSecond	El número de bits observados durante un evento DDoS para un nombre de recurso de Amazon (ARN) determinado. Esta métrica está disponible solo para eventos DDoS de capa de red y transporte (capa 3 y capa 4). Esta métrica tiene un valor distinto de cero durante un evento. Unidades: bits
DDoSAttackPacketsPerSecond	El número de paquetes observados durante un evento DDoS para un nombre de recurso de Amazon (ARN) determinado. Esta métrica está disponible solo para eventos DDoS de capa de red y transporte (capa 3 y capa 4). Esta métrica tiene un valor distinto de cero durante un evento. Unidades: paquetes
DDoSAttackRequestsPerSecond	El número de solicitudes observadas durante un evento DDoS para un nombre de recurso de Amazon (ARN) determinado. Esta métrica está disponible solo para los eventos DDoS de la capa 7. Esta métrica se registra solo para los eventos de la capa 7 más importantes. Esta métrica tiene un valor distinto de cero durante un evento. Unidades: solicitudes

Shield Advanced publica la métrica de DDoSDetected sin otras dimensiones. Las métricas de detección restantes incluyen las dimensiones de AttackVector que corresponden al tipo de ataque, de la siguiente lista:

• ACKFlood

• ChargenReflection

• DNSReflection

• GenericUDPReflection

• MemcachedReflection

• MSSQLReflection

• NetBIOSReflection

• NTPReflection

• PortMapper

• RequestFlood

• RIPReflection

• SNMPReflection

• SSDPReflection

• SYNFlood

• UDPFragment

• UDPTraffic

• UDPReflection

Métricas de mitigación

Shield Advanced proporciona métricas y dimensiones en el espacio de AWS/DDoSProtection nombres.

Métricas de mitigación
Métrica	Descripción
VolumePacketsPerSecond	La cantidad de paquetes por segundo que una mitigación implementada en respuesta a un evento detectado descartó o aprobó. Unidades: paquetes

Dimensiones de mitigación
Dimensión	Descripción
ResourceArn	Nombre de recurso de Amazon (ARN)
MitigationAction	El resultado de una mitigación aplicada. Los valores posibles son Pass o Drop.

Métricas de los principales colaboradores

Shield Advanced proporciona métricas en el espacio de AWS/DDoSProtection nombres.

Métricas de los principales colaboradores
Métrica	Descripción
VolumePacketsPerSecond	El número de paquetes por segundo para un colaborador principal. Unidades: paquetes
VolumeBitsPerSecond	El número de bits por segundo de un contribuyente principal. Unidades: bits

Shield Advanced publica las métricas de los principales colaboradores por combinaciones de dimensiones que caracterizan a los colaboradores del evento. Puede utilizar cualquiera de las siguientes combinaciones de dimensiones para cualquiera de las métricas de principales contribuyentes:

• ResourceArn, Protocol

• ResourceArn, Protocol, SourcePort

• ResourceArn, Protocol, DestinationPort

• ResourceArn, Protocol, SourceIp

• ResourceArn, Protocol, SourceAsn

• ResourceArn, TcpFlags

Dimensiones de principales contribuyentes
Dimensión	Descripción
ResourceArn	Nombre de recurso de Amazon (ARN).
Protocol	Nombre del protocolo IP, ya sea TCP o UDP.
SourcePort	Puerto TCP o UDP de origen.
DestinationPort	Puerto TCP o UDP de destino.
SourceIp	Dirección IP de origen.
SourceAsn	Número de sistema autónomo (ASN) de origen.
TcpFlags	Combinación de indicadores presentes en un paquete TCP, separados por un guión (-). Los indicadores monitoreados son ACK, FIN, RST, SYN. Este valor de dimensión siempre aparece ordenado alfabéticamente. Por ejemplo, ACK-FIN-RST-SYN, ACK-SYN y FIN-RST.