Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Pedoman untuk memantau strategi kontrol bot Anda
Untuk lalu lintas bot dan lalu lintas aplikasi web, pemantauan dan visibilitas sangat penting. Ini membantu Anda memprioritaskan kegiatan serta operasi keamanan. Jika pencatatan terperinci atau menggunakan sistem SIEM tidak memungkinkan, maka titik awal yang baik adalah memantau metrik dasar yang disediakan oleh solusi atau vendor pilihan Anda.
Visibilitas ini berguna untuk intelijen ancaman, aturan pengerasan, pemecahan masalah positif palsu, dan menanggapi suatu insiden. Ada beberapa opsi pemantauan yang tersedia dengan AWS WAF. Untuk pemantauan tingkat tinggi, AWS WAF berikan informasi ikhtisar lalu lintas di. AWS Management Console Ini tersedia untuk semua lalu lintas serta tampilan terperinci untuk lalu lintas bot, ketika grup aturan Kontrol Bot diaktifkan di ACL web Anda.
AWS WAF menyediakan opsi berbeda untuk pencatatan rinci lalu lintas ACL web. Anda juga dapat menambahkan label ke permintaan, yang dapat Anda gunakan untuk memfasilitasi analisis log dan mengonfigurasi aturan evaluasi bot. Dengan mengintegrasikan Amazon CloudWatch Logs Insights, Anda dapat menanyakan AWS WAF log dan memvisualisasikan hasilnya.
Jika Anda mengaktifkan pencatatan terperinci, AWS WAF berikan visibilitas tambahan di luar dasbor kontrol Bot yang telah dikonfigurasi sebelumnya. Menggunakan AWS WAF log untuk memvisualisasikan lalu lintas, serta investigasi ad-hoc, dapat memberikan pemahaman mendalam tentang pola lalu lintas dan opsi untuk mitigasi aplikasi web.
Anda dapat mengintegrasikan data AWS WAF log dengan Amazon CloudWatch Logs, Amazon Simple Storage Service (Amazon S3), atau Amazon Data Firehose. Untuk informasi selengkapnya, lihat Mengaktifkan AWS WAF pencatatan dan mengirim log ke CloudWatch, Amazon S3, atau Amazon Data Firehose
Selanjutnya, panduan ini memberikan rekomendasi tentang cara mulai memantau lalu lintas bot dan mendapatkan visibilitas dengan menggunakan Amazon CloudWatch.
Melacak aturan teratas
Melacak aturan yang paling populer dapat menyoroti tren dan aktivitas yang berpotensi anomali. Peningkatan tarif untuk aturan tertentu mungkin menunjukkan potensi aktivitas positif palsu atau bertarget yang harus Anda selidiki. Aturan yang paling umum untuk melacak adalahKontrol berbasis IP, aturan pemblokiran geografis (lonjakan di sini dapat menunjukkan lalu lintas dari negara yang tidak biasa, yang mungkin tidak diblokir secara otomatis), dan. Aturan berbasis tarif Aturan-aturan ini akan selalu memiliki variasi yang melekat, tetapi anomali dalam pola lalu lintas dapat menjadi indikasi aktivitas bot. Pertimbangkan ini jika Anda mengatur ambang batas secara manual.
Melacak label dan ruang nama teratas
Dengan menggunakan CloudWatch metrik untuk melacak label teratas, Anda dapat melihat AWS WAF aturan mana yang sering dipanggil. Ini membantu Anda mendeteksi anomali, seperti peningkatan aktivitas scraper, lalu lintas dari sumber yang mencurigakan, atau percobaan penyalahgunaan halaman login aplikasi atau API.
Berikut ini adalah contoh label yang mungkin menarik:
-
awswaf:managed:aws:bot-control:signal:non_browser_user_agent -
awswaf:managed:aws:bot-control:bot:category:http_library -
awswaf:managed:aws:bot-control:bot:name:curl -
awswaf:managed:aws:atp:signal:credential_compromised -
awswaf:managed:aws:core-rule-set:NoUserAgent_Header -
awswaf:managed:token:rejected
Berikut ini adalah contoh ruang nama label yang mungkin menarik:
-
awswaf:managed:aws:bot-control: -
awswaf:managed:aws:atp: -
awswaf:managed:aws:anonymous-ip-list:
Membuat ekspresi matematika
Di Amazon CloudWatch, Anda dapat membuat ekspresi matematika untuk salah satu atau semua aturan. Jika Anda menetapkan peringatan pada ekspresi matematika, Anda akan diberi tahu tentang anomali dalam tarif, bukan kuantitas, metrik tertentu. Ini adalah alat penting untuk mengurangi kelelahan waspada.
Buat metrik kustom yang dibangun dari ekspresi matematika. Lihatlah tarif relatif untuk aturan, dari jumlah keseluruhan permintaan ke aplikasi. Berikut ini adalah ekspresi matematika umum:
[ruleX count * 100]/[All allowed requests + All blocked requests]
Ekspresi matematika ini memberikan persentase sehingga Anda dapat melacak aturan tertentu dan memvisualisasikan trennya dari waktu ke waktu.
Cara menggunakan deteksi anomali
Menggunakan deteksi CloudWatch anomali pada CloudWatch metrik apa pun dapat memberikan peringatan tentang tren rendah atau tinggi yang tidak normal, tanpa menyiapkan ambang batas aktual secara manual. Algoritma ini terus menganalisis metrik sistem dan aplikasi, menentukan garis dasar normal, dan anomali permukaan dengan intervensi pengguna minimal. CloudWatch menerapkan algoritma statistik dan ML dalam fitur deteksi anomali.
Menggunakan CloudWatch metrik Amazon
AWS WAF memproses lalu lintas dan menambahkan label ke permintaan yang sesuai dengan aturan yang ditentukan dalam ACL web. Setiap label membuat metrik di CloudWatch. Pada saat yang sama, setiap aturan ACL web juga membuat metrik untuk setiap tindakan yang mungkin. Gunakan label dan metrik tindakan ini untuk mendapatkan pemahaman tingkat tinggi tentang lalu lintas bot. Ini adalah pendekatan hemat biaya untuk memvisualisasikan tren. Untuk informasi selengkapnya, lihat Melihat metrik dan metrik Grafik yang tersedia di dokumentasi. CloudWatch
CloudWatch menyediakan opsi untuk mengirim data ke pengumpul log atau agregator, baik itu solusi Layanan AWS atau pihak ketiga. Menelan data dari CloudWatch dapat memberikan pengalaman observabilitas keamanan yang lebih terkonsolidasi, di mana Anda dapat mengkorelasikan data dari berbagai sumber. Ini dapat membantu Anda menyelidiki, melihat, atau mengatur peringatan dan otomatisasi keamanan Anda.
Membangun dasbor
Setelah mengidentifikasi metrik penting untuk dilacak, buat dasbor yang berisi metrik paling relevan. Menampilkannya side-by-side, di bawah satu panel kaca dapat memberikan visibilitas dan kontrol tambahan.
Itu selalu lebih baik untuk mengkonfigurasi peringatan dan aturan otomatisasi untuk nilai metrik anomali. Jangan mengandalkan manusia untuk mengidentifikasi anomali dengan melihat dasbor. Namun, dasbor dapat berguna untuk tujuan investigasi setelah peringatan diterima.
